El manejo de datos y la información son más vulnerables. El riesgo cibernético aumentó considerablemente. Por ello hay más solicitudes de cobertura, los productos han evolucionado, y también han subido las tasas, aunque todavía son muy aceptables para el riesgo cubierto. Según Marsh, los siniestros por ransomware aumentaron hasta un 56% en Estados Unidos, y entre un 20% y un 30% en Latinoamérica. Analizamos este tema junto a los especialistas Rodrigo Castia, Gerente de Líneas Personales de SURA Argentina; Alcides Ricardes, Director de Risk Group Argentina; Santiago Villagra, Gerente Comercial de DDN Central de Seguros; Christian Rada, Gerente Corporate de Marsh; y, Romina Tritten, Sub-Gerente de Líneas Financieras de Alea Broker de Seguros del Grupo Gaman, sobre la oferta de Ciberseguros en el mercado argentino, su alcance y difusión, y todo lo relacionado a los costos de las coberturas que actualmente se manejan.
Escribe Lic. Aníbal Cejas
Santiago Villagra, Gerente Comercial de DDN Central de Seguros; Rodrigo Castia, Gerente de Líneas Personales de SURA Argentina; y Alcides Ricardes, Director de Risk Group Argentina.
A partir del estallido de la pandemia, algunas compañías debieron tomar decisiones apresuradas para garantizar su continuidad operativa, sin tomar en cuenta los riesgos o sin implementar las herramientas necesarias para mitigarlos. Este contexto fue propicio para que el ciberdelito crezca y ponga en riesgo a aquellas empresas que no lograron tomar todos los recaudos necesarios.
Pero, ¿A qué nos referimos específicamente cuando decimos ciberdelitos? Para comenzar a adentrarnos en este tema, Santiago Villagra, Gerente Comercial de DDN Central de Seguros, nos brindó una definición: «Se conoce como riesgo digital o ‘cyber’ a cualquier riesgo de pérdida financiera, operacional o daño en la reputación de una organización, como resultado de debilidades en sus sistemas tecnológicos, en los procesos que los soportan o en el (mal) uso de la información por parte de las personas que acceden a esos datos. Las causas pueden ser muy variadas, desde ataques cibernéticos, virus informáticos y/o correos electrónicos malintencionados, hasta errores humanos, empleados que buscan recibir beneficios de forma fraudulenta, uso inadecuado de información por parte de los proveedores, entre otras».
Y explicó: «A partir de la pandemia de Covid-19, muchas organizaciones se vieron obligadas a contar con gran parte de sus colaboradores trabajando en forma remota desde sus hogares. En sus casas la gente no cuenta con el nivel de protección cibernética que se puede tener en la oficina, dentro de una empresa. Así es como los datos y la información con que se trabaja se vuelven más vulnerables y aumenta considerablemente el riesgo de siniestros digitales o cibernéticos. Esta situación hizo que aumentara la demanda y, por consiguiente, la oferta de este tipo de riesgos en nuestro mercado. Empresas de todos los tamaños, incluso profesionales independientes, tomaron conciencia de que es vital protegerse contra los ataques cibernéticos. Se trata de riesgos que pueden afectar a clientes, empleados, socios y proveedores, debido a la hiperconectividad y la rapidez con que se propaga el delito».
Para Rodrigo Castia, Gerente de Líneas Personales de SURA Argentina, las empresas que más entienden los procesos de transformación digital son las que se anticipan a las tendencias y se preparan para enfrentar los riesgos estratégicos a los que se pueden ver expuestos. Por esta razón: «En Argentina hay muchas empresas que comenzaron a explorar los riesgos cibernéticos a los que está expuesto su negocio, y esto se puede ver de manera muy concreta en que, en los últimos meses, hubo un aumento del 200% en las solicitudes de esta cobertura. Desde SURA estamos para acompañar a las empresas, por un lado, brindando información y anticipando a nuestros clientes sobre las tendencias y riesgos que impactan en su negocio y, por otro, ofreciendo soluciones que permiten mitigar los potenciales riesgos que pueden representarles una gran pérdida».
