Artículo

Ciberseguros

¿El siguiente 'gran paso' del sector asegurador?

En los últimos años, las crecientes amenazas cibernéticas han hecho evidente la necesidad de contar con una mayor oferta de seguros contra esta clase de siniestros; pero también hace falta que las compañías 'maduren' sus capacidades de ciberseguridad, mejorando sus modelos de gobierno, procesos y herramientas, a fin de que el sector vea un beneficio y no un riesgo en los productos que les brindan.

En entrevista con Paula Álvarez, Socia de Cyber Risk en Deloitte México.

Ciudad de México, 30 de abril de 2021.

Hoy es cada vez más frecuente enterarnos de que alguna organización, sin importar si es micro, pequeña o mediana, ha decidido digitalizar sus operaciones, lo cual está provocando que tengan una mayor necesidad de contratar seguros que las protejan contra ataques cibernéticos.

El riesgo online es cada vez mayor: de acuerdo con EOS The Fintech Company, en 2019 se presentaron 10 atentados cibernéticos por segundo en el país, mientras que en 2020 crecieron 350%, alcanzando la cifra de 45 por segundo.

Sin embargo, aunque existe una demanda elevada, el sector asegurador mexicano aún no cuenta con una oferta variada de esta clase de productos. ¿Qué factores contribuirían a avanzar hacia el desarrollo de estos seguros? Paula Álvarez, Socia Directora de Cyber Risk en Deloitte México, nos brinda su punto de vista especializado.

¿Qué tan necesario es, para el sector asegurador en México, desarrollar productos que protejan a micro, pequeñas y medianas empresas contra ataques y riesgos cibernéticos?

En la actualidad, son pocas las empresas que cuentan con pólizas de seguro que abarcan siniestros cibernéticos y es común que las aseguradoras excluyan de la cobertura de daños, u otras pólizas, a los ataques cibernéticos, lo cual hace evidente la necesidad de ofrecer un seguro específico ante estos siniestros, conocido como póliza stand alone.

Sin embargo, la contratación de un seguro nunca debe ser el único recurso de protección de las empresas, ya que no debería sustituir a las inversiones que se requieren en materia de seguridad.

Las amenazas cibernéticas han crecido en los últimos años a un ritmo acelerado, pero los recursos que las organizaciones emplean en ciberseguridad no se han incrementado a la misma velocidad. En otras palabras, existe una brecha que la mayoría de las organizaciones necesitará subsanar, destinando capital a recursos humanos, tecnología y, en muchos de los casos, a consultoría especializada.

Y a pesar de que las organizaciones realicen estos esfuerzos, seguirán siendo susceptibles, aunque en menor medida, a ataques que impacten negativamente a su negocio. Es ahí donde encontramos el beneficio de contratar un seguro, pues representa un complemento de los esfuerzos en ciberseguridad de las compañías y les permite transferir parte de su riesgo a la aseguradora.

¿Qué implicaciones tendría, para el sector, la puesta en marcha de este tipo de servicios?

El diseño de cualquier producto del sector debería cumplir dos condiciones: representar un beneficio para la aseguradora; y garantizar a una compañía protección, en caso de ocurrir cualquier siniestro.

Pero cuando una empresa no ha progresado en ciberseguridad, hace imposible uno de los dos requisitos, porque su exposición a pérdidas por ataques es alta y representa un riesgo para la aseguradora, no un beneficio.

En estas condiciones, es improbable que una compañía pueda acceder a un seguro, porque, por ejemplo, sería equivalente a asegurar las pertenencias de una vivienda que no cuenta con puertas ni ventanas para restringir el acceso a su interior.

Las organizaciones están en camino de entender que la ciberseguridad debe robustecerse y que los programas sobre este aspecto llegaron para quedarse. A medida que existan avances en la materia y se comprenda que carecer de ciberseguridad es un riesgo para todo el negocio –y no un tema exclusivo de las áreas de Seguridad de la Información o Tecnología–, más organizaciones comenzarán a explorar la adquisición de los seguros cibernéticos.

Y, por el lado de las aseguradoras, es recomendable que, por medio de promotores y brokers, se preocupen por explicar cada aspecto de sus productos y resuelvan todas las dudas de las empresas, ya que, en caso contrario, podrían perder la oportunidad de ganar clientes y aumentar su penetración en el mercado.

¿Qué factores ayudan al sector a decidir si una compañía es viable o no para contratar un seguro cibernético?

Con respecto a los productos de ciberseguridad, las aseguradoras, generalmente, realizan evaluaciones previas a la contratación, con el fin de determinar si una organización cuenta con un nivel de madurez de ciberseguridad apropiado, que permita determinar la validez de un reclamo de seguro, así como el costo de la prima.

Esto quiere decir que uno de los varios requisitos para que las compañías puedan contratar alguno de estos productos es contar con las capacidades –especialmente bitácoras– para realizar un análisis forense y determinar las causas del incidente ocurrido.

En otras partes del mundo, ¿ya existen seguros de este tipo?

Países de Europa y los Estados Unidos ya ofrecen una mayor variedad de estos productos y algunas empresas han decidido dar el paso hacia su adquisición. Sus motivos son diversos, pero, de acuerdo con la encuesta Deloitte Overcoming challenges to cyber insurance growth, 41% de las organizaciones contratantes lo ha hecho como una reacción a los ciberataques que han sufrido compañías de otras industrias; y 38% por siniestros observados en las empresas que conforman su cadena de suministro.

Para finalizar, ¿cuál será el futuro de este tipo de productos después de la pandemia?

Cada vez es más común leer acerca de ataques cibernéticos contra las organizaciones. Son más frecuentes, más sofisticados y con un mayor impacto, y esta tendencia, aunque llevaba varios años en ascenso, se aceleró aún más con la llegada del trabajo remoto, a raíz del COVID-19.

Si bien la regulación nacional ha avanzado, quizá no ha sido lo suficiente como para hacer que las organizaciones realicen las inversiones necesarias que ayuden a proteger mejor sus negocios. Por esta situación, aunada a la acelerada transición tecnológica que estamos experimentando, considero que los seguros cibernéticos serán, sin duda, un producto cada vez más demandado.

Si bien la regulación nacional ha avanzado, quizá no ha sido lo suficiente como para hacer que las empresas realicen las inversiones necesarias que ayuden a proteger mejor sus negocios.

¿Encontró útil el contenido?