Resiliencia cibernética: el Seguro tiene mucho que decir con nuevos productos más innovadores y flexibles

Los recientes ataques cibernéticos sufridos por numerosas empresas demuestran que los costes de una violación cibernética pueden ir mucho más allá de la gestión de las consecuencias de la pérdida o corrupción de datos.

El riesgo cibernético es un problema que preocupa, por este motivo, el último informe Sigma de SWISS RE, titulado ‘Cibernética: cómo enfrentarse a un riesgo complejo’, pone el acento en la necesidad que las empresas hagan mucho más para integrar la ciberseguridad en sus programas de gestión de riesgos. Este informe es el primero publicado bajo la insignia de ‘Swiss Re Institute, que se presenta hoy formalmente y tiene como objetivo elaborar informes de investigación.

Hay en marcha iniciativas para estimular la resiliencia cibernética, afirma la reaseguradora. De esta forma, se está desarrollando rápidamente un mercado especializado en ciberseguro “pero hasta ahora el alcance de la cobertura es modesto respecto a la exposición potencial. La innovación de productos y procesos, junto con la analítica avanzada, ayudarán a impulsar soluciones de ciberseguro mejoradas y ampliarán tanto los límites de asegurabilidad como el alcance de cobertura”. Hay que tener en cuenta, además, que es posible que algunos riesgos cibernéticos, especialmente los relacionados con eventos de perdidas catastróficas extremas, no sean asegurables, recuerda el informe, “en estos casos podría ser necesario un respaldo financiero de último recurso por parte del gobierno”.

La regulación podría ser un catalizador para el cambio, gracias a que en muchas jurisdicciones se está desarrollando legislación que obliga a las compañías a introducir mayores medidas de protección de datos. Como resultado: “las compañías, tanto grandes como pequeñas, deben invertir más en arquitectura de ciberseguridad para desarrollar sólidas capacidades de gestión de riesgos antes y después de pérdidas”, afirma Kurt Karl, economista jefe de SWISS RE.

Es una realidad, ya hay un mercado específico de ciberseguro

Muchas compañías desean transferir riesgos cibernéticos a terceros en mejores condiciones para absorberlos: “Se está desarrollando un mercado específico de ciberseguro y cada vez hay más aseguradoras que desean ampliar el negocio en este ramo especializado”, confirma Kurt Karl.

¿Qué ofrece esta cobertura? El seguro cibernético específico ofrece normalmente protección básica contra violaciones de seguridad de redes y datos y pérdidas asociadas, con límites de capacidad en el mercado que actualmente oscilan entre 5 y 100 millones de dólares. Pero hay que tener en cuenta, alerta SWISS RE, que algunos riesgos cibernéticos importantes aún están sin asegurar y la escala de cobertura existente es modesta respecto a las exposiciones globales de las compañías, subraya el Informe de Sigma.

Una limitación importante para el desarrollo de soluciones de seguro guarda relación con la naturaleza intrínseca de los riesgos cibernéticos, remarca el informe. “Son complejos y difíciles de cuantificar, especialmente dada la vertiginosa evolución del entorno tecnológico y la carencia de datos de siniestros cibernéticos históricos que servirían para extrapolar información sobre posibles futuras pérdidas. Las aseguradoras y los proveedores de analítica de riesgos están experimentando con diferentes enfoques de modelización del riesgo cibernético, incluyendo análisis determinísticos de escenarios y modelos probabilísticos, en un intento de calcular las posibles pérdidas por eventos cibernéticos”. Por ello, la experiencia de otros peligros, como catástrofes naturales, ofrece la esperanza de que los modelos continúen mejorando a medida que evolucione la comprensión de los factores de riesgo y se disponga de más datos sobre pérdidas cibernéticas.

Un factor crucial –añade el documento- a la hora de mejorar las capacidades de gestión de riesgos cibernéticos y que influirá en el ritmo de la innovación será la obtención y el análisis de la información relevante sobre amenazas y datos que es necesaria para suscribir riesgos cibernéticos con precisión.

El alcance de los costes potenciales asociados con ciberincidentes refleja la constante evolución del panorama de riesgo cibernético. Está conformado por tres dinámicas principales: La creciente velocidad y alcance de la transformación digital; Las fuentes cada vez más amplias de vulnerabilidad como consecuencia de la hiperconectividad, con la rápida propagación de, por ejemplo, dispositivos con conexión a Internet y computación en la nube; Y la mayor sofisticación de hackers muy interesados en los posibles beneficios económicos como consecuencia de ciberataques exitosos.

La clave: productos menos complejos, más flexibles y para pymes

Las aseguradoras están tratando de desarrollar productos de seguro menos complejos y más flexibles. Según este informe incluye coberturas que puedan adaptarse a pequeñas y medianas empresas, que hasta ahora han estado desatendidas por el seguro y frecuentemente están peor situadas para hacer frente a riesgos cibernéticos que las empresas más grandes. Además, algunas re/aseguradoras buscan colaborar con empresas de ciberseguridad y proveedores de analíticas de datos para llenar sus lagunas de conocimiento y ampliar/proporcionar servicios adicionales a sus clientes. En líneas generales, la analítica avanzada puede aumentar las herramientas tradicionales de suscripción de las re/aseguradoras, y ayudarles a responder rápidamente a factores de riesgo subyacentes en rápida evolución.

Otra forma de incrementar la capacidad de absorción de pérdidas global para el riesgo cibernético es el desarrollo de vehículos de inversión que permitan a los inversores del mercado de capitales asumir algunas de las exposiciones. Hay en marcha algunas iniciativas para desarrollar valores vinculados al seguro (ILS, por sus siglas en inglés) que cubran riesgo de tipo operativo como el cibernético. El mercado ILS de riesgos cibernéticos está todavía en sus inicios pero podría crecer.

Por último, desde Sigma pone de relieve que dado el volumen potencial de pérdidas ocasionadas por algunos eventos cibernéticos podría ser demasiado grande para ser absorbido por el sector privado re/asegurador, especialmente en el caso de eventos de pérdidas máximas, sería necesario un respaldo patrocinado por el gobierno (es decir, una re/aseguradora de último recurso), algo parecido al respaldo estatal para la protección contra riesgos catastróficos de terrorismo: “los gobiernos tienen una función importante que desempeñar a la hora de promover resiliencia cibernética, incluyendo medidas para mejorar la obtención y difusión de información cibernética y la elaboración de leyes y regulaciones sobre cómo se usa y protege el ciberespacio”.