‘Cyber’, un riesgo que necesitamos asegurar

La tecnología se ha vuelto muy ubicua; es difícil vivir sin ella. Supone enormes ventajas, pero también riesgos, y aquí las aseguradoras juegan un papel cada vez mayor, ya que los ataques de grupos sofisticados son cada vez más agresivos.

La idea de que el delito cibernético está restringido a los piratas informáticos que trabajan desde un ordenador en su habitación hace mucho tiempo que está obsolete. La cadena de hoteles Marriott descubrió recientemente un ataque que afectó hasta 500 millones de registros, Singapur también sufrió un ataque en el cual se expusieron 1,5 millones de registros sobre la salud de la gente, mientras que el malware NotPetya en 2017 impactó a diferentes sectores como el negocio de transporte global o infraestructuras básicas. En agosto pasado, el Banco de España experimentó un ataque distribuido de denegación de servicio, que dejó a sus usuarios sin acceso a su sitio web. En 2017, el ataque de ransomware WannaCry que afectó a los servicios críticos, incluido el Servicio Nacional de Salud del Reino Unido, también se dejó sentir en nuestro país, ya que Telefónica se vio directamente afectada, mientras que otras compañías tuvieron que asumir un gasto considerable en la adopción de medidas de emergencia para proteger su propia infraestructura de TI.

El mundo se está volviendo cada vez más digitalizado, lo que trae muchas ventajas, pero también conlleva nuevos riesgos que afectan a todos, desde las personas, a pequeñas y grandes empresas y también a los gobiernos. A medida que nuestras economías y sociedades cada vez más globales y digitales se desarrollan, el ciberespacio es un riesgo desafiante y en constante evolución para las aseguradoras.

La razón por la que el ciberespacio es más desafiante es la velocidad completamente diferente a la que tienen lugar los cambios. Las nuevas tecnologías crean nuevas vulnerabilidades, por lo que es un riesgo que continuamente necesita actualizar su perspectiva. Como industria, todavía estamos desarrollando nuestro conocimiento de este riesgo, un paso crucial para compensar la falta de datos históricos de riesgo cibernético. Hemos progresado bastante en los últimos años. Pero, ¿cuáles son los principales retos a los que se enfrenta el sector de los seguros y reaseguros en relación con el ciberriesgo?

Silencio cibernético y acumulación de riesgos

Existen dos categorías principales de riesgo cibernético:

• · Riesgo cibernético afirmativo: pólizas de seguro que incluyen explícitamente la cobertura del riesgo cibernético
• · Riesgo cibernético no afirmativo, también conocido como riesgo cibernético silencioso: pólizas de daños de responsabilidad civil, transportes que no incluyen ni excluyen explícitamente la cobertura para el riesgo cibernético, pero que, sin embargo, están expuestas.

Las aseguradoras deben definir su apetito por el riesgo de exposición al riesgo cibernético afirmativo, al mismo tiempo que debe identificar qué niveles de riesgo cibernético silencioso están acumulando en sus carteras. Actualmente, la industria de seguros está realizando un arduo trabajo para detectar exposiciones cibernéticas, tanto silenciosas como ocultas, en sus contratos y transformarlas en explícitas, para así poder evaluarlas, valorizarlas, excluirlas o, como mínimo, monitorizarlas.

Esto permitirá a la industria dar el siguiente gran paso para definir la cibernética como una línea de negocio distintiva y satisfacer la demanda de un segmento de mercado en rápido crecimiento, que se estima alcanzará una prima de 10.000 millones de dólares en 2020.

Apoyo a las PYME

Mientras que cada vez son más las empresas que adquieren un seguro cibernético para gestionar su riesgo, suelen ser las grandes multinacionales las que contratan este tipo de coberturas. Sin embargo, a menudo las pequeñas y medianas empresas son las que más lo necesitan. Son tan vulnerables como cualquier otra empresa y es menos probable que dispongan de los recursos necesarios para diseñar e implementar una estrategia integral de ciberseguridad.

Esto significa que las aseguradoras deben ir más allá de la mera transferencia de riesgos (es decir, proporcionar compensación económica) y ampliar sus productos cibernéticos a servicios de gestión de riesgos más holísticos para las PYMEs mediante el establecimiento de alianzas con proveedores de servicios especializados. Estos servicios pueden ir desde la prevención de riesgos y la mejora de la postura de seguridad cibernética de una empresa, hasta la ayuda de expertos como los forenses de TI o la gestión de crisis que se ocupan de las secuelas de un incidente cibernético. Cuanto más pequeña es la empresa, más importante es el apoyo.

El papel de los seguros en la creación de un mercado cibernético sostenible

El sector de los seguros puede desempeñar un papel destacado en el apoyo a todas las empresas, especialmente en la obtención de una mayor resistencia cibernética. Dado que la industria se construye en torno al riesgo, los seguros se encuentran en una posición única no solo para desarrollar los productos necesarios (y entendidos) por el mercado, sino también para empujar a sus asegurados actuales o potenciales hacia el empleo de una mejor higiene cibernética y contribuir a aumentar la conciencia del riesgo a través de sus actividades de captación de clientes.

También se puede entablar un verdadero diálogo de riesgo con los clientes, proporcionarles apoyo con medidas preventivas y ayudarles si la empresa se ve afectada por un ciberataque a pesar de todo el trabajo preventivo que se ha llevado a cabo. Esto ayuda a mejorar los niveles generales de madurez cibernética de los clientes y a minimizar las interrupciones y las reclamaciones de ambas partes.

La situación de las amenazas en constante cambio, las nuevas experiencias en el tratamiento de los casos de ciberdelincuencia y los avances tecnológicos repercutirán en la evolución de los métodos de análisis de riesgos. Las aseguradoras contra la ciberdelincuencia deben determinar sus primas en función de los resultados de los análisis objetivos de riesgos y de las medidas de protección empleadas por los asegurados. De esta manera, el sector de los seguros puede desempeñar un papel importante para impulsar la madurez cibernética de una economía en su conjunto y ayudar a mejorar la resiliencia cibernética de cada empresa.

Santiago Arechaga es CEO Swiss Re Iberia