6 errores comunes que debe evitar si desea maximizar su recuperación de reclamos de seguro cibernético: riesgo y seguro



Luma S. Al-Shibib, accionista de la oficina de Nueva York de Anderson Kill PC Steven Pudell es accionista gerente de la oficina de Nueva York de Anderson Kill PC

A pesar de la prevalencia cada vez mayor de los ataques cibernéticos, el campo de los seguros cibernéticos aún es relativamente nuevo y está evolucionando.

Las compañías de seguros reescriben constantemente sus pólizas de seguro cibernético en respuesta a la naturaleza cambiante de los riesgos. A medida que los ataques cibernéticos aumentan en sofisticación, las compañías de seguros, que intentan minimizar su exposición potencial, redactan pólizas más nuevas que intentan imponer mayores cargas y condiciones a los asegurados corporativos.

Si bien cada póliza es diferente, existen algunos problemas recurrentes que plantean las compañías de seguros para evitar pagar el monto total de un reclamo cibernético.

Los titulares de pólizas inteligentes que estén al tanto de estos problemas comunes, que se describen a continuación, podrán sortearlos de manera efectiva, maximizando así su posible recuperación del seguro en caso de una pérdida relacionada con cibernética.

Este artículo examina algunos errores típicos de los asegurados que las compañías de seguros han utilizado como base para reducir la cobertura.

1) Complete sus aplicaciones cibernéticas con su oficial de seguridad de TI o empleado

Las aplicaciones de seguros cibernéticos se han vuelto más específicas y dirigidas en sus preguntas sobre su infraestructura y controles de ciberseguridad. Las aseguradoras pueden usar cualquier inexactitud en las respuestas de su solicitud como base para tratar de evitar la cobertura.

Por ejemplo, una solicitud de renovación cibernética de 2019 de Travelers Casualty and Surety Company of America pregunta a los solicitantes si tienen una tecnología de firewall activa actualizada; software antivirus activo actualizado en todas las computadoras, redes y dispositivos móviles; un proceso para descargar e instalar parches regularmente; un plan de recuperación de desastres; autenticación multifactor; prácticas de cifrado de datos; y cumplen con los estándares de seguridad de la industria de tarjetas de pago.

Luma Al-Shibib, Accionista, Anderson Kill

Tales preguntas técnicas generalmente están más allá del conocimiento del personal que no es de TI y que generalmente es responsable de las presentaciones de solicitudes de seguros.

Además de requerir aplicaciones detalladas, no es raro que las compañías de seguros ahora requieran formularios de certificación separados para controles de seguridad específicos.

Dichas certificaciones pueden enumerar los requisitos mínimos que deben cumplirse para obtener cobertura cibernética.

El formulario de certificación de autenticación multifactor de una compañía de seguros, por ejemplo, pregunta a los solicitantes no solo si tienen autenticación multifactor para los empleados cuando acceden al sistema a través de un sitio web o un servicio basado en la nube (por ejemplo, cuando inician sesión de forma remota desde casa), pero también para el acceso interno no remoto al directorio administrativo, cortafuegos, enrutadores, terminales y servicios (por ejemplo, al iniciar sesión directamente desde la oficina).

Al completar dichas solicitudes, es importante recordar que la compañía de seguros puede utilizar cualquier inexactitud como base para rechazar su reclamo.

Esta es una preocupación particular en aquellas jurisdicciones, como Nueva York, que permiten que una aseguradora rescinda una póliza en base a un error material en una solicitud de seguro, incluso cuando el titular de la póliza no cometió deliberadamente ese error.

(Ver Ley de Seguros de NY McKinney § 3105, que permite a la compañía de seguros rescindir una póliza basada en una tergiversación material en una solicitud de seguro si la aseguradora puede demostrar que se basó en esa tergiversación al emitir la póliza; no se requiere voluntad por parte del tomador de la póliza).

Debido a que un error involuntario al completar una solicitud cibernética podría usarse como base para denegar la cobertura, la solicitud debe ser completada por un oficial o empleado de seguridad de TI o en estrecha consulta con uno.

2) Identifique y aborde las vulnerabilidades de ciberseguridad antes de un ataque

La evaluación regular de su sistema en busca de vulnerabilidades y la instalación oportuna de parches no solo ayuda a prevenir ataques cibernéticos, sino que también minimiza la capacidad de una compañía de seguros para negar la cobertura de sus costos de remediación y recuperación sobre la base de que dichos costos constituyen mejoras para su sistema.

Se puede escribir una póliza cibernética para prohibir la cobertura de “actualizaciones”, “mejoras” o “mejoras” del sistema.

Si su póliza contiene tales disposiciones, su compañía de seguros puede argumentar que ciertos costos de recuperación del sistema son para mejoras innecesarias e intentar negar esos costos sobre la base de que la póliza cibernética no está destinada a cubrir las mejoras del titular de la póliza a su sistema previo al ataque.

3) Contrate expertos cibernéticos preaprobados por su compañía de seguros si su póliza así lo requiere

Las pólizas de seguro cibernético solo pueden cubrir los costos cibernéticos en los que se incurre mediante el uso de profesionales de ciberseguridad aprobados por la aseguradora.

