La situación del Seguro de Ciberriesgo en España.

Carmen Segovia.

«Un mercado de ciberseguros consolidado desempeñará un papel fundamental en la economía española porque permitirá al asegurado trasladar los riesgos de su actividad a un tercero con capacidad económica para soportar aquéllos; reforzará la posición crediticia del asegurado y fomentará la inversión productiva y el ahorro, puesto que financieramente el tomador de una póliza de seguros se constituye en prestamista del asegurador, quien convierte las primas que recibe en una inversión a largo plazo y, por ende, en ahorro para el asegurado»  Ciberseguros. La transferencia del ciberriesgo en España. Informe publicado por THIBER, the Cibersecurity Think Tank.

Situación del mercado de Ciber Seguros en España.

El mercado asegurador en España, y por extensión en Europa, con respecto a los Ciber Seguros, está todavía en vías de asentamiento y madurez con respecto al mercado norteamericano, mucho más desarrollado. Esto es debido a dos factores fundamentales en EE.UU:

1. Es uno de los países más ciber atacados y por tanto las empresas son muy sensibles a ello y hace tiempo que invierten en la gestión del riesgo cibernético debido a las importantes pérdidas económicas sufridas como consecuencia de ello.

2. Hay una mayor presión regulatoria, dada la obligación de notificar las brechas de seguridad, lo que supone a las empresas asumir un coste económico elevado por los gastos de notificación, así como hacer frente a las posibles sanciones administrativas (organismos reguladores) y contractuales (por ejemplo, sanciones impuestas por la Payment Card Industry)

En España, más de la mitad del IBEX 35 tiene póliza o está en proceso de contratación. Respecto al resto de sociedades, tanto cotizadas como no cotizadas y PYMES, tienen cada vez más interés en la contratación de este tipo de pólizas, y en los últimos tres años la adquisición de estos seguros ha crecido de manera sustancial.

Previsión de la evolución de la contratación en los próximos años.

Se prevé que la compra de este seguro seguirá creciendo por los siguientes motivos:

1. Los delitos cibernéticos se han convertido en habituales para las organizaciones. La mayoría de ellas no disponen actualmente de una infraestructura de gestión de riesgos que les permita combatir esas amenazas, por lo que los ataques, normalmente impredecibles, pueden convertirse en devastadores para las empresas. No olvidemos que los cibercriminales aprovechan las debilidades que presentan los sistemas informáticos y las plataformas tecnológicas, y esto es algo imposible de solventar. Sólo el hecho de desarrollar una nueva aplicación, un nuevo programa informático, genera nuevas vulnerabilidades en los sistemas.

2. Nuevos desarrollos legales conllevan que las empresas y sus directivos se enfrenten a nuevas responsabilidades:

• Ley de Sociedades de Capital establece que la ciber seguridad forma parte de la estrategia de negocio, ya no es un tema de índole técnica que deba delegarse al área de Seguridad y Sistemas, sino que debe tratarse en el seno del Consejo de administración. De hecho, en las últimas encuestas que plantea el sector a los Directivos y Risk Managers vemos que el riesgo cibernético se sitúa entre las primeras posiciones de los riesgos que más preocupan a la empresas y a sus directivos (Encuesta global en Gestión de Riesgos, 2015. AON) 

• Nuevo Reglamento de Protección de Datos de la Unión Europea viene a incrementar la presión regulatoria al establecer, como punto fundamental, la obligación de notificar los incidentes, equiparándose así a la legislación americana e introduce cambios en las sanciones pasando a ser éstas de hasta un 4% de la facturación mundial de la sociedad. 

3. Las grandes corporaciones están incluyendo en sus análisis de riesgo cibernético a todos sus proveedores, no sólo a los tecnológicos. Esto contribuirá a que se les empiece a exigir la contratación de una póliza de Ciber Riesgo, como ya es habitual que exijan la de Responsabilidad Civil General y Profesional.

Identificación de gaps de cobertura. Evolución de los Seguros Ciber y no Ciber.

Los ciber riesgos generalmente no están cubiertos bajo las pólizas tradicionales de Daños Materiales y Responsabilidad Civil, ya que estos riesgos suelen ser tipificados como una exclusión en este tipo de seguros.

Por tanto, los ciber seguros son productos aseguradores cuya finalidad es proveer de protección económica a la empresa frente a los incidentes derivados de los riesgos del ciberespacio, el uso de infraestructuras tecnológicas y las actividades que se desarrollan en dicho entorno.

A continuación detallamos las principales coberturas ofrecidas en el mercado, si bien su redacción, así como las definiciones y exclusiones variarán entre los diversos condicionados: 

• Gastos de gestión de incidente. Se da cobertura a los gastos en los incurra el Asegurado mediante contratación de servicios externos:

1. Gastos forenses para analizar la causa y determinar qué información se ha visto comprometida.
2. Gastos de asesoramiento legal para analizar las consecuencias legales frente a afectados y reguladores, así como asesoramiento para la notificación.
3. Gastos de comunicación y/o gestión del riesgo reputacional mediante realización de campañas de comunicación.
4. Otros servicios prestados a los afectados: Monitorización del crédito, servicio de atención de llamadas, etc. 

