Lo que hace que el análisis de riesgos desde la perspectiva de los seguros sea aún más complejo es que la amenaza está en constante evolución y que hay muchas capas de tecnologías conectadas e interconectadas, cada una con sus propias vulnerabilidades y especificaciones, como el software, el hardware, el IoT, la monitorización remota, etc.
La transformación digital de nuestras economías crea muchas oportunidades, pero también genera riesgos cibernéticos omnipresentes. Ya en 2017, la OCDE consideraba al sector asegurador como un actor clave para mejorar la resiliencia cibernética global y la gestión de los ciberriesgos [1] Además, la concienciación sobre los ciberriesgos ha aumentado mucho en la población general, que ha sido testigo de un número creciente de ataques durante la crisis de Covid-19, incluyendo infraestructuras críticas, como los hospitales.
¿Cuáles son los retos de la ciberseguridad?
Las tecnologías que se conectan a Internet no siempre han tenido la seguridad como máxima prioridad, ya que la innovación era lo primero. Por lo tanto, muchas de las vulnerabilidades introducidas para las empresas y los gobiernos no están totalmente aseguradas hoy en día. Aunque está cambiando, el número de gobiernos y empresas que contratan seguros cibernéticos sigue siendo relativamente bajo en todo el mundo. Como resultado, las pérdidas cibernéticas siguen sin estar aseguradas en su mayoría hoy en día.
Y, de hecho, hay muchos desafíos con el ciberseguro. En primer lugar, el sector asegurador se basa en el reconocimiento de patrones en los datos para poder fijar el precio del producto. En el caso de un riesgo natural, por ejemplo, disponemos de datos meteorológicos históricos que nos ayudan a predecir lo que ocurre con un huracán o un tsunami, mientras que, en comparación, apenas disponemos de 10-12 años de datos sobre ciberseguros. Lo que hace que el análisis de riesgos sea aún más complejo es que la amenaza está creada por el hombre y evoluciona constantemente. Además, hay muchas capas de tecnologías conectadas e interconectadas, cada una con sus propias especificaciones, como el software, el hardware, el IoT, la monitorización remota, etc.
Cuando miramos la modelización de la acumulación dentro de la cibernética, está muy inmadura. Tenemos un par de escenarios y modelos de catástrofes realistas, pero solo tienen unos pocos años y aún no incluyen completamente los cambios en el comportamiento de los actores de las amenazas. Además, los riesgos tradicionales, como los incendios y las explosiones, y otros tipos de daños materiales derivados de un evento cibernético, todavía no están totalmente modelizados en el sector. Es muy pronto en el mundo de la modelización de la acumulación.
La falta de datos y los problemas de modelización generan incertidumbre. Es una oportunidad para el sector de los seguros, pero es necesario que los expertos en ciberseguridad y en seguros se unan para evaluar los problemas y analizar la madurez cibernética de la empresa que busca la cobertura del seguro.
¿Cuáles son las principales tendencias en el desarrollo del ciberseguro?
Lo que es realmente nuevo en 2021 es el gran impacto de los casos de ransomware, con graves pérdidas este último año. Está cambiando el apetito de riesgo del sector asegurador, que en este momento está en modo reaccionario.
Otra tendencia muy importante es el paso de las pólizas "silenciosas" a las "afirmativas", es decir, ser explícito sobre lo que se incluye y lo que se excluye de las pólizas. La comunidad de reaseguradores comenzó a explorar estas cuestiones alrededor de 2015-2016. ¾ÅÉ«ÊÓƵdio el paso en 2019, luego Lloyd's ordenó a las aseguradoras ser explícitas en sus pólizas y dio a las aseguradoras 24 meses para desplegar los cambios de forma. Algunos en la comunidad de reaseguros están ahora preguntando a sus clientes si sus pólizas son silenciosas o afirmativas. Creo que esto impulsará el comportamiento del sector asegurador en todas las líneas de negocio en el próximo año o dos. Esto no sólo afectará a los productos cibernéticos directos, sino también a los productos en los que el ciberespacio es un riesgo en otras líneas de negocio, como la propiedad o la responsabilidad civil.
Por último, hay una creciente conciencia global de los riesgos y pérdidas cibernéticas. Las pequeñas empresas empezarán a comprar pólizas independientes que cubran el ciberespacio con límites más altos, en lugar de paquetes de seguros que incluyan el ciberespacio.
Sin embargo, el desequilibrio entre la oferta y la demanda está impidiendo el desarrollo del sector. En general, todavía no hay suficientes compañías de seguros ni capacidad para cubrir los riesgos cibernéticos. Por parte de las compañías de seguros, también existe el temor a lo desconocido en cuanto al cambio de comportamiento de los actores de las amenazas.
Además, hay una limitación en el acceso a la suscripción y a la experiencia en riesgos en esta área. También hay una falta de madurez en el tema con los principales interesados, como los agentes y corredores, que son los asesores de las empresas. Sin embargo, hay un compromiso muy fuerte por parte de la comunidad cibernética para mejorar la educación y la conciencia entre los intermediarios.
¿Qué deben saber los consejos de administración sobre los ciberriesgos?
Otra limitación para el desarrollo del sector de los ciberseguros es la concienciación y madurez de los consejos de administración respecto al riesgo y si deben abordarlo mediante una combinación de gasto en ciberseguridad, auto-asegurando el riesgo o si quieren transferirlo a una aseguradora. Los consejos de administración de las empresas que cotizan en bolsa tienden a tener una mayor madurez que los de las empresas privadas, pero, al igual que muchas cosas en el ámbito de la ciberseguridad, esto también es relativamente inmaduro.
Hay varias cosas que un consejo de administración que cotiza en bolsa debería conocer razonablemente sobre cuestiones cibernéticas. Piense en un taburete de tres patas: hay normas y marcos, hay una gobernanza general y, por último, está la evaluación del daño financiero de un riesgo no abordado. La investigación sin ánimo de lucro del Grupo Crossroads destaca la necesidad de identificar las circunstancias que contribuyen al ciberriesgo de la organización, primero a escala local dentro de una organización, y de determinar el apetito de la organización por estos riesgos [2], lo que lleva a la aplicación de un plan de ciberriesgos que contenga las acciones a realizar para gestionar el ciberriesgo y, por supuesto, a la creación de mecanismos de supervisión.
[1] , OCDE, diciembre de 2017
[2] , Cyber Crossroads, mayo de 2021
Sobre la autora
Libby Benet es Global Chief Underwriting Officer of Financial Lines en AXA XL. Libby es Supervisory Board Member de S-RM, una consultora global de riesgos e inteligencia, y miembro de la Junta Directiva de la Mutua de Abogados de Minnesota a través de la Asociación Internacional de Profesionales de la Privacidad. Libby es licenciada en Ciencias Políticas por la Universidad de Towson y licenciada en Derecho por la Facultad de Derecho de la Universidad de Baltimore.
