La preocupación por la exposición a ciberataques ha irrumpido en la vida de los gerentes de riesgos y ya resulta habitual encontrarla en los puestos más altos de los ranking divulgados por brokers y aseguradores. Sin embargo, menos de la mitad de las empresas cuenta aún con un ciberseguro…
En la década de los 90 aparece en EEUU el seguro destinado a proteger a las entidades contra ataques cibernéticos, un producto por tanto tremendamente inmaduro aún, habida cuenta además del carácter complejo y cambiante del riesgo que pretende cubrir. Es en estos últimos años cuando está empezando a tener verdadera expansión, si bien aún sólo un tercio de las compañías cuentan con algún tipo de ciberseguro, según encuesta realizada recientemente por la empresa de seguridad Mimecast en US, UK, Sudáfrica y Australia. Hay una alta expectativa de crecimiento, que apunta a unas ventas estimadas de 10.000 millones USD a nivel global en 2020 (de los que 7.500 millones USD se localizan en EEUU), frente a unos 2.000 millones USD en 2014 (según estimaciones de PWC y ABI).
Por tanto, hay un gran número de empresas inmersas en el arduo proceso de decisión de una posible transferencia a la industria aseguradora de sus riesgos asociados al entorno digital, y que se enfrentan fundamentalmente a los siguientes retos:
1. Entender el riesgo.
Tanto los orígenes como las consecuencias de los ciberataques son enormemente diversos, de modo que los gerentes de riesgos debemos apoyarnos en nuestros CISO, CIO, CTO, CDO y demás responsables relacionados con el mundo digital y su seguridad, e involucrarles a lo largo de todo el proceso de análisis y decisión. No tardaremos en darnos cuenta de la gravedad de la exposición que todos, sin excepción, tenemos. Valga como muestra la declaración del ex Director del FBI Muller: “There are two types of companies, those that have been hacked and those that will be hacked” o su sucesor James Comey, que era más aún más concreto: “There are those who’ve been hacked by the Chinese, and those who don’t know they’ve been hacked by the Chinese...”.
Tendremos la oportunidad de profundizar en el marco de ciberseguridad de nuestra empresa, elemento clave que debe ser igualmente compartido con los aseguradores para comprometerlos con nuestro objetivo de transferencia. El número, variedad y sofisticación de los ciberataques crece a alto ritmo año tras año, si bien la mayoría aún son sencillos y basados en altas vulnerabilidades de las víctimas, o incluso provienen de actores internos, empleados, que voluntaria o involuntariamente provocan una fuga de información. Es habitual que las entidades ni siquiera sepan que están siendo atacadas (la media para descubrir una brecha de seguridad supera los 200 días y suele ser un tercero quien lo descubre).
Mención aparte merece el riesgo asociado a proveedores. El entorno digital abarca una amplia gama de servicios externalizados que tiene gran incidencia en nuestro análisis, donde destaca la meteórica expansión de servicios en la nube. Necesitaremos tener información clara de esos proveedores, niveles de seguridad, responsabilidades contractuales, coberturas, etc., y cómo afecta todo ello a nuestro riesgo, teniendo en cuenta que el mercado asegurador tiene ciertas restricciones para asumir en nuestra póliza consecuencias de ciberataques realizados en origen contra un tercero.
2. Entender la póliza.
Una vez hemos comprendido el riesgo que queremos gestionar, sobreviene la difícil tarea de conseguir encajarlo en el texto de una póliza, teniendo en cuenta que los asegurados generalmente buscarán una cobertura que vaya más allá de una brecha de seguridad y abarque también errores humanos y otras negligencias técnicas, daños físicos, etc.
Debe entender la industria aseguradora que aún hoy sigue habiendo una distancia notable entre la expectativa del asegurado (en términos de nomenclatura, estructura, lenguaje, etc) y lo que obtiene del asegurador, lo que desemboca en interminables análisis y foros de discusión para dilucidar cómo responde la póliza a los diversos escenarios que el asegurado se plantea. Ésta es una de las barreras principales que hace dudar a los potenciales compradores de la contratación de una póliza y está impidiendo un mayor desarrollo del ciberseguro, pese a que tenemos ya valiosas evidencias de la efectividad del producto (caso Target). Estas dificultades para encontrar certeza contractual, que afecta igualmente a otro tipo de pólizas, explica probablemente que el regulador europeo esté aún reticente a admitir el seguro para liberar capital, pese a que nadie le cabe duda de que transferir el riesgo a un tercero blinda nuestro balance frente a determinadas contingencias. Conviene por tanto dedicar esfuerzos a encontrar fórmulas más claras, abiertas y adaptadas a las necesidades del asegurado.
