‘Estrategia sobre ciberriesgos en el sector asegurador’

 

El 25 de abril se celebró en Madrid la jornada ‘Estrategia sobre ciberriesgos en el sector asegurador’, organizada por KPMG e INESE. El encuentro, que tuvo lugar en formato híbrido, tanto físico como virtual, sirvió para analizar los retos a los que se enfrenta el Seguro en el ámbito de la ciberseguridad e identificar las mejores estrategias ante el aumento de los ciberriesgos, una de las mayores preocupaciones que afronta el sector. 

Limite

 

Tras la presentación de Juan Manuel Blanco, director editorial de INESE, y Amalio Berbel, socio responsable de Seguros de KPMG en España, tomó la palabra José Antonio Fernández de Pinto, subdirector general de Inspección de la DGSFP, quien destacó el papel que puede jugar el Seguro como impulsor de la economía digital (ver resumen en cuadro adjunto).

Marc Martínez, socio responsable de ciberseguridad de KPMG en España, apuntó algunos datos sobre el actual escenario de la ciberseguridad. Por ejemplo, especificó que los ciberataques aumentaron un 300% interanual en 2021, según las cifras del INCIBE. Además, aportó una serie de datos muy interesantes: el coste medio de las brechas de seguridad se elevó hasta los 3,9 millones de dólares, según IBM; y en el primer año en vigor del RGPD se impusieron sanciones por valor de 63 millones de dólares. En este escenario, adelantó que la inversión mundial en ciberseguridad superará los 150 billones de dólares en 2021, tal y como pronostica Gartner. Por otro lado, remarcó que la ciberseguridad se ha colocado como la principal preocupación de los CEO, según una encuesta realizada por KPMG. 

“Tenemos que estar prevenidos porque la pregunta no es si nos van a atacar, sino cuándo”, advertía. Así pues, apuntó que es preciso actuar en tres pilares: entender el riesgo —conocer el nivel de exposición, analizar los principales factores de riesgo, valorar dependencias, etc.—, prevenirlo —definir roles y responsabilidades, elaborar un plan de mitigación, realizar pruebas, valorar coberturas de seguros, etc.— y responder —disponer de los procedimientos y tecnologías necesarios, contar con un plan de recuperación, etc.—.

 

 

Implicaciones legales del ciberriesgo

Francisco Carrasco, socio de FS Legal y responsable de Seguros de KPMG Abogados, aportó el punto de vista legal. “El ciberriesgo es uno de los principales focos de atención, tanto para los supervisores como para el modelo de negocio de las entidades aseguradoras, para el diseño de productos y servicios y para la distribución”, declaraba. 

De este modo, incidió en las “múltiples implicaciones legales de los ciberriesgos”, tanto en la normativa nacional como en la comunitaria: directrices de EIOPA sobre externalización a proveedores de servicios en la nube, NIS, DORA, Ley de protección de los consumidores y usuarios frente a situaciones de vulnerabilidad social y económica, anteproyecto de Ley de creación de la Autoridad de Defensa de los Clientes Financieros, etc. 

Recordó que las directrices de EIOPA sobre la externalización a proveedores de servicios en la nube obligan a revisar y modificar los acuerdos de externalización en la nube relativos a funciones o actividades operativas críticas o importantes antes de acabar el año, entre otras especificaciones. Y precisó que el reglamento DORA afecta a las relaciones contractuales, a las políticas y procedimiento, al reporting y a la implicación del Consejo de Administración.

Además, recomendó que las entidades aseguradoras se anticipen para evitar futuros problemas legales, analizando las coberturas de sus pólizas y exclusiones y anticipándose a una posible silent cyber o cobertura silenciosa, revisando los consentimientos contractuales, previendo cúmulos y acuerdos de reaseguro, etc.