Seguidamente, Alcides Ricardes, Director de Risk Group Argentina, precisó: «En relación con el mercado de nuestro país, la oferta de soluciones de seguros para riesgos cibernéticos pareciera ser, por el momento, más amplia que la demanda o bien, más amplia que la identificación del Ciber Riesgo como un nuevo riesgo emergente con consecuencias en la continuidad del negocio. De lado de la oferta, cada vez son más las aseguradoras locales que cuentan con productos y especialistas en la suscripción de este tipo de riesgos. Por parte de la demanda, es necesario que los profesionales del seguro, tal cual como lo hacemos en Risk Group Argentina, trabajemos en profundizar y asesorar a nuestros clientes en el correcto mapeo del riesgo y sus alternativas de transferencia en productos de seguros. En ese sentido, hemos sido pioneros, entrenándonos para conocer en profundidad este riesgo y disponer del eRiskHub para determinar las exposiciones y el benchmark con pares de la industria».
Por su parte, Romina Tritten, Sub-Gerente de Líneas Financieras de Alea Broker de Seguros del Grupo Gaman, dijo: «Lamentablemente, la oferta de Cyberseguros de nuestro país es pobre. Las aseguradoras que lo ofrecen actualmente son cuatro: Meridional, Sura, Chubb y Zurich. De esas 4, sólo dos tienen aprobado el texto por la SSN. En este sentido, al haber poca competencia, los costos son mucho más elevados de lo que serían si hubiera una mayor competencia».
En sintonía, Christian Rada, Gerente Corporate de Marsh, opinó: «Actualmente en Argentina contamos con una oferta reducida en relación con la cantidad de aseguradoras, pero el mercado comienza a mostrar una tendencia de crecimiento en la propuesta de coberturas más completas y complejas para este riesgo. Esto se debe, en parte, a que durante 2020 hubo un incremento exponencial en el actuar de los ciberdelincuentes. Según datos oficiales, durante el año pasado hubo un crecimiento del 381% en reportes de ciberataques con respecto a 2019. Esta tendencia llegó para quedarse y es por ello que, en el mundo, las aseguradoras comenzaron a rediseñar sus políticas de suscripción, capacidades y análisis de los riesgos referidos a ciberseguridad».
Romina Tritten, Sub-Gerente de Líneas Financieras de Alea Broker de Seguros del Grupo Gaman; y Christian Rada, Gerente Corporate de Marsh.
Difusión
¿Por qué el seguro de Cyber no está tan difundido aún?
Al respecto, Castia mencionó: «Una de las tendencias más aceleradas en la actualidad es la digitalización de los negocios en general. Esto implicó un importante riesgo en las actividades empresariales, que previo al contexto de pandemia no se podría haber visibilizado con mayor detenimiento y detalle.
La Cobertura contra Riesgos Cibernéticos de SURA se encuentra en el mercado desde 2019 y surgió por una tendencia que consideraba como objetivo principal dar respuesta al acelerado desarrollo de las tecnologías de la información y la comunicación que se han dado en los últimos años; pero esta cobertura siguió creciendo aceleradamente, ya que al inicio de la pandemia se tuvieron que activar aún más los negocios digitales y los trabajos remotos, es por eso que diversas empresas tomaron decisiones rápidamente para poder asegurar su continuidad laboral, teniendo en cuenta los riesgos y utilizando nuevas herramientas para moderarlos».
Luego, Ricardes indicó que Risk Group Argentina se ha interesado en este tema desde el año 2017, «oportunidad en la que nos sumamos a la red global de brokers, en soluciones relacionadas con la tecnología Techassure -de la cual somos miembro del Directorio Ejecutivo-, así como de la experiencia de nuestro partner global Arthur J Gallagher».
