La oferta de seguros no crece a la misma velocidad que los ataques
Mientras los ciberataques se incrementan, sólo unas pocas compañías, a nivel local, se animan a lanzar seguros para estas amenazas. Poder delimitar los daños consecuenciales y estimar costos son algunas de las barreras en la Argentina. En cambio, a nivel mundial la venta de coberturas avanza, los incidentes cibernéticos ya encabezan el ranking de riesgos corporativos y las regulaciones estatales fijan como obligatoria su contratación.
Los especialistas aseguran que, en líneas generales, el negocio de ciberseguros en la Argentina crece lentamente, sin acompañar la misma velocidad, intensidad y frecuencia con la que están creciendo los ciberataques.
Los incidentes cibernéticos encabezan, este año, el Barómetro de riesgos de la aseguradora Allianz por segunda vez en la historia de la encuesta, con el 44 % de las respuestas. La interrupción del negocio cae a un segundo lugar (42 %) y las catástrofes naturales ocupan el tercer lugar (25 %), desde el sexto lugar en 2021. La encuesta anual de Allianz Global Corporate & Specialty (AGCS) es importante porque incorpora las opiniones de 2.650 expertos en 89 países.
“Cuando hablamos de ciber-risks no sólo contempla el hackeo, afecta a toda la cadena. El tema es complicado porque abarca desde la caída de una red hasta todo lo que puede ocasionar ese ataque”, sostiene Horacio Cavallero, presidente de la Cámara Argentina de Reaseguradores (CAR). Él propone que pensemos en qué pasaría si cae una gran operación de comercio electrónico. “En este caso no sólo el marketplace perderá dinero sino también miles
de compañías y pymes que venden a través de esa plataforma. Es importante tener en cuenta que este riesgo tiene consecuencias directas e indirectas de quien hace el servicio.
¿Qué pasa si deja de funcionar una línea de producción o un aeropuerto?
Uno piensa en ciberseguridad, pero lo que más le preocupa al seguro es entender los daños consecuenciales, estimar hasta dónde es responsable. Les cuesta mucho limitar el alcance”, explica Cavallero.
Para Romina Tritten, subgerente Líneas Financieras en Alea Broker de Seguros, del Grupo Gaman, en la Ar-
gentina aún estamos por detrás de la tendencia mundial en cuanto a este tipo de coberturas.
“En el resto del mundo esta póliza ocupa el tercer lugar dentro del ranking de prioridad de las empresas”, comenta.
Desde Seguros SURA, Ciro Ohyama, líder Técnico de Responsabilidad Civil, E&O / D&O, afirma que los seguros de riesgos cibernéticos tienen un tiempo de maduración más prolongado que el resto de las líneas porque las empresas que las adquieren no suelen tener una póliza vigente. Por lo tanto, lleva tiempo de análisis, aprobaciones de directorios, negociación, etc.
“Entendemos que es un segmento que va a crecer mucho, pero paso a paso. En este último año crecieron los pedidos de cotización y el interés en nuestra red de intermediarios para capacitarse sobre las coberturas de ciber”, indica.
Los ejecutivos del bróker de seguros y reaseguros RiskGroup Argentina se capacitaron en este tema desde hace más de cinco años, aunque ya en el año 2002 colocaran excepcionalmente una póliza de ciberriesgos para un importante portal de internet.
“Nuestra compañía en conjunto con su partner global Arthur J Gallagher está desarrollando más soluciones de este tipo para nuestros clientes. Al mismo tiempo, observo que, aunque siguen creciendo la cantidad de consultas, la contratación de coberturas se incrementa en menor medida. Hoy están más direccionadas por las obligaciones contractuales, que por la necesidad de mitigar la exposición a este tipo de riesgos. Aún sigue siendo lento el
proceso dentro de las empresas clientes para la identificación del riesgo cibernético como un nuevo riesgo emergente con alto impacto en la continuidad operativa de los negocios”, revela Alcides Ricardes, director ejecutivo de RiskGroup Argentina y CEO de su división ReSolutions Corredores de Reaseguros.
