La evolución constante de los ciberataques ha consolidado los riesgos cibernéticos como un tema clave en los directorios de las compañías. Las pérdidas financieras y la interrupción operativa que sufren producto de eventos como ransomware, malware, hackeo, ataques de denegación de servicios, brechas de datos, etc., los exponen a reclamos de terceros, entes reguladores y sus propios accionistas por posible negligencia y pueden incluso afectar el patrimonio personal de un director, según la normativa local.
A nivel global, se observa que luego de un evento cibernético comienzan a generarse reclamos a los directorios, alegando que, como consecuencia de su incorrecto accionar y falta de previsión, la empresa ha sufrido pérdidas financieras, buscándose un responsable. Si, además, la empresa cotiza en Bolsa, la exposición se amplía a potenciales reclamos de accionistas minoritarios y de la autoridad regulatoria.
Un primer punto a evaluar es la distinción de responsabilidades entre la gestión de la Gerencia y la del Directorio. La exigencia de contar con un protocolo ante un evento cibernético, tener políticas de ciberseguridad adecuadas y controles de protección de datos, es tan relevante como su implementación, testeo y comunicación en caso de un incidente. A ello se suma la conveniencia o no de contratar un seguro para cubrir este riesgo. Por lo tanto, la estrategia a cargo del Directorio y la implementación a cargo de la Gerencia deben estar claramente diferenciadas y correctamente abordadas.
Transferir el riesgo mediante un seguro cibernético es una herramienta clave paraprotegerse contra pérdidas catastróficas y los costos asociados a un evento de esta naturaleza. Más allá de todas las previsiones, protocolos y recaudos que se puedan adoptar, el error humano siempre está presente, y poder recuperar las pérdidas a través de una póliza termina siendo una herramienta adecuada. Sin embargo, deben revisarse periódicamente para asegurar que la cobertura se mantenga alineada con las amenazas emergentes.
Si ante un evento cibernético nos encontramos con, por ejemplo, falta de planificación, protocolos y controles pertinentes y una comunicación inadecuada con las partes interesadas, se amplía la exposición de los directores a reclamos. El día a día no puede dejar de lado una revisión profunda de cómo está hoy la empresa frente a este tipo de riesgos.
Ahora bien, el Directorio, para proteger su patrimonio personal, contrata habitualmente una póliza de D&O. En el caso de un evento cibernético, pueden desencadenarse acciones regulatorias, demandas civiles e incluso procesos penales, ampliando significativamente elalcance de las responsabilidades de los directores. Por ello, este tipo de seguros puede llegar a cubrir gastos de defensa, fianzas ante potenciales embargos y multas administrativas, dependiendo de cómo se haya estructurado.
Es fundamental que la empresa revise cuidadosamente cómo están estructuradas y cómo se interrelacionan sus pólizas de D&O y ciberseguro. Ambas coberturas tienen diferencias importantes, por lo que sus términos y condiciones deben analizarse para evitar vacíos o superposiciones innecesarias.
El Directorio debe comprender claramente cómo responderá su póliza de D&O ante un incidente, ya que algunos textos incluyen exclusiones específicas de este riesgo. Además, es crucial contar con redacciones claras para evitar inconvenientes a la hora de un siniestro.
En conclusión, es relevante para el Directorio contar no solo con una política adecuada de gestión de riesgos cibernéticos, sino también evaluar si cuenta con la protección adecuada de su patrimonio personal ante estos eventos.