Por otro lado, los gerentes de riesgos debemos ayudar al mundo asegurador a cumplir su tarea. Tendremos que trasladar adecuadamente a nuestra organización la expectativa de cobertura y los triggers que la posibilitan, retroalimentando el proceso con el feedback obtenido antes de poner en marcha la póliza, y no recurrir a frustrantes improvisaciones una vez ocurrido determinado incidente. Tenemos por tanto la obligación de implicar a todas las áreas relevantes no sólo en facilitar al mercado asegurador la información necesaria para dibujar nuestro perfil de riesgo, sino en el diseño y proceso de redacción de la póliza.
3. Estructurar un Programa Internacional.
Si además la cobertura va dirigida a una multinacional, tendremos que manejar requisitos regulatorios que, entre otras cosas, nos obligan a emitir pólizas locales en algunos territorios o a liquidar impuestos en las jurisdicciones donde operamos. Sucede que aquellos países donde encontramos entornos más proteccionistas y por tanto la exigencia de emisión local, son precisamente los mismos donde el ciberseguro está menos arraigado y resulta más difícil que nuestro asegurador sea capaz de emitir la póliza que necesitamos, lo que puede obligarnos a recurrir a fórmulas como las cláusulas FINC (Financial Interest Cover), sobre cuya legalidad no hay aún consenso, o renunciar en ese territorio al condicionado que con tanto esfuerzo se ha trabajado.
Deberemos también decidir qué estructura de límites queremos construir. Previamente habremos evaluado nuestro riesgo y sabremos cuál es la máxima exposición del grupo a un incidente, ¿pero cómo distribuimos nuestro límite geográficamente? El carácter global del ciberriesgo y la alta intensidad que puede alcanzar da sentido a la fórmula habitual de tener un paraguas común compartido por todas nuestras geografías. Queremos protegernos frente a un black swan que pueda golpearnos en cualquier entidad, así que nos interesa comprar un límite alto y ponerlo a disposición de todo el grupo. Pero numerosas legislaciones no atienden a límites “compartidos” y exigirán que, llegado el caso, la póliza responda con toda su capacidad a un siniestro, independientemente de que se haya consumido parte del límite en incidentes de otros territorios. Además, en estructuras descentralizadas los intereses locales de una entidad no querrán verse comprometidos por sucesos de otras filiales y pueden reclamar un límite autónomo. Por otro lado, si estructuramos silos independientes donde cada país tiene su propio límite ajeno al resto, necesitaremos capacidad adicional, lo que no sólo implica un coste añadido sino la dificultad de enfrentarnos a un mercado aún en vías de desarrollo, con capacidades limitadas y problemas para adaptarse a este tipo de estructura.
Deberemos por tanto entender las consecuencias de cada alternativa para elegir la más adecuada a nuestras necesidades.
4. Gestionar siniestros.
Un ciberataque activará en la organización afectada un protocolo de gestión de crisis con intervención de expertos forenses, legales, de comunicación, riesgo tecnológico, etc., que debe estar perfectamente armonizado con el propio protocolo de gestión de siniestros de la póliza, bajo la dificultad añadida de la necesidad de inmediatez de respuesta y de tratarse en ocasiones de eventos sensibles donde la confidencialidad juega un papel importante. Pero si queremos optimizar la efectividad de la póliza deberemos ir de la mano de los aseguradores y sus expertos designados al efecto en la resolución de un incidente. Podemos encontrarnos con empresas que no tengan planes de contingencia adecuados, en cuyo caso el seguro puede servir para diseñarlos o para complementarlos, aumentando así su valor añadido con la obtención de un servicio de consultoría que va más allá de la mera transferencia.