Aunque Jorge Amadeo, director de Tecnología Informática en La Caja Seguros, reconoce que desde hace un tiempo se ven productos relacionados con ciberseguridad, cree que aún tienen mucho camino por recorrer, y que no están consolidados.
“El alcance de estos productos puede ir desde la protección de una computadora frente a vulnerabilidades, pasando por la protección de todos los datos de una compañía, hasta los seguros que cubren el daño a la reputación”, cuenta.
De todas maneras, Amadeo asegura que implica un tema de conciencia general sobre la necesidad de protegerse frente a un ciberdelito y observa una evolución en ese sentido.
MERCADO MÁS DURO
Ricardes -quien además colabora dictando la cátedra de CiberRiesgos en los cursos de AAPAS, Asociación Argentina de Productores Asesores de Seguros-, detalla que el mercado de reaseguros y seguros de ciber está atravesando un proceso de transición luego de dos años consecutivos de incremento de la siniestralidad. El período 2021 finalizó con un endurecimiento de mercado que se mantiene estable durante los primeros meses del 2022.
El directivo de RiskGroup explica que el mercado ha implementado cuatro acciones que reflejan estos endurecimientos: aumentos de tarifas; reducción de coberturas mediante la inclusión de sub-limites específicos, mayores niveles de deducibles y la exclusión de algunas vulnerabilidades. En tercer lugar, menciona la restricción de capacidades y, por último, mayores requisitos de información relacionados con la fortaleza de la política de seguridad informática incluido un mayor relevamiento de información de los requisitos relacionados con la prevención y mitigación del ransomware.
“Aún en este escenario de endurecimiento de mercado, la prima global de ciberseguros sigue aumentando año tras año, clara señal de la latente vulnerabilidad ante este nuevo riesgo emergente”, resalta Ricardes.
El ejecutivo reconoce que en nuestro país no es fácil realizar un balance porque no existen estadísticas públicas que ayuden a dimensionar la evolución de estas coberturas. “Por eso nuestra apreciación se basa en la experiencia que hemos tenido con nuestros clientes -dice el director de RiskGroup-. La demanda de necesidades de coberturas de ci-
berseguros comenzó a desarrollarse fuertemente a partir del 2017, en el exterior, con el comienzo de los ataques globalizados, luego fue potenciado por limitaciones y exigencias regulatorias que obligaban a la contratación del seguro y, finalmente, impulsado por las vulnerabilidades propias del trabajo remoto en ambientes no seguros, durante la pandemia.”
Amadeo, de La Caja, aclara que las principales preocupaciones de las aseguradoras son los ataques que puedan suponer la pérdida de datos de clientes y que afecten a la disponibilidad del negocio, la confidencialidad de los datos o la reputación.
“Estos aspectos, sumados a que se incrementó la probabilidad de sufrir un ciberataque, ha tenido como efecto un crecimiento generalizado en el presupuesto dedicado a ciberseguridad por las aseguradoras”, comenta.
Para Ciro Ohyama, de SURA, el sector de ciberseguros se encuentra en crecimiento a raíz de la pandemia. “Muchos sectores laborales se vieron obligados a volcar su modalidad de trabajo presencial a la modalidad home office, algunos sin estar preparados para dichos cambios, dejando muchas puertas abiertas a los ataques cibernéticos,
errores humanos, falta de back up y demás vulnerabilidades en sus sistemas. Es un riesgo en cambio constante, en donde todos se encuentran aprendiendo a medida que el tiempo avanza”, explica.
De cara a afrontar estas preocupaciones, el ejecutivo de La Caja recomienda que las aseguradoras establezcan un Plan Estratégico de Ciberseguridad aprobado formalmente por la Dirección. “Los recursos dedicados a ciberseguridad se deben focalizar para hacer frente a aquellos ciberataques que puedan tener un mayor impacto en el negocio”, agrega.
DESARROLLOS
Como expresaron los especialistas, el ciberdelito está creciendo a pasos agigantados tanto a nivel global como local y se convirtió en una de las grandes preocupaciones del empresariado.