Según el especialista, este conocimiento les ha permitido identificar vectores que han dado impulso a estas coberturas en otras regiones del mundo:
• Ataques globales (Wanacry-2017). Pusieron de manifiesto la vulnerabilidad global a los ataques de ransomware masivos simultáneos.
• Incremento en las Regulaciones. La necesidad de controlar y hacer visible sus efectos por parte de los Estados y sus Reguladores.
• Nuevo Riesgo Emergente. Adopción por parte de los directorios de las empresas como riesgo relevante en el mapeo de los riesgos que puede afectar directamente la continuidad del negocio, así como la responsabilidad directa de gestión de los directivos.
«La difusión es nuestra prioridad, nuestro asesoramiento abarca la identificación de todas las vulnerabilidades presentes y simultáneas en un ciberataque que comprende, entre otros, riesgos de Capital Humano -Infraestructura Tecnológica- Privacidad y Seguridad de Datos sensibles y/o estratégicos propios y/o de terceros, Continuidad de la Operación», enfatizó.
De acuerdo a Villagra, el Cyber riesgo no está tan difundido porque, «se trata de un riesgo bastante novedoso cuya demanda creció aceleradamente a partir de la necesidad de cubrir posibles ataques cibernéticos o fallas que paralizan la continuación de un negocio. En el momento que las organizaciones comenzaron a operar mayormente en forma remota, a través de la ‘nube’, los riesgos se vuelven exponenciales, por eso el hecho de que ahora se hable mucho más de este tipo de seguros de lo que se acostumbraba en el pasado. Actualmente, la demanda es mayor y, por lo tanto, hay mayor difusión sobre este tipo de coberturas».
Según Rada, la transformación digital acelerada por la pandemia trajo consigo muchos beneficios, pero también numerosas debilidades en la gestión de la ciberseguridad, ignoradas por un porcentaje muy alto de empresas. «Según nuestra encuesta regional Marsh-Microsoft 2020, el 50% de las empresas encuestadas no conocen el impacto financiero de un evento cibernético y solo un 5% contrata un seguro de Cyber. Esto quiere decir que, como especialistas, aún tenemos mucho camino por recorrer para concientizar sobre la importancia de la inversión en seguros de este rubro», resaltó.
Cerrando la rueda, Tritten expresó: «Creo que aún el cliente no se ha dado cuenta del riesgo que se corre si la divulgación de sus datos cae en manos equivocadas. Como mencionaba antes, a eso se le suma la poca oferta, lo que hace que a veces sean pólizas muchísimo más caras que otras de otros riesgos».
Costos
Con respecto a los costos de las coberturas de Cyber disponibles, Villagra señaló que en la cotización de un riesgo de ciberdelito hay muchas variables en juego: «El tamaño de la organización, el rubro al que pertenece, su distribución geográfica, los sistemas que utilizan, el tipo de firewalls y medidas de seguridad -en general y por sectores-, dónde se ‘hostea’ su información y cuáles son las características y parámetros de ese hosting, entre otras cuestiones. Se trata de un seguro complejo, así como también es complejo determinar qué origina un siniestro de este tipo, la vulnerabilidad.
En principio se estaba ofreciendo a PyMEs, que son las más afectadas, ya que la seguridad de su información y los sistemas no son su principal prioridad. Algunas compañías están ofreciendo ese tipo de coberturas también para personas. Por lo tanto, el espectro es tan grande que los precios varían muchísimo. Se trata de seguros que se cotizan ‘a medida’.
Desde DDN Central de Seguros contamos con diferentes alternativas de cobertura ante un posible ataque cibernético. Los seguros abarcan desde la Seguridad Informática hasta el acompañamiento y asesoramiento tecnológico. Y se contemplan los daños propios que sufra la empresa asegurada, así como los que sufran terceros como consecuencia de una violación de seguridad de datos o un incidente cibernético».
