Por Paulina Vélez, Líder de Seguros Cibernéticos para Latinoamérica de Marsh
El origen del seguro de riesgo cibernético o Cyber es muy reciente. Su nacimiento ocurre en Estados Unidos, entre finales de los años 90 y principios del 2000, como consecuencia de regulaciones sobre protección de datos personales en las que se imponían unas cargas muy altas a quienes tuvieran fugas de información personal.
En Latinoamérica su surgimiento es mucho más reciente: las primeras ofertas llegaron a la región aproximadamente en el año 2010, con coberturas muy enfocadas en responsabilidad civil, sin tanta aplicabilidad en la realidad latinoamericana.
En los últimos cinco años, diferentes ataque cibernéticos en el mundo, como WannaCry o Not Petya, han hecho evidente la amenaza que la materialización de este riesgo puede representar, afectando compañías en todos los lugares del mundo, de todas las industrias y tamaños.
La materialización principal de estos eventos ya no se encuentra exclusivamente en la divulgación de datos: actualmente son más relevantes las pérdidas propias que sufre una organización, como la pérdida de utilidades derivadas de una interrupción en el negocio ocasionada por una afectación a sistemas o los costos incurridos para recuperar los sistemas, o la información afectada por un ataque cibernético.
Esta realidad ha sido ajena a Latinoamérica, donde el mercado de seguros cyber ha tenido un desarrollo importante, especialmente después de la pandemia del Covid 19. Con anterioridad a la pandemia, los múltiples eventos de ransomware que generaron interrupciones en las operaciones, supusieron un interés mayor en la transferencia del riesgo. Sin embargo, la habilitación del trabajo remoto y el mayor uso de canales digitales como consecuencia del aislamiento social, así como el aumento exponencial de los ciberataques, hicieron aún más evidente la necesidad de gestionar y transferir el riesgo.
Evolución del seguro cibernético en Latinoamérica
Las reglas del seguro cyber
Como consecuencia del aumento en la siniestralidad, principalmente en las regiones donde el seguro tenia mayor penetración como Estados Unidos y Europa, los aseguradores tuvieron que hacer un nuevo análisis sobre la forma en la que podían aceptar este riesgo e implementaron diferentes estrategias. Algunas de las principales medidas se pueden agrupar así:
- Exigencia de controles mínimos para analizar riesgos, como existencia de múltiple factor de autenticación (MFA) para accesos remotos, existencia de copias de respaldo probadas y seguras, segmentación de la red, entre otros.
- Inclusión de limitaciones para las pérdidas generadas por ransomware, como coaseguros y sublímites.
- Coaseguros o sublímites en determinados eventos que los mercados han catalogado como sistémicos, que podrían afectar a tantas organizaciones en el mundo que la transferencia al mercado asegurador resulta imposible. La definición de que se considera sistémico varía de acuerdo a cada asegurador, aún no son muchos los que han adoptado este concepto, pero pareciera ser una forma de gestionar la exposición que más mercados están dispuestos a adoptar.
El mercado de seguros cibernéticos seguirá evolucionando a medida que la transformación digital lo siga haciendo, y cada vez será más relevante su rol compartiendo información valiosa sobre las medidas mínimas de gestión que permiten minimizar el riesgo y estar mejor preparados para afrontarlo.
Gestión del riesgo cibernético
Marsh ayuda a abordar el riesgo cibernético y a tomar las medidas adecuadas para cada organización. El equipo de Marsh puede ayudar a reforzar el programa de pruebas técnicas de seguridad de cada organización.
Fuente: Marsh