Existen varios productos en el mercado que son semejantes, pero no idénticos. En la mayoría de ellos el alcance de la cobertura se limita a los costos y gastos relacionados con la gestión de la violación cibernética, la recuperación de la información, la extorsión, la pérdida de ingresos y la responsabilidad civil hacia terceros. Siempre como con-
secuencia de una intrusión afectando la seguridad de acceso o privacidad de la información.
“En caso de riesgos industriales y en energía Arthur J Gallagher ha desarrollado un producto donde existe la posibilidad de incluir una cobertura adicional de reembolso por los riesgos cibernéticos excluidos en las pólizas Todo Riesgo Operativo (TRO) siguiendo los términos y condiciones de estas últimas”, cuenta el directivo de RiskGroup.
Desde La Caja, por ejemplo, están trabajando para ofrecer protección de ciberdelitos como un servicio de póliza en productos de consumo masivo.
Es decir, el cliente de La Caja que contrata una cobertura de Hogar o Accidentes Personales tiene acceso a un servicio de ciberseguridad que incluye consultoría, capacitación, análisis de vulnerabilidades y asesoramiento acerca de cómo debe configurar sus dispositivos y perfiles en plataformas, por ejemplo. Este producto está en desarrollo y podría incluir también protección sobre información sensible”, adelanta Amadeo.
En tanto, Ohyama de SURA explica: “Cuando comenzamos a suscribir esta línea, en 2019, lanzamos el producto de forma disruptiva apuntando al segmento pyme, con la novedad de que era un seguro de cotización semiautomática, con coberturas adicionales sublímites, muy ágil y accesible. Pero nos encontramos con un segmento muy golpeado por la crisis económica en donde solamente contrataban aquellos seguros que les eran obligatorios”.
Hoy SURA tiene disponible el seguro de Cyber tanto para pyme como para el segmento corporativo. El ejecutivo de esta aseguradora explica que en estos últimos años ha crecido más la venta de este tipo de seguros para el sector corporativos, que para las pequeñas y medianas empresas.
“El producto de Cyber para pymees de cotización semiautomática, porque facilitamos a la red de intermediarios un cotizador en Excel para completar con tres simples datos: actividad económica, suma asegurada y deducible, y escala de ingresos de la empresa.
Este producto tiene limitaciones en cuanto a algunas actividades puntuales como entidades financieras, administración pública e instituciones médicas, entre otras. Además, tiene límite de ingresos de la empresa asegurable; y no debe tener más de 200 empleados.
Es un producto muy simple y de fácil cotización y colocación”, describeOhyama.
Pero además SURA tiene el producto de Cyber con las mismas coberturas, pero con la posibilidad de suscribirlo de forma taylor made (con sublímites más elevados o full value) de acuerdo con las necesidades de cada cliente, para el análisis de estos riesgos sí es necesario contar con información precisa del asegurable.
Además, esta compañía cuenta con la Solución Integral Pyme. Se trata de un Seguro Integral de Comercio con coberturas adicionales interesantes y novedosas, entre ellas un apartado especial para la cobertura de Riesgos Cibernéticos. “También, hemos incursionado en la cobertura de ciber para individuos (personas físicas) que posee coberturas similares a las que mencionamos. Estamos impulsando esta línea porque estamos viviendo en un mundo cada vez más conectado. Desde un dispositivo electrónico podemos enviar y recibir información de manera inmediata y en tiempo real.
Con estos equipos, además, accedemos a nuestra información financiera, guardamos información, la compartimos, realizamos pagos y demás funcionalidades. Por eso intentamos brindar soluciones a las empresas y a la sociedad con el fin de concientizar sobre estos nuevos riesgos”, aclara el líder técnico de SURA.
“Nosotros como bróker de seguros, hemos notado un aumento en las consultas de cotizaciones, pero no en los cierres”, explica Tritten.
¿CÓMO ELEGIR?
Al comprar un ciberseguro, Ricardes sugiere tener cuidado porque las tarifas no deben ser el único barómetro.
