Ciberriesgos: en Argentina aún faltan jugadores
Los complejos entornos de la tecnología de la información (TI) que tienen las empresas en la actualidad dependen de los cambios que se producen en las ciberamenazas. Es que el panorama de amenazas cambia rápidamente, inconveniente que se suma a los presupuestos ajustados y al limitado personal capacitado para este sector.
Frente a este desafiante contexto Sergio Torres, Specialty Leader LATAM de Financial & Professional Services, Cyber & Crisis Management de Aon, reconoce que aún existen gran cantidad de empresas que consideran que no son objeto de riesgo cibernético, ya sea por su tamaño reducido o por que cuentan con un equipo de ciberseguridad importante; sin embargo, la práctica nos ha demostrado que no importa el sector económico o el tamaño, el riesgo es real y los cibercriminales suelen ir un paso adelante.
“Es imperativo que las empresas lleven a cabo ejercicios de evaluación de su riesgo cibernético, así como una cuantificación de éste, que les permita entender cuánto les podría impactar un ataque por los diferentes vectores de pérdida, tales como reclamaciones de terceros; multas y sanciones; pérdida de ingresos; costos de respuesta a incidentes; y daños reputacionales”, advierte Torres.
Al mismo tiempo, el ejecutivo de Aon señala que el riesgo cibernético debe ser abordado por la alta gerencia de las empresas y no ser visto como un problema de las áreas de IT dado el potencial catastrófico que puede tener. “El abordaje del riesgo cibernético como un riesgo de toda la empresa es clave para poder asegurar que ésta se pueda recuperar de manera ágil y sobrevivir”, resalta.
Desde el Observatorio de Tendencias de SURA identificaron algunos fenómenos en torno a los ciberataques y la ciberseguridad. “En primer lugar vemos la proliferación de ataques al IoT (Internet de las Cosas) que afectan a organizaciones y personas en su vida cotidiana. Otro fenómeno reciente es que el incremento del uso de la Inteligencia Artificial está cambiando la forma en cómo gestionamos la ciberseguridad. Un tercer fenómeno que preocupa es el aumento de las brechas en recursos, conocimiento y talento humano especializado en ciberseguridad. Por otro lado, en el ámbito laboral, vislumbramos el surgimiento de dos nuevos roles: la importancia de contar con un Chief Information Security Officer (CISO) y los ciberabogados como profesión en auge”, enumera Magdalena Urdampilleta, líder del Observatorio de Seguros SURA Argentina.
El CISO es un ejecutivo de alto nivel responsable de desarrollar e implementar un programa de seguridad de la información, que incluye procedimientos y políticas diseñadas para proteger las comunicaciones, los sistemas y los activos empresariales de amenazas internas y externas. Mientras que los ciberabogados serán cada vez más requeridos porque los ciberdelitos obligan a las empresas a poner especial atención y respuesta legal a los ciberdelitos. Por eso será fundamental que los abogados fortalezcan sus conocimientos en el ámbito de ciberseguridad.
CIBERSEGUROS. Los entrevistados coinciden con que el mercado de seguros Cyber está consolidado a nivel global e, incluso, con la entrada de nuevos jugadores buscan ampliar su oferta de servicios y capacidades. “Pero esto no se ha traducido en una consolidación del subsector en Argentina, donde vemos que en los últimos años los players siguen siendo los mismos y de manera muy limitada. A nivel Latinoamérica y especialmente en Argentina, han sido pocos los nuevos jugadores, por lo que la capacidad disponible se ha mantenido relativamente estable, y sujeta a una suscripción cada vez más intensa y rigurosa”, detalla Torres.
Por otro lado, Marcelo Rodríguez, presidente de Riskgroup Argentina, reconoce que es necesario concientizar a los asegurados para que elaboren un programa de Administración de Riesgo. “Este programa debe actuar desde el supuesto de que no se puede prevenir un ataque, pero sí establecer procedimiento para reducir la interrupción de los sistemas y procesos en el menor tiempo posible. También deben incluir planes de continuidad del negocio, gestión de crisis y comunicaciones para responder a los clientes, a los socios y al gobierno”, detalla.
