Módulos Temas Día

ataques cibernéticos

¿Una ciberpóliza ‘ad hoc’ para cada ataque? Un segmento en ebullición

Empresas más conectadas y nuevos ataques dirigidos impulsarán un segmento creciente que despierta tanto entusiasmo como reparo. ¿Las aseguradoras están listas?

Ciberataques

Ciberataques

Ciberataques

(Difusión)

Quizá las catástrofes más temidas son las provocadas por el hombre. Hoy las aseguradoras enfrentan un nuevo alcance: el de un ciberataque devastador.

El año pasado, WannaCry paralizó las actividades de 16 hospitales de Reino Unido. Miles de intervenciones y cerca de 7,000 consultas se cancelaron por la falta de acceso a los sistemas. Más tarde Merck fue blanco de otro ataque que dejó sus operaciones en stand by. La pérdida ascendió a cientos de millones de dólares. Pero no asumirá toda la factura. La razón: su ciberpóliza.

Escenario

Incidentes cada vez más frecuentes, graves y a escala han conducido a las firmas a reflexionar sobre la pertinencia de acceder a servicios que les permitan amortiguar las consecuencias de eventuales amenazas.

La cibercobertura se ha convertido en uno de los segmentos de más rápido crecimiento en la industria global de seguros, con Chubb, AIG y Beazley a la cabeza. Hace diez años apenas 17 aseguradoras en el mundo ofrecían esta modalidad generando US$ 350 millones anuales en primas. La cifra ya se ha disparado diez veces y hacia 2020 alcanzaría US$ 10,000 millones, según Morgan Stanley.

Otro reporte augura que para ese año el mundo tendrá 50 billones de aparatos conectados (20 billones más que ahora), lo cual multiplicará la cantidad de ataques y, por ende, los blindajes. De hecho, ABI Research pronostica un crecimiento de 36% del mercado global de ciberseguros, según CenturyLink Perú.

Esquema complejo

Los ciberseguros cubren los riesgos directos o propios de la empresa o riesgos de terceros, explica Camilo Gutierrez, jefe de Laboratorio de Investigación de ESET Latinoamérica. Pero su creciente demanda a raíz de nuevos ataques se ha recibido con una mezcla de emoción y reparo. Uno por el potencial de crecimiento, lo otro por la dificultad de poner un precio a la póliza.

“El poco historial de pérdidas, el hecho de que no en todos los países las empresas están obligadas a notificar un evento de seguridad y la poca comprensión sobre la exposición de las organizaciones a riesgos cibernéticos hace que sea complicado establecer un modelo de precios adecuado”, dice Martín Fuentes, security business senior manager de CenturyLink Perú.

Esto contribuye, añade en alusión a un informe de IDC, a que las ciberpólizas actuales sean inadecuadas: primas altas, vasta cantidad de exclusiones, restricciones y riesgos no asegurables.

Fitch concuerda en que valorar el coste de los ataques llevara tiempo y advierte a las aseguradoras sobre adoptar enfoque cauteloso al acumular exposiciones cibernéticas.

Coincide Luciano Bedoya, gerente de División de Seguros General de Pacífico Seguros, en el sentido de que colocar un precio a estos productos resulta bastante complejo.

Panorama local

“En Perú, donde no existe un registro de información de incidentes de este tipo”, pues al momento “solo se han suscrito algunas pólizas pero solo de manera facultativa, es decir por necesidades puntuales de algunos clientes”, cuenta.

La expectativa sería, no obstante, alta. Para Sandra Cabrera, gerente regional de Cyber Chubb, si bien el segmento es joven a nivel local, hay un creciente interés. “Los sectores financiero, retail y tecnológico son pioneros en cotizar, y cada vez más firmas de manufactura o servicios muestran interés”.

Temores de la industria

Las aseguradoras asumen, sin embargo, dos temores, según Expansión. El primero es el riesgo de que un ataque masivo afecte a muchos clientes a la vez. WannaCry recordó las amenazas que se afrontan, pero hubo pocas reclamaciones de gran cuantía (pues muchos de los afectados estaban en zonas donde el ciberseguro no está extendido, además los atacantes demandaron pequeñas sumas a cada blanco).

Pero esto no será siempre así. Según el especialista Robert Hanningan, “muchas aseguradoras están recibiendo un creciente número de reclamaciones a medida que aumenta la suma que demandan los atacantes”. Para CenturyLink Perú, el reto está en “cuantificar el riesgo de una cibercatástrofe que golpee muchas firmas en simultáneo”.

El otro miedo es conocido como riesgo silencioso. Un ejemplo sería un ciberataque a un sistema de control de una planta industrial que provocase daños colaterales. Para Dmitry Bestuzhev, vocero de Kaspersky Lab para América Latina, si el modelo de amenazas es incompleto o inconsistente, puede conducir a enormes pérdidas financieras.

“Las empresas que no trabajen de antemano en estos escenarios podrían nunca recuperarse”, advierte.

CIFRAS Y DATOS

  • Alcance. Durante 2017, los Laboratorios de Investigación de Amenazas de CenturyLink rastrearon una media de 195.000 amenazas diarias, que impactaron a 104 millones de objetivos exclusivos: de servidores y computadoras a dispositivos portátiles u otros conectados.
  • Mercado. En 2016 se suscribieron ciberseguros por US$ 1,350 millones en el mundo, con un ratio de siniestralidad de 46.9%. Estas fueron emitidas principalmente por tres aseguradoras: AIG, XL y Chubb (que poseen juntas el 40% del mercado).

PARA RECORDAR

Sugerencias . Antes de contratarse un ciberseguro debe hacerse un minucioso análisis de riesgos para determinar cuál es la información crítica de la empresa susceptible de verse comprometida y por tanto cuánta cobertura necesita realmente, dicen desde ESET Latinoamérica.

Las ciberseguros podrían cubrir cualquier incidente donde datos o activos de las empresas perderían cualquiera los siguientes pilares: integridad, disponibilidad y confidencialidad, añaden desde Kaspersky Lab América Latina.

Leer comentarios ( )