• Responsabilidades frente a terceros por privacidad de datos y seguridad de redes. Se da cobertura frente a reclamaciones de terceros por perjuicios ocasionados a dichos terceros como consecuencia de un fallo en la privacidad de datos de carácter personal o información corporativa de terceros o por un fallo de seguridad.

• Procedimientos regulatorios dando cobertura a los gastos de asesoramiento legal frente a un procedimiento administrativo por un incumplimiento de la normativa en materia de Protección de Datos.

• Pérdidas pecuniarias propias por interrupción de la actividad derivada de un fallo de seguridad y/o sistemas, así como la derivada de una amenaza de extorsión a sistemas y/o información (gastos de consultoría, pago de rescates, etc).

Sin embargo, el Seguro de Ciber Riesgo debe seguir evolucionando para cubrir los huecos de cobertura de los ramos tradicionales. Hoy un ataque ciber puede provocar daños materiales y corporales y en ese sentido deben evolucionar los programas de seguros, no sólo la póliza de Ciber riesgo. Aunque todavía muy incipiente, sí empieza el mercado asegurador a ofrecer primeras soluciones basadas en pólizas que actúan como umbrella sobre el programa de Todo Riesgo Daños Materiales y Responsabilidad Civil General ofreciendo cobertura ciber en Diferencia de Condiciones y de Límites para amparar los daños materiales y corporales cuando sean consecuencia de un ataque ciber.

Por otro lado, hay que resolver cómo va a interaccionar el Seguro Ciber con otras pólizas (Responsabilidad Civil de Administradores y Directivos, Responsabilidad Civil General y Profesional, Fraude, Todo Riesgo Daños Materiales, etc.) Debemos tener en cuenta que un ciber evento puede afectar a una póliza Ciber y a otra no Ciber.

Así mismo, habrá que ver también cómo evoluciona el Internet de las Cosas, el Big Data y otros factores para ver cómo sigue desarrollándose la póliza. Probablemente coberturas como

• La Primera Respuesta, o los servicios pre y post accidente, tendrán una evolución importante en los próximos años.
• La cobertura de Pérdida de Beneficios por interrupción de la actividad derivada de un fallo de seguridad y/o sistemas también deberá adaptarse a nuevos escenarios.
• La cobertura de Control de identidad y credit monitoring también deberá adaptar sus límites y el enfoque que se le está dando.
• La garantía de Gastos de Restitución de imagen también deberá desarrollarse para cubrir adecuadamente el Daño Reputacional, que es una de las principales preocupaciones que declaran las empresas (Encuesta global en Gestión de Riesgos, 2015. AON)
• Es decir, no es suficiente con sufragar los gastos de comunicación para minimizar el daño a la imagen como consecuencia de un ciber ataque, del que se hacen eco los medios de comunicación, sino llegar a cubrir la pérdida de beneficios derivada de la caída de la confianza de los clientes tras hacerse público el ataque.

No obstante,
no sólo el mercado asegurador debe seguir trabajando en el desarrollo de las coberturas y condiciones aseguradoras. Debe abordarse también el problema de las interdependencias y los cúmulos de riesgo, que se originan por el desconocimiento en la cadena de suministro de proveedores, sobre todo cuando se habla de proveedores de servicios en la nube, ya que el control sobre los mismos es menor y es difícil conocer quién está detrás de dichos proveedores o dónde se almacenan los datos que se están asegurando. En este sentido, las empresas deberían ser conscientes y ser más exigentes en el conocimiento de la cadena de suministro.

Por último, el Estado y sus organismos deberían tomar un papel relevante e iniciar mecanismos de colaboración e información con las empresas. Es fundamental que se comparta este tipo de información y se recaben datos sobre las brechas de seguridad sufridas porque eso es lo que va a permitir elaborar medidas que contribuyan a mejorar la resiliencia de las empresas frente a este tipo de amenazas. Así mismo, también el Estado debería intervenir como salvaguarda para determinados riesgos –ataques terroristas, estatales, etc- como ya hace con respecto a los riesgos catastróficos.

[box type=»note» bg=»#» color=»#» border=»#» radius=»0″]Carmen Segovia Blázquez, Directora y Responsable Nacional de Ciber Riesgos en AON España, con más de 10 años de experiencia analizando y asegurando los riesgos vinculados a Líneas Financieras y Profesionales, así como desarrollando nuevas coberturas y estrategias dirigidas a asegurar los Riesgos Cibernéticos. Ha participado en la colocación, negociación y desarrollo, tanto en mercado nacional como internacional, del Seguro de Ciber Riesgos de algunas de las principales corporaciones españolas de Infraestructura Crítica, Sector Bancario, Industrial y Retail. [/box]

Carmen Segovia Blázquez

Responsable nacional de Ciber Riesgos en AON.