“No cubrimos la estupideces” dice una aseguradora que se niega a pagar
En 2013, la empresa proveedora de servicios sanitarios afincada en California, Cottage Health System, descubrió que se había desactivado la seguridad en uno de sus servidores, dejando potencialmente expuestos en Internet decenas de miles de historiales de sus pacientes.
Estos historiales incluían nombre del paciente, dirección, fecha de nacimiento, y en algunos pocos casos, diagnósticos, resultados de análisis y procedimientos seguidos.
Cottage fue demandada, al igual que inSyc, la empresa encargada de colocar esos historiales en un lugar seguro online.
Los gastos fueron tremendos ya que hubo que pagar a ciberforenses para que descubrieran lo que había ocurrido, consultores para que analizaran y destruyeran cualquier malware existente, avisar e indemnizar a los pacientes que se vieron involucrados, pérdida de negocio debido al incidente, etc.
Afortunadamente la empresa disponía de un seguro que cubría todos estos temas.
Sin embargo, no fueron tan afortunados ya que la aseguradora, basándose en una clausula del contrato, no se hace cargo ya que el asegurado descuidó gravemente su seguridad no cumpliendo los requisitos mínimos para proteger esos datos.
Columbia Casualty, la aseguradora de Cottage, afirma “los registros médicos estaban en un servidor accesible desde Internet sin cifrar y sin ninguna otra medida de seguridad”. De hecho, estos datos eran accesibles realizando una simple búsqueda en Google. La empresa no sufrió ningún tipo de ciberataque, solo fueron negligentes a la hora de tratar esos historiales.
Los datos de los pacientes estuvieron expuestos durante dos meses, por lo que dimensión de la filtración es enorme.
Cottage reclama 4 millones de dólares para cubrir los gastos relacionados con el incidentes y las posibles indemnizaciones que surjan.
Las filtraciones en empresas están proliferando y los gastos que estás generan son cuantiosos. Según un estudio publicado el miércoles por el Ponemon Institute y pagado por IBM, el coste medio de una filtración de datos es de 3,8 millones de dólares.
La póliza habitual de seguros no cubre este tipo de casos, por lo que parece una buena idea añadir una clausula de este tipo.
De hecho, AON PLC., la ciberaseguradora más grande del mundo, afirmaba en octubre que este mercado estaba creciendo un 38% anualmente.
Si estás pensando el contratar una clausula que cubra las ciberfiltraciones ten en cuenta que:
- No pagan retroactivamente. Debes prestar especial atención a la fecha de la póliza, ya que muchas filtraciones no se descubren hasta que han pasado varios meses, o incluso años.
- Terrorismo o ataques extranjeros. Muchas pólizas no cubren los ataques efectuados desde el extranjero o actos de ciberterrorismo. Asegúrate que no exista una clausula de este estilo, y si la hay lucha por eliminarla.
- Negligencia. Las aseguradoras solo cubren las filtraciones de datos, no la negligencia. Si un empleado pierde un portátil con información confidencial, algunas pólizas no lo cubrirán.
Posiblemente, el contratar un buen seguro será otro paso más a la hora de planificar la protección digital de nuestra empresa. De hecho, si las alegaciones de Columbia son ciertas ¿quien puede culpar a la aseguradora de no querer pagar los costes?
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: