El riesgo cibernético y seguro.

N.E. El presente artículo ha sido publicad en la E letter nº 19 de Community of Insurance «Riesgos globales y su aseguramiento» donde varios especialistas analizan, desde varios ángulos y perspectivas, la gestión de riesgos empresariales. Brokers, gerentes de riesgos y aseguradores proyectan sus soluciones, vislumbran oportunidades de negocio y ordenan propuestas de acción.

[/box]

Escribe: Amparo Zabala, responsable de producto de Ciberriesgo de Zurich Empresas en España

Pese a que el seguro cibernético se oferta en el mercado desde finales de la década de 1990, este producto no ha registrado un crecimiento relevante para las compañías aseguradoras hasta hace bien poco.

Los primeros intentos de venta de seguros cibernéticos se centraron en las grandes empresas “puntocom”, pero por entonces aún era difícil hacerles comprender la necesidad de dicha cobertura. El reto que supuso el cambio de milenio (año 2000) dio a conocer de forma más generalizada el peligro real de interrupción de las redes informáticas y las pérdidas económicas que se derivaban de la misma. Los primeros clientes en adoptar el seguro cibernético fueron las compañías tecnológicas.

Desde entonces, y especialmente en los últimos años, es más fácil llamar la atención del público acerca de los riesgos y las consecuencias de los ataques cibernéticos, gracias al mayor interés de los medios de comunicación y a los cambios descritos a continuación.

Uno de los cambios acontecidos con el tiempo es la ciberdelincuencia organizada. Los piratas informáticos de los noventa buscaban la notoriedad con sus actos, destinados a incordiar a las grandes compañías accediendo furtivamente a sus infraestructuras o paralizándolas. Eran jóvenes fanáticos de las nuevas tecnologías presentados por Hollywood como los gamberros de la nueva era que hacen trastadas. Los ciberdelincuentes de nuestros días no tienen tanto interés en hacer diabluras o ganar notoriedad, como en obtener un beneficio económico mediante el robo de archivos con fines de usurpación de identidad o fraude con tarjetas de crédito, o el robo de información corporativa confidencial que venden al mejor postor.

Mención aparte merecen los ciberataques secundados por Estados y el ciberespionaje. Aunque el espionaje no puede considerarse un fenómeno nuevo, su práctica en Internet tiene un peso específico cada vez más importante en la acción militar moderna.

Otro cambio acontecido es la dependencia intensa y creciente tanto de las tecnologías de la información y la comunicación (TIC) como de las nuevas tecnologías. El Internet de las Cosas y tecnologías como el Big Data, la fabricación por adición o los vehículos autónomos están convirtiéndose en esenciales para la vida diaria de las personas. Pero mientras la dependencia de Internet de nuestra sociedad crece exponencialmente, nuestro control sobre la Red solo lo hace de forma lineal, limitada por unos procedimientos gubernamentales obsoletos y una gestión¹ ineficaz.

A pesar de los últimos avances en las normativas nacionales e internacionales y las medidas de mejora de la seguridad,² reflejadas en el reciente informe elaborado por Zurich Insurance Group y Esade titulado «Global cyber governance: preparing for new business risks», sin duda alguna hace falta un sistema funcional e integral de gestión de la ciberseguridad global.³

Sin embargo, un enfoque orientado a crear un marco de gestión de la ciberseguridad de carácter únicamente gubernamental probablemente acarreara la politización de la ciberseguridad y el «nacionalismo de la información», lo que supondría la fragmentación y el filtrado fronterizo del tráfico de Internet, o «balcanización» de Internet.

El sector privado debe colaborar con la clase política para desarrollar herramientas que mitiguen el riesgo cibernético y mejoren la resiliencia general. Promover los valores comunes, fijar las normas para un Internet abierto, seguro y resiliente, y compartir la información son algunas de las iniciativas fundamentales en este sentido.⁴ En Estados Unidos se están llevando a cabo actualmente formas de asociación entre el Departamento de Seguridad Nacional, el sector asegurador y las corporaciones de todos los sectores industriales con objeto de elaborar una base de datos nacional para recopilar y compartir la información sobre fallos de seguridad.

Las empresas aseguradoras también pueden tener una función importante en el ámbito del riesgo cibernético. Un buen complemento a una evaluación de riesgos resiliente e integral puede ser una póliza de seguro cibernético. Sobre todo las grandes empresas, pero también las pymes en menor medida, buscan la protección financiera frente a los riesgos cibernéticos a través de los seguros.

Según Marsh, el número de sus clientes estadounidenses que contrataron un seguro cibernético independiente aumentó un 32% en 2014 respecto a 2013. La tasa de aceptación del seguro cibernético (el porcentaje de clientes de seguros financieros y de responsabilidad civil actuales de Marsh que han contratado un seguro cibernético) asciendió al 16%. Los primeros datos de 2015 apuntan a una aceleración continuada en la demanda del seguro cibernético.⁵

Aunque sigue muy por debajo de los niveles estadounidenses, el porcentaje de las compañías que suscriben un seguro cibernético en Europa va en aumento.⁶

Los seguros cibernéticos combinan la cobertura de daños propios y la de responsabilidad civil. Si bien inicialmente estaban pensados para las intromisiones en los datos personales, rápidamente evolucionaron para incluir coberturas más habituales en las pólizas de daños materiales, como interrupción del negocio, daños a la reputación o supuestos de peligro físico. En realidad, algunos brokers reclaman ya que la formulación del seguro cibernético dé respuesta a las carencias de los productos de seguros clásicos, como los de daños materiales o responsabilidad civil general. Estos productos tradicionales suelen contener disposiciones que excluyen los activos intangibles y las pérdidas derivadas de los problemas relacionados con las TIC.