Antes de contratar consultores cibernéticos externos o realizar cualquier trabajo de investigación forense, restauración o recuperación en su sistema, verifique su política para determinar si requiere que seleccione de una lista preaprobada de consultores designados por la aseguradora. Algunas pólizas permiten que el titular de la póliza contrate a un consultor cibernético que no está en la lista de profesionales designados de la compañía de seguros, pero solo con la aprobación previa por escrito de la compañía de seguros.

Si contrata a alguien que no se encuentra en la lista preaprobada de ciberprofesionales de la compañía de seguros y no obtiene la aprobación previa por escrito de la compañía de seguros para la retención, la compañía de seguros puede usar esto como base para tratar de denegar o reducir la cobertura de su reclamo.

En general, es una buena práctica revisar sus pólizas antes de que ocurra una pérdida y hacerlo con la suficiente regularidad (por ejemplo, semestralmente) para que esté familiarizado con sus coberturas, requisitos y limitaciones.

4) Revise y notifique todas las pólizas no cibernéticas que potencialmente cubran su reclamo

Revise sus pólizas no cibernéticas para determinar si cubren potencialmente las pérdidas relacionadas con cibernética y brindan lo que las compañías de seguros llaman engañosamente cobertura “cibernética silenciosa” (no es “silenciosa” si la subvención de cobertura la incluye).

Dicha cobertura potencial se puede encontrar en su póliza de responsabilidad civil general, póliza de propiedad de primera persona, póliza de D&O y póliza de seguro contra delitos, entre otras.

Por ejemplo, una póliza de seguro contra delitos puede cubrir el rescate pagado a los atacantes para liberar el acceso a su sistema, archivos e información como resultado de un ataque de ransomware.

Esto es similar a G&G Oil Co. de Indiana, Inc. c. Cont. Western Ins. Co. (Ind. 18 de marzo de 2021), que concluyó que el pago de ransomware podría estar cubierto por la disposición de “fraude informático” de la póliza contra delitos, a pesar de que el titular de la póliza negó la extensión de la póliza por piratería informática y cobertura de virus. Este caso fue recomendado de nuevo a la corte de primera instancia.

5) Su póliza puede exigirle que mitigue los daños de un ataque cibernético, pero no asuma que la compañía de seguros aceptará pagar sus costos de mitigación

Solo porque la póliza requiere que mitigues los daños de un ataque cibernético, no asumas que la compañía de seguros aceptará cubrir tus costos de mitigación.

Steven Pudell, accionista, Anderson Kill

Si la póliza no dice explícitamente que cubre los costos de mitigación, la compañía de seguros puede intentar renunciar a la cobertura de dichos costos que de otro modo no están expresamente cubiertos por una de las disposiciones de cobertura de la póliza.

Por ejemplo, si utiliza sus propios empleados asalariados de TI y ciberseguridad para responder a un ataque, la compañía de seguros puede negarse a cubrir los salarios de los empleados durante el tiempo en que respondieron al ataque, y puede argumentar que no tiene ninguna obligación. bajo la póliza para cubrir los salarios de los empleados, porque son parte de los gastos operativos normales del titular de la póliza y se habrían incurrido en ausencia del ataque cibernético.

La compañía de seguros puede reclamar que dichos costos no están cubiertos aunque sus empleados de TI estén trabajando exclusivamente para responder y recuperarse del ataque cibernético y no estén realizando sus tareas y deberes habituales.

Además, la compañía de seguros puede rechazar la cobertura a pesar de que el uso de sus propios empleados finalmente reduce sus pérdidas relacionadas con la cibernética (así como la exposición potencial de la compañía de seguros) y le permite reanudar las operaciones más rápido debido a la familiaridad de sus empleados con su sistema y su capacidad para comenzar la respuesta a la brecha de inmediato.

6) No asuma que la compañía de seguros está operando para proteger sus intereses

Un error común de los asegurados es suponer que los intereses de las compañías de seguros están alineados con los suyos. Asuma, más bien, que el objetivo de las compañías de seguros es maximizar sus ganancias y que desplegarán todas las defensas de cobertura y exclusión de póliza disponibles para reducir sus pagos.

En el contexto del seguro de responsabilidad cibernética, específicamente, la compañía de seguros puede solicitarle que contrate a un contador forense o consultor de reclamos cibernéticos de su lista designada de expertos en valuación para ayudarlo a evaluar su reclamo cibernético.

En tales casos, no asuma que el experto recomendado por la compañía de seguros representa sus intereses.

Ese consultor de valuación está en deuda con la compañía de seguros, a la que ve como una fuente de negocios repetidos, y no con usted. Si se encuentra en esa situación, es mejor contratar a su propio profesional independiente, experto en reclamos de seguros de responsabilidad cibernética, para que lo aconseje en sus tratos con la compañía de seguros y el asesor de valuación de terceros.

Es probable que el seguro sea la última cosa en su mente, o ciertamente no en la parte superior de su lista, cuando ha sufrido un ataque cibernético. Por esta razón, es importante planificar con anticipación, educarse y conocer y comprender sus derechos y obligaciones en virtud de su política cibernética y otras políticas potencialmente receptivas ahora, para que pueda proteger mejor su negocio en caso de que alguna vez experimente un ataque cibernetico. &

Leave a Comment

Your email address will not be published.