En la misma línea, Tritten comentó que el costo de una póliza de Cyber dependerá de muchos aspectos de la empresa que desea contratarla como, por ejemplo, la actividad que desarrolla, las seguridades que poseen sus sistemas, su situación financiera, que permiten evaluar un riesgo.
Posteriormente, Castia describió la cobertura contra riesgos cibernéticos que ofrecen en SURA: «Cubre el daño propio, como la recuperación de información digital, la interrupción de actividad empresarial, la extorsión cibernética, las transacciones bancarias fraudulentas y los gastos para proteger su reputación; también los daños a terceros, como la responsabilidad por violación de información confidencial o datos personales, la responsabilidad por software malicioso o virus informático, la publicación en medios digitales y los gastos judiciales y de defensa; y el manejo de crisis, que incluye gastos forenses, de defensa y autoridades administrativas, y los gastos sin previa autorización.
Los costos de las contrataciones de este tipo de productos dependerán mucho de las sumas aseguradas y las coberturas que necesita contratar el cliente; pero en relación con el nivel de inconvenientes o pérdidas que se puede llegar a generar en una empresa o persona, el costo es sumamente adecuado».
Desde Marsh, Rada detalló que los costos de las coberturas de Cyber tienen relación con la cantidad y la severidad presentados en la siniestralidad: «Según nuestro reporte Global Insurance Market Index, en el último año los siniestros por ransomware aumentaron hasta un 56% en Estados Unidos, y entre un 20% y un 30% en Latinoamérica. Ello explica que el aumento de precios en nuestra región en Cyber haya sido del 22%. Sabiendo esto, es importante que las empresas entiendan la exposición que tiene su trabajo y, sobre todo, las que no tengan cobertura, analicen los riesgos a los que se someten. Nuestras encuestas indican que el 50% de las firmas señalaron que el porcentaje de los ingresos anuales que invierten en IT es menor al 5%, lo que podría indicar una falta de correlación entre ingresos e inversión en protección de datos».
Por último, Ricardes analizó: «El mercado de seguro de Riesgos Cibernéticos global ha evolucionado satisfactoriamente con un fuerte crecimiento desde el año 2017/2018, sobre todo en aquellas regiones donde la oferta y demanda se han desarrollado simultáneamente. Durante la mayor parte de su corta vida, el seguro de riesgos cibernéticos ha experimentado una rápida expansión y evolucionó ágilmente para adaptarse a la par de las ciber amenazas.
Los productos de seguros cibernéticos ampliaron el alcance de la cobertura, lograron abundante capacidad disponible y tasas de riesgo estables o decrecientes en un entorno altamente competitivo de mercado. Sin embargo, el mercado de seguro de riesgo cibernético comenzó a cambiar a finales de 2019, debido al crecimiento de la siniestralidad en frecuencia e intensidad de las reclamaciones por ataques cibernéticos (encriptación de información y solicitud de rescates), así como un creciente entorno regulatorio más estricto a nivel estatal e internacional.
Durante 2020 comenzaron los primeros signos reales de un endurecimiento del mercado a medida que los riesgos más grandes y sofisticados pasaron a estar sujetos a una mayor exigencia de suscripción y, en consecuencia, aumentaron las primas y los deducibles de estas coberturas. Esta tendencia continuó y se aceleró en la segunda mitad de 2020 y permanece hoy vigente iniciando el último trimestre de 2021. Los efectos de la Pandemia Covid-19, como es el caso del ‘home office’, generaron un incremento de las vulnerabilidades de los entornos tecnológicos y, en consecuencia, la multiplicación de los ataques a individuos, empresas y Estados.
Es de esperar que la tendencia más próxima continúe siendo la presente. El mercado de riesgo cibernético ha experimentado un cambio de paradigma y debemos estar atentos a su evolución venidera. Lo que sin dudas no va a cambiar es que los riesgos cibernéticos son parte de los nuevos riesgos emergentes que llegaron para quedarse y que, tanto la oferta como la demanda, deberán converger en una solución de transferencia de riesgos económicamente viable para ambas partes».