El seguro cibernético no deja de evolucionar, mientras las aseguradoras se afanan en afrontar los múltiples retos. Por ejemplo, debido a la falta de datos actuariales históricos, las aseguradoras seguirán revisando los supuestos de lo que constituyen unas primas adecuadas para el riesgo cibernético. Comprender la naturaleza sistémica de los riesgos cibernéticos y las posibles acumulaciones de riesgos a causa de elementos diversos como el Internet de las cosas, el cloud computing y el riesgo de la cadena de suministro, sigue siendo una de las preocupaciones fundamentales de las compañías aseguradoras. Pese a que están desarrollando herramientas más rigurosas para evaluar los perfiles de riesgo de sus posibles clientes, examinar detenidamente a los candidatos puede ser todo un desafío debido a la resistencia natural de algunas empresas a compartir demasiados detalles sobre su seguridad.

Además, dada la relativa inmadurez del seguro cibernético, en el mercado existe un sinfín de productos con su propia terminología, lo que complica la tarea de comparar y cotejar la formulación de las pólizas de seguro cibernético.

Aún con estos problemas sin resolver, se prevé que el mercado del seguro cibernético alcance los 10.000 millones de dólares estadounidenses en 2020⁷.

Esto no significa que una vez contratada una póliza de riesgo cibernético, las empresas deban olvidarse de la ciberseguridad. Bien al contrario, cuanto mejor entiendan los posibles efectos de sufrir un ciberataque, mejor podrán responder a él. Las compañías deben evaluar sus sistemas de seguridad en la red y aplicar las medidas para garantizar la ciberresiliencia. La resiliencia no implica necesariamente la capacidad de evitar todas las intrusiones de la red, sino la posibilidad de detectarlas y atajarlas con la mayor celeridad. Estas medidas han sido compiladas por distintos grupos de expertos en seguridad informática y agrupadas en tres niveles en el informe redactado por Zurich Insurance Company Ltd y el Atlantic Council of the United States titulado «Beyond  Data Breaches: Global Interconnections
of Cyber Risk»: básico, avanzado y resiliente.⁸ Evidentemente no todas las empresas necesitarán el mismo nivel de seguridad en la red, aunque ninguna debería confiarse por el hecho de no ser una organización grande y conocida o no pertenecer a un sector de alto riesgo. Esta visión es peligrosa. Todas las compañías están expuestas a los ciberataques igual que a las catástrofes naturales.

La naturaleza de los riesgos cibernéticos varía con la evolución de la tecnología. Además, los riesgos cibernéticos no se limitan a los límites de las empresas individuales. Con la creciente dependencia de los servicios en la nube e interconexión con los clientes y proveedores de la cadena de suministro, los gerentes de riesgos deben ampliar su horizonte y tener en cuenta que los riesgos cibernéticos pueden llegar incluso a cruzar fronteras.

Los riesgos cibernéticos están aquí para quedarse. Los gerentes de riesgos deben dar la máxima prioridad a la cuestión de la ciberseguridad, y promover una mayor conciencia sobre la materia entre los directivos y todos los empleados. Y si pretenden transferir el riesgo a una compañía aseguradora, no deberían buscar solo una ganancia económica en caso de fallo sino una compañía que le ayude a retomar la actividad con la máxima rapidez y eficacia posible. En Zurich estamos preparados para trabajar codo con codo con nuestros clientes para afrontar la complejidad de las eventualidades cibernéticas.

[box style=»1″]

Bibliografía 

1. Zurich Insurance Group/Atlantic Council (2014) «Beyond Data Breaches: Global Interconnections of Cyber Risk», Risk Nexus.

2. ICT for Peace, «Baseline Review of ICT-Related Processes and Events: Implications for International and Regional Security», 2014, 44 p.

3. Zurich Insurance Group/Esade (2015) «Global cyber governance: preparing for new business risks», Risk Nexus.

4. Zurich Insurance Group/Esade (2015) «Global cyber governance: preparing for new business risks», Risk Nexus.

5. Marsh (2015) «Benchmarking trends: as cyber concerns broaden, insurance purchases rise».

6. Advisen (2015) «2015 Network security & cyber risk management: the fourth annual survey of enterprise-wide cyber risk management practices in Europe».

7. ABI Research (2015) «Risks to Drive US$10 Billion Cyber Insurance Market by 2020».

8. Zurich Insurance Group/Consejo Atlántico (2014) «Beyond Data Breaches: Global Interconnections of Cyber Risk», Risk Nexus.

[/box]