Además, Rodríguez asegura que la mayoría de los productos que se ofrecen en el mercado argentino no están a la altura de las exposiciones actuales del riesgo cibernético. “Son más bien nominativos y de alcance limitado. Por el contrario, mediante reaseguro se pueden lograr coberturas más amplias. Por ejemplo, nuestra compañía ha sido pionera en ofrecer una cobertura amplia y abarcativa. Nuestra póliza incluye: 1. RC por Violación de la Privacidad (incluyendo reclamos normativos de privacidad, multas y gastos); 2. Costos de Gestión de Crisis y Costos de Respuesta a la violación; 3. RC por Violación de la Seguridad (cubriendo los daños y gastos productos por un acto ilícito), incluyendo Responsabilidad por Contenidos Multimedia como difamación, calumnia, descrédito, interferencia, etc.; 4. Extorsión Cibernética; 5. Pérdida de Ingresos del negocio; 6. Pérdida de Activos digitales (incluyendo los costos de restauración); y 7. Daños a la Propiedad/Personas (daños físicos por interrupción de la red)”, enumera.
Por su parte, el ejecutivo de Aon destaca que las coberturas tradicionales de las pólizas, incluyendo las ofrecidas en el mercado asegurador argentino, son coberturas de Responsabilidad Civil para hacer frente a las reclamaciones de terceros por la divulgación no autorizada de información, y coberturas para pérdidas propias (del asegurado) para hacer frente a temas de reconstrucción de información, daños reputacionales, lucro cesante y gastos de respuesta a incidentes, entre otras. “Existe hoy en día un mercado nicho que además de las coberturas antes mencionadas está en capacidad de otorgar cobertura a los daños materiales derivados de un ataque cibernético y que llevan varios años excluidos (no cubiertos) de pólizas como Todo Riesgo Material (All Risk) y Responsabilidad Civil Extracontractual (General Liability), aunque el proceso de suscripción puede ser mucho más intenso y el pricing mucho más elevado”, agrega.
Matías Ferrari, Broker Senior de Riesgos Facultativos y Responsable de Líneas Financieras, Responsabilidad Civil y Riesgos Específico de Special Division, concuerda con que aún son pocas las compañías locales que venden productos de ciberseguridad con capacidad propia en nuestro país. “Los productos existentes y que se comercializan en el país se enfocan en cubrir a las empresas ante los dos aspectos más expuestos. Por un lado, el daño propio de pérdida de información/data, hackeos, extorsión, caída de sistemas, interrupción del negocio, recuperación de datos, entre otros; y por otro lado las pérdidas derivadas de su responsabilidad ante reclamos de terceros como puede ser la responsabilidad por pérdida de información sensible de clientes, divulgación, daño de reputación, por ejemplo”, resume.
Además, aclara que en los últimos años con apoyo del mercado de reaseguro han aparecido productos de venta masiva enfocados a cubrir a las personas y hogares con limites pequeños que oscilan entre los $ 750.000 y $ 1.500.000, que incluyen coberturas como robo de identidad, ataques a los dispositivos y sistemas del hogar, fraude online y transferencias fraudulentas, acoso online y extorsión cibernética.
“En Special Division, como brokers de reaseguros, notamos que esta escasez de coberturas y ofertas en el mercado local produce un incremento en la demanda de coberturas y requerimientos de capacidad facultativa ya que, a pesar de que en Argentina sigue siendo una cobertura en desarrollo, los pedidos y consultas han crecido más de un 50 por ciento en comparación con años anteriores”, dice Ferrari.
Entre las empresas que ofrecen ciberseguros a nivel local se encuentra Sura. “En general los productos que ofrecemos están orientados a proteger a nuestros clientes en tres verticales: daños propios, basados en la recuperación de la información, mitigar los impactos de la extorción digital, entre otras opciones; daños a terceros, frente a la responsabilidad civil por violación de información confidencial o datos personales, virus o software malicioso; y ayudar a nuestros clientes en el manejo de crisis”, enumera Rodrigo Castia, gerente de portafolio no autos de Seguros SURA Argentina.
Jorge Amadeo, director de Tecnología e Informática de La Caja Seguros considera que sector asegurador debe profundizar en el ciber riesgo y que es fundamental desarrollar nuevos proyectos con propuestas de alto valor para hacer frente a los desafíos. “En nuestra compañía estamos trabajando para ofrecer al mercado propuestas de valor en este tipo de seguros para nuestros clientes. Son muy pocas las compañías que cubren hoy este tipo de riesgos. Es claro que la exposición a las ciberamenazas ha crecido mucho en los últimos años por la aceleración de la transformación digital y es claro, también, que la cantidad de compañías con coberturas no ha crecido en esa misma línea”, señala.