 


“Se espera un aumento de la demanda de ciberseguros en un futuro próximo”

José Antonio Fernández de Pinto, subdirector general de Inspección de la DGSFP, en la apertura de la jornada organizada por INESE y KPMG, remarcó el “doble aspecto” que tiene el seguro respecto a la ciberseguridad, como asegurador de riesgos cibernéticos y por su propia exposición a los mismos. “Como consecuencia de la digitalización de la economía, el riesgo cibernético ha ido ganando relevancia como una de las principales fuentes de riesgo operacional a los que se enfrentan las organizaciones, siendo considerado ya el principal riesgo en muchos países. Y la creciente sofistificación de los ataques y la continua transformación digital hacen que las aseguradoras sean cada vez más susceptibles a las ciberamenazas”, explicaba. 

De este modo, manifestó que “un mercado de ciberseguros bien desarrollado puede ayudar a concienciar a las empresas sobre los riesgos y pérdidas que pueden derivarse de un ciberataque, a compartir buenas prácticas en la gestión de estos riesgos, a fomentar la inversión en la reducción de los mismos y a facilitar la respuesta y recuperación ante los ataques”.

Además, adelantó que “se espera un aumento de la demanda de ciberseguros en un futuro próximo, por la creciente frecuencia de los ciberataques, por el desarrollo de una regulación más estricta en materia de ciberseguridad y por los continuos avances tecnológicos”.

Precisó que la gestión adecuada del riesgo cibernético debe incluir tanto el riesgo explícito, asumido conscientemente por las aseguradoras, como el riesgo no explícito, además de disponer de herramientas adecuadas para evaluar y mitigar el riesgo potencial de acumulación. 

También puso el acento en la importancia de garantizar “una comprensión mutua de las definiciones contractuales, condiciones y términos, tanto para las aseguradoras como para los asegurados, de tal forma que se alineen las expectativas sobre las coberturas de los ciberseguros para evitar disputas y litigios costosos”. Asimismo, remarcó la necesidad de disponer de datos de calidad sobre ciberincidentes a nivel europeo, ya que “la falta de datos podría ser un obstáculo primordial para una comprensión detallada de los aspectos fundamentales del ciberriesgo y la provisión de una cobertura adecuada de la economía”.

Finalmente, se detuvo en la regulación en torno a los ciberriesgos, como las directrices de EIOPA sobre gobernanza y seguridad de las tecnologías de la información y de las comunicaciones y las directrices sobre la externalización a proveedores de servicios en la nube, así como los regímenes TIBER-EU y TIBER-ES y el reglamento europeo sobre resiliencia operativa digital (DORA).


 

Amenaza de la silent cyber

La jornada se completó con una mesa redonda conducida por Carrasco, en la que intervinieron Nerea de la Fuente, directora de suscripción de Hiscox; Iván Sánchez, CISO de Sanitas; Javier Ybarra, managing director de Riesgos Financieros y Profesionales de Marsh; y Alfonso González-Espejo, socio de FS Legal de KPMG Abogados.

De la Fuente habló acerca de la silent cyber. Explicó que esta exposición surge porque “los productos aseguradores que han sido contratados tradicionalmente por las empresas —Daños materiales, Responsabilidad Civil, Pérdidas de beneficios. etc.— nacieron sin la conciencia de los riesgos cibernéticos, porque no hemos puesto claramente que estos seguros no cubren dichos riesgos o porque no hemos descrito bien las coberturas”. Advirtió acerca de las consecuencias que esto puede tener para el sector asegurador, puesto que “es algo no previsto, no cuantificado y no modelizado”. Además, remarcó que “si la regulación se intenta enfocar sólo en proteger a los asegurados, el sector asegurador no puede cubrirlo todo”, por lo que ánimo al regulador a concienciar a las empresas acerca de los ciberriesgos y las medidas que necesitan adoptar para protegerse.

Por otro lado, reconoció que está creciendo el interés de las empresas en el ciberseguro, como consecuencia del incremento de las ciberamenazas a raíz de la transformación digital que ha traído la pandemia y del aumento de los ciberataques registrados desde el inicio de la guerra de Ucrania. “Tenemos más solicitudes. A la vez, está cambiando el riesgo. Los aseguradores estamos intentando digerir, asimilar y adaptarnos al ritmo vertiginoso que tienen la digitalización y la ciberdelincuencia. Y las empresas son más conscientes de que son más digitales y necesitan mayor ciberseguridad. Ahora hablamos de la ‘democratización’ de los ataques”. Además, afirmó que se está apreciando una mayor rigidez en las condiciones exigidas a las compañías para dar cobertura”, con el fin de poder seguir asegurando estos riesgos.