5. Mapear las pólizas existentes.
Las
diversas consecuencias de una brecha de seguridad se asocian a coberturas repartidas en diferentes pólizas, lo que nos obligará a una revisión profunda que evite redundancias y al reto de trasladar a nuestra organización una imagen clara de cómo encaja cada consecuencia en cada póliza, y cómo proceder si ocurre un incidente para recuperar adecuadamente las pérdidas y gastos incurridos. Así por ejemplo, mientras el ciberseguro suele estar más centrado en la cobertura de gastos, reclamaciones de terceros y pérdida de ingresos, la pérdida económica directa de una institución financiera (por ejemplo, el dinero perdido en una transferencia fraudulenta) se puede cubrir en la BBB (Bankers Blanket Bond), los daños físicos e incluso algunos gastos de recuperación de datos se asignan a la póliza de Daños Materiales, algunas reclamaciones de terceros podrían tener cabida en nuestras pólizas de Responsabilidad Civil, podemos encontrar cobertura de ciberextorsión bajo K&R (Kidnap and Ransom) y, por supuesto, habrá que prestar especial atención a las responsabilidades de altos directivos, que debe contemplarse en la D&O (Directors and Officers). Respecto a este último punto, las diversas regulaciones evolucionan claramente hacia el deber del directivo de velar por la ciberseguridad, al tiempo que algunos Consejos de Administración se están enfrentando ya a procesos judiciales derivados de una brecha de seguridad. Y, cómo no, hay consecuencias en el riesgo reputacional, que por su transversalidad podría verse seriamente afectado, no sólo por la importancia real que pudiera tener el incidente sino por el alto (y creciente) carácter mediático del ciberriesgo.
Este proceso no debe terminar una vez tengamos diseñada e implementada la cobertura, sino que debe continuar después con una estrecha monitorización y revisión de cada una de sus fases. El ciberriesgo evoluciona, así como nuestra empresa, el entorno regulatorio, nuestros proveedores, etc. Debemos por tanto tener un modelo de gestión resiliente capaz de adaptarse a un contexto complejo y dinámico.
Cada vez más, el regulador tiende a aceptar que este tipo de incidentes puede suceder en cualquier organización, y por tanto centrará su escrutinio en cómo reacciona y cómo se ha preparado para gestionar este tipo de eventos. No podemos estar 100% seguros, pero sí podemos reaccionar con diligencia, prepararnos para minimizar los daños y evidenciar un nivel de preparación adecuado, evitando así graves consecuencias para nuestra empresa, nuestros clientes y nuestra reputación.
El 17 de mayo de 2016, el Consejo de la UE adoptó formalmente nuevas normas para aumentar la seguridad de las redes y de los sistemas de información, estableciendo obligaciones de seguridad para los operadores de servicios esenciales (energía, transporte, salud, finanzas) y los proveedores digitales. Se espera que la Directiva quede implementada en 2018, lo que conllevará entre otras cuestiones la obligación de notificar cierto tipo de incidentes, un marco común de ciberseguridad y un elevado componente sancionador.
Actualmente no hay información disponible de la mayoría de ataques producidos y sus consecuencias, ya que muchos se resuelven en el ámbito íntimo y confidencial de las empresas afectadas. A partir de 2018 este panorama opaco cambiará, facilitando así el desarrollo estadístico y actuarial tan necesario para las compañías aseguradoras. Todo ello nos situará en un plano más similar a EEUU que redundará sin duda en una mayor proliferación de los ciberseguros.
En este contexto, no son pocas las voces que demandan un papel proactivo de los organismos públicos en la vertebración de la ciberseguridad privada, que incentive la prevención y mitigación de riesgos en entornos digitales, y establezca marcos de colaboración y actuación que faciliten a los operadores el diseño de entornos cibernéticos protegidos y resilientes. En lo que se refiere específicamente al ciberseguro, no cabe duda de que se trata de una herramienta que no sólo transfiere el riesgo a un tercero, sino que implica al asegurador en la debida vigilancia de nuestra seguridad para minimizar su propio riesgo, favoreciendo la adopción de medidas preventivas y mejorando la obtención y comprensión de información en materia de ciberseguridad, lo que merece el reconocimiento del seguro desde el sector público como elemento dinamizador de la prevención y seguridad, como de hecho ocurre en EEUU, que sigue evolucionando en el fortalecimiento de las relaciones entre industria aseguradora y organismos gubernamentales, o en UK, donde la promulgación en 2015 del Cyber Essentials Scheme: Assurance Framework, prioriza el ciberseguro como herramienta de mitigación y sienta las bases para hacer de Londres un centro global en esta disciplina.
En definitiva, la colaboración entre todos los agentes citados es el elemento clave para una gestión eficaz del ciberseguro.
[box bg=»#» color=»#» border=»#» radius=»0″] Sobre el autor, Ignacio Del Corral,Director Corporativo de Seguros Propios del Grupo Banco Santander. Inicia su carrera en el sector asegurador en el año 2000, en el Dpto. de Aviación de Marsh, donde en 2003 se traslada al equipo de Risk Management General y empieza a gestionar riesgos de grandes grupos internacionales. En 2007 participa en la puesta en marcha de la unidad de Grandes Cuentas de Willis. A finales de 2012 se incorpora al Grupo Santander como Responsable de Riesgos Asegurables, donde actualmente desempeña su labor profesional como Director Corporativo de Seguros Propios.[/box]
