Por: Daniel Rodríguez Maffioli y Michelle Hurtecho, Datalex Latam

Para las empresas, contar con un seguro cibernético se ha vuelto indispensable en un entorno donde los ciberataques son cada vez más frecuentes. Este tipo de seguros no solo proporcionan respaldo en caso de incidentes de seguridad, sino que abarcan desde la cobertura por responsabilidad civil hasta la indemnización por interrupción de la actividad ordinaria de la empresa. No obstante, estas coberturas no se otorgan de manera indiscriminada, sino que exigen cumplir con requisitos específicos que evidencien una madurez en la gestión de ciberseguridad. Las aseguradoras, antes de otorgar un seguro, evalúan de forma exhaustiva el nivel de cumplimiento legal de las empresas, con el fin de determinar el grado de riesgo.

Para acceder a un seguro cibernético, las organizaciones deben implementar medidas de seguridad rigurosas que garanticen la protección de sus activos digitales y datos sensibles. Entre los requisitos más comunes solicitados por las aseguradoras se encuentran: controles de acceso restringido, autenticación multifactor, cifrado de datos sensibles, políticas de privacidad, planes de respuesta a incidentes (los cuales deben incluir estrategias claras para contener y gestionar ciberataques), auditorías regulares para detectar vulnerabilidades y garantía de que los proveedores tecnológicos cumplan con medidas de seguridad y protección de datos.

Además, las aseguradoras consideran esencial que las empresas mantengan un programa continuo de pruebas de penetración y actualizaciones de software para reducir al mínimo las vulnerabilidades. Así mismo, las empresas deben gestionar el riesgo de la cadena de suministros, lo que quiere decir que no solo deben garantizar la seguridad de sus propios sistemas, sino que deben exigir que terceros implementen medidas de seguridad compatibles, supervisando su cumplimiento mediante auditorías y exigiendo pólizas de responsabilidad.

El cumplir con normativas y estándares internacionales es otro pilar fundamental para acceder a un seguro. Normas como ISO 27001, COBIT, y NIST CSF son estándares indispensables que las aseguradoras esperan que las empresas adopten antes de considerar una solicitud, puesto que no solo establecen requisitos técnicos, sino también sistemas robustos de gestión que aseguran la resiliencia organizacional. Por su lado, el incumplimiento legal en materia de protección de datos y seguridad no solo expone a las empresas a sanciones legales, sino que también puede impedirles acceder a seguros o provocar la pérdida de cobertura de estos.

El cumplimiento legal en esta materia no es opcional; es un requisito fundamental para acceder a un seguro de este tipo. Incluso, muchas pólizas establecen que los incumplimientos legales o la violación deliberada a una normativa pueden invalidar la protección en caso de un incidente de seguridad. Es importante tener claro que, además del incumplimiento legal, existen otros escenarios que quedan excluidos de la cobertura de los seguros cibernéticos.

En ese sentido, se suelen excluir incidentes relacionados con la omisión de medidas de seguridad básica, la falta de respuesta oportuna a incidentes de seguridad, o los errores humanos y la negligencia. Por ejemplo, cuando un colaborador, ya sea por descuido o mala intención, cae víctima de un phishing o comparte credenciales sensibles, se presume que la empresa podría no estar capacitando regularmente a su recurso humano. De igual forma, los daños ocasionados por amenazas internas y las vulnerabilidades preexistentes en los sistemas de seguridad son motivos frecuentes de exclusión, especialmente si estas vulnerabilidades eran conocidas y no fueron subsanadas.

Tomando como referencia lo anterior, se puede concluir que, para contratar un seguro cibernético, no basta la intención de hacerlo, sino que se requiere un compromiso real de las empresas con la implementación de medidas técnicas y la adopción de un programa robusto de cumplimiento normativo en protección de datos y ciberseguridad. El seguro cibernético no solo actúa como una protección frente a riesgos, sino como un indicador del nivel de madurez organizacional de la empresa en términos de ciberseguridad, ayudando a fortalecer la confianza de clientes, socios y aseguradoras.