Por otro lado, insistió en la “importancia de que la póliza se entienda”. “Las aseguradoras, históricamente, no hemos escrito las pólizas para que se entiendan. La gente no sabe bien lo que cubrimos. Tenemos que hacer un esfuerzo para que las pólizas sean sencillas en estructura y lenguaje, para que alguien ajeno al sector jurídico también las entienda”, aclaraba.

Sánchez explicó cuál es el papel del departamento de seguridad en un entorno en el que “el riesgo cero no existe”. “Nuestro objetivo no es eliminarlo, sino ser asesores para facilitar que el modelo funcione y que los recursos estén asignados a los riesgos que la compañía considere que más pueden impactar, porque la ciberseguridad es cara”, puntualizaba. 

Por otro lado, indicó que transformación digital que ha impulsado la pandemia tiene muchas ventajas, pero también conlleva nuevos riesgos. En este sentido, expuso que el principal riesgo es “abordar el camino de la transformación digital sin tener claro a lo que te estas exponiendo”. Asimismo, hizo hincapié en la importancia de realizar test periódicos de ciberseguridad. “Hay que probar las defensas, con simulacros más regulares y complejos y reflejando la naturaleza del atacante, para descubrir vulnerabilidades y tratar de solucionarlas. Es difícil hacerlo mientras se gestiona el día a día de la compañía”, reconocía. 

 

 

Mercado en transformación

Ybarra reseñó que el mercado de ciberriesgos está “en plena transformación”. “El mercado está digiriendo un crecimiento de siniestralidad importante. Además, los seguros ciber nacieron más vinculados con el RGPD, pero la siniestralidad se está presentando desde la perspectiva de la paralización de la actividad. El mercado anticipaba cierto tipo de riesgo, pero está digiriendo un tipo de riesgos distintos”, puntualizaba. También explicó que la capacidad aseguradora se está reduciendo y vinculándose a un análisis previo de los riesgos. “Las aseguradoras ahora hacen muchas más preguntas. Durante mucho tiempo, va a ser necesario reunir a muchas aseguradoras para tener cierto nivel de aseguramiento y pagar más”, comentaba.

Asimismo, anotó que la pandemia ha hecho que las empresas sean más conscientes del riesgo al que se exponen en una economía digital como la actual, lo que justifica el creciente interés en el ciberseguro. De este modo, explicó que “muchas compañías están buscando cobertura ciber, pero no tienen muy clara la cobertura que buscan”, por lo que es preciso realizar un trabajo previo de evaluación de riesgos. En este sentido, destacó el papel que desempeña el ciberseguro a la hora de mejorar la prevención de las empresas, debido al análisis previo y la mejora de las medidas de seguridad que han de realizar con el fin de acceder a estas pólizas.

 

 

González-Espejo abordó los aspectos legales de los ciberriesgos. “La ciberresiliencia tiene una faceta legal o regulatoria, porque las consecuencias que se derivan de un ataque no se quedan tan sólo en los fallos del sistema, sino que tienen consecuencias de naturaleza legal. Cuando una compañía aborda su ecosistema de ciberresiliencia, también debe tener en cuenta este aspecto”, puntualizaba. 

Así pues, subrayó que la ciberresiliencia legal es la capacidad de una compañía de identificar riesgos legales y regulatorios en caso de sufrir un incidente cibernético. “Tiene que ser estándar y formar parte de los manuales de la compañía”, anotaba. También advirtió acerca del impacto que tendrá la nueva regulación en el ámbito de la ciberseguridad. “Hay un ecosistema regulatorio intenso por venir”, comentaba.

Cerró la jornada Amalio Berbel, quien destacó la relevancia del ciberriesgo, tanto para las entidades que lo sufren como para las que lo aseguran, incidiendo en la atención que está poniendo en ello el regulador.