FUTURO CYBER. Cuando llega el momento de hablar sobre el presente y futuro de Cyber, Torres observa que hoy existen soluciones que permiten la transferencia de riesgo y el sector asegurador ha logrado mantener relativamente estable su capacidad de asumir riesgos. “Pero es imperativo que los clientes inviertan en su higiene cibernética ya que los requerimientos de asegurabilidad son cada vez más fuertes. Entendiendo que los presupuestos disponibles para invertir en ciberseguridad, más en épocas de contracción económica, son limitados, las empresas deben tener claro que los efectos potenciales de ataques cibernéticos tienen hoy en día la posibilidad de generar pérdidas mayores que posibles incidentes relacionados con activos fijos o tangibles”, advierte.
Rodríguez, de Riskgroup Argentina, destaca que con la revolución digital sobre todo el mundo, las empresas grandes y pequeñas, organizaciones públicas y privadas e incluso los gobiernos, confían en los sistemas computarizados para gestionar sus tareas cotidianas. La protección de los datos contra los ataques a Internet y el acceso no autorizado a los sistemas es una responsabilidad significativa para todos. A medida que las noticias de violaciones de datos, ransomware y hackers parecen estar “de moda”, el desarrollo tecnológico continuo requiere un desarrollo equivalente en las prácticas de ciberseguridad. “Frente a eso, el mercado de seguros local e internacional tiene dos compromisos. El primero es de ofrecer un producto que agregue valor a los esfuerzos de las empresas en la prevención y respuesta a los ciberataques. El segundo, y no menos importante, el de contribuir a la educación, difusión y regulación en materia de seguridad cibernética”, sostiene.
Por su parte, Ferrari cuenta que en los países más desarrollados la cobertura de Cyber ya se comercializa como cualquier otra de póliza patrimonial del mercado como Incendio, Responsabilidad Civil y Hogar, tanto a nivel empresarial como personal, con productos y modelos adaptados a cada necesidad y capacidad financiera. “En la Argentina la oferta de productos es muy limitada, pero mediante el soporte de reaseguro facultativo podemos acercarle mayor variedad de coberturas a las compañías para que puedan ofrecer pólizas tailor made que se adapten a las necesidades de cada cliente”, suma.
Por otro lado, el ejecutivo de Special Division observa, como tendencia del mercado, la creación de coberturas masivas que apuntan a cubrir montos bajos identificando como clientes targets a las personas o consumidores finales (no organizaciones). “En reaseguro ya contamos con planes para satisfacer estas necesidades con ventas masivas a través de canales de distribución como bancos y empresas de servicios masivos, entre otras”, dice.
Cuando llega el momento de reflexionar, Amadeo destaca que las compañías de seguros tienen aún un lago camino por recorrer. “Debemos desarrollar coberturas y productos de ciberseguro. En general en los Estados Unidos y Europa cuentan con una gama bastante amplia de productos de ciberseguro y, si bien los mercados no son necesariamente comparables, creo que tenemos una oportunidad ahí. Por otro lado, considero que la concientización sobre la importancia de invertir en ciberseguridad es algo que tiene que estar entre las dos o tres prioridades máximas de un CIO”, acentúa.
Antes de concluir, el ejecutivo de La Caja sostiene que el sector público juega un rol clave con respecto a este tipo de ataques. “Debe establecer políticas y regulaciones para garantizar la ciberseguridad y proteger la privacidad de los ciudadanos. Además, deben educar y concientizar tanto a los ciudadanos como a las empresas sobre las mejores prácticas de ciberseguridad y cómo proteger sus sistemas de datos. Al mismo tiempo, deben invertir en investigación y desarrollo de nuevas tecnologías y herramientas de ciberseguridad para proteger la información de todos. Por último, deben colaborar con otros países y organizaciones internacionales para combatir los ciberataques y promover la seguridad cibernética a nivel global”, finaliza.
Marcelo Rodríguez – Presidente de RiskGroup Argentina
FUENTE: www.revistaestrategas.com.ar