Demandas recientes de alto perfil que involucran a directores de seguridad de la información (CISO) han puesto de relieve la necesidad de un seguro de responsabilidad de directores y funcionarios (D&O) sólido para los ejecutivos de ciberseguridad. Los cargos de la SEC contra el ex CISO de SolarWinds (que no fueron desestimados ni siquiera en el tan esperado fallo que puso fin al caso de la SEC contra la empresa) y la condena penal de Uber en 2022 contra su ex CISO son los últimos desafíos que enfrentarán los líderes de seguridad. riesgo de responsabilidad personal.
Las consideraciones importantes sobre el seguro D&O para los asegurados incluyen:
Responsabilidad creciente: El caso de SolarWinds ante la SEC ilustra el creciente riesgo regulatorio para las personas. Mientras tanto, la condena por delito grave del CISO de Uber por obstrucción de la justicia pone de relieve la posible responsabilidad penal de los CISO. El costo de un evento de ciberseguridad puede ser significativo (9,48 millones de dólares en promedio en los EE. UU.) y los límites de las políticas cibernéticas a menudo se agotan o agotan poco después de un incidente. Esto obliga a los asegurados a depender de otras pólizas para hacer frente a reclamaciones posteriores de reguladores, clientes y otros litigantes. ¿Están los CISO “asegurados”? Las políticas D&O, tradicionalmente centradas en directores y ejecutivos de nivel C, pueden no cubrir adecuadamente los riesgos únicos que enfrentan los CISO. Un estudio reciente informó que el 38% de los CISO no están cubiertos por la póliza de seguro D&O de su empresa. Dependiendo de la jerarquía y los documentos de gobierno de una empresa, es posible que un CISO no se ajuste a la definición de “asegurado” de la póliza. Procedimientos penales y civiles: el seguro D&O generalmente cubre la responsabilidad civil basada en actos negligentes o no intencionales, pero el fraude criminal o intencional a menudo queda excluido. La condena por delito grave del CISO de Uber ilustra la importancia de limitar estas exclusiones, incluso mediante estrictos requisitos de “adjudicación final”. Cobertura de investigación gubernamental: la cobertura regulatoria varía significativamente entre empresas públicas y privadas y si los reguladores están investigando o tomando medidas contra individuos y empresas. Antes de tomar acciones formales de cumplimiento, los asegurados deben solicitar una cobertura agresiva y comprender las limitaciones que pueden reducir la cobertura de acciones regulatorias, como los sublímites. Exclusiones cibernéticas: algunas pólizas de seguro tienen exclusiones amplias que prohíben la cobertura de reclamaciones resultantes de incidentes cibernéticos, lo que podría poner en riesgo a los CISO. Eliminar estas exclusiones, o al menos negociar reservas o un lenguaje de introducción de causa más limitado, puede evitar que el seguro D&O sea ilusorio para la mayoría de los reclamos relacionados con el ciberespacio. Cobertura comercial: el seguro D&O asume una amplia cobertura comercial, excepto en los casos en que la empresa no puede brindar cobertura. Así como un CISO puede no cumplir con la definición de “asegurado”, es posible que las empresas deban reevaluar los acuerdos de indemnización con los CISO para garantizar la coherencia con la cobertura de seguro disponible. Revise su programa de seguro, no solo su póliza: los riesgos relacionados con la cibernética pueden esconderse entre las grietas del seguro de responsabilidad tradicional. Los seguros de responsabilidad tradicionales están cada vez más cargados de exclusiones y limitaciones similares para transferir el riesgo a las pólizas cibernéticas. Sin embargo, muchas pólizas tradicionales, incluida la cobertura D&O, pueden cubrir importantes riesgos cibernéticos. Los asegurados deben auditar todo su programa y no centrarse en una sola póliza, especialmente una póliza cibernética, para evaluar y mejorar la cobertura potencial para exposiciones cibernéticas.
A medida que los riesgos de responsabilidad personal de los CISO continúen evolucionando, la disponibilidad y cobertura del seguro D&O seguirán siendo un factor crítico para reclutar y retener talento en ciberseguridad. Las empresas que ofrecen una sólida protección de seguros pueden obtener una ventaja competitiva en un mercado donde es difícil encontrar líderes de seguridad capacitados. Los asegurados deben trabajar de manera proactiva con sus corredores, asesores de cobertura y otros profesionales de riesgos para comprender su cobertura existente y considerar opciones para una protección mejorada para abordar el mayor riesgo de responsabilidad que existe.
Fuente: https://natlawreview.com/article/do-insurance-cisos-critical-shield-era-increasing-personal-risk?amp