“Deberán mantener una visión amplia de otros factores, incluidos términos de cobertura más restrictivos, sublímites obligatorios y lenguaje excluyente específico para ciertos incidentes cibernéticos globales y generalizados”, aconseja.
Adicionalmente el ejecutivo de RiskGroup agrega que, si bien es prematuro para hacer conjeturas, estima que la reciente invasión a Ucrania, así como la demostración de que se han perpetrado ataques cibernéticos, tendrá impactos en el comportamiento del mercado de ciberseguros sobre todo en cuanto a la definición y alcance de la exclusión de cobertura por guerra.
¿Qué precauciones deben tomar las organizaciones ante este escenario tan complicado debido al gran incremento de ataques?
La subgerente de Alea dice que en primer lugar las empresas deberían tener la capacidad de medir el riesgo cibernético al que se exponen. No sólo evaluando los ataques más comunes sino aquellos riesgos que pueden afectar la infraestructura de la organización.
Además, Tritten remarca que es importante conocer qué acciones internas pueden exponer a la organización al riesgo de posibles ataques.
«Por ejemplo, el error de un empleado que deja un sistema no disponible, o que convierte una información encriptada en vulnerable. Otro error frecuente es cuando los empleados ingresan a enlaces provocando que se infecten los sistemas, o cuando establecen contraseñas inseguras y repetidas por el temor de olvidarlas”, sugiere.
Cuando llega el momento de brindar consejos el directivo de La Caja recomienda: “El sector debe profundizar en el ciber riesgo, además se deben desarrollar nuevos proyectos con propuestas de alto valor para hacer frente a los desafíos por venir y prevenir futuros crímenes. Los gobiernos, por su parte, deben tomar las acciones necesarias en materia regulatoria para hacer frente a estos nuevos riesgos, y estas regulaciones deben achicar la brecha entre las compañías y los clientes”.
Por su parte, Ohyama dice que hace falta concientizar a la sociedad sobre los riesgos y ataques informáticos y agrega que falta mucho camino por recorrer al respecto.
“En la Argentina existe una fiscalía y un equipo especializado en delitos informáticos, pero son muy pocas las denuncias que se realizan. Es fundamental denunciar estos incidentes, por mínimo y simples que parezcan”, sostiene.
En esta misma línea Tritten menciona que desde el sistema público es importante reforzar la comunicación y hacer más campañas de concientización sobre esta problemática.
“Otro punto pendiente desde el sector público es la agilidad que deberían tener para las aprobaciones de los textos de este riesgo, ya que mutan constantemente y los textos que fueron aprobados en el año 2018 ya son obsoletos”, observa.
El presidente de la CAR deja un consejo para las compañías de seguros que estén pensando en lanzar un producto ciber: “Deben ser claras en el alcance de la cobertura. No deben dar coberturas abiertas. En el pasado, se sumaba el ciberseguro como una cobertura adicional y abierta, pero es peligroso. Hoy se debe limitar qué tipo de daño se cubre”.
Antes de concluir el ejecutivo de La Caja señala que, aunque los ciberseguros ya no son una novedad, los delitos cibernéticos son cada vez más frecuentes y están aumentando los precios de mercado de este tipo de seguros, lo que genera la necesidad de modelos y técnicas de prevención de riesgos a prueba de fallas.
“Una evaluación precisa de la exposición al riesgo cibernético y la mitigación de los ataques cibernéticos a través de nuevas herramientas tecnológicas serán las guías que ayudarán a las aseguradoras a comercializar seguros cibernéticos más asequibles”, reconoce.
Por último, Cavallero asegura que el sector de ciberseguro es un mercado creciente, que va a evolucionar.
“Por ahora en muchas compañías lo están analizando porque es difícil de ‘amarrar’ o delimitar el alcance de la cobertura. Creo que demanda va a haber, pero ¿para qué?, ¿qué se quiere cubrir? De todas maneras, estimo que poco a poco se va a ir desarrollando”, concluye.
La experiencia mundial marca un camino, en el resto del mundo estos seguros son cada vez más utilizados.
FUENTE: ESTRATEGAS Nro. 203