Todo sobre los Ciberseguros I

Presentamos un Informe elaborado junto a Christian Rada, Gerente Corporativo y Sebastián Tobio, Líder de Consulting Solutions, ambos de Marsh Argentina,  Roberto Bozzano, Líder de Responsabilidad Civil y Líneas Financieras de Willis Towers Watson; Alcides Ricardes, Director de Risk Group Argentina; Santiago Villagra, Gerente Comercial de DDN Central de Seguros; y Rodrigo Castia, Gerente de Líneas Personales de Sura, sobre los ciber delitos, sus alcances y las coberturas que ofrece el mercado.

La exposición a ciber riesgos en las empresas ha sido afectada por la creciente dependencia de los sistemas digitales, intensificada por el Covid-19, que alteró a las sociedades. Durante la pandemia, que aún persiste, las industrias se sometieron a una rápida digitalización; los empleados, cuando fue posible, pasaron a una modalidad de trabajo remoto y las plataformas y dispositivos que facilitan este cambio se multiplicaron, creando un espacio vulnerable que antes constituían caminos más controlados.

Sobre este tema, Sebastián Tobio, Líder de Consulting Solutions de Marsh Argentina, indicó: “Los tipos de riesgos más usuales y/o de mayor envergadura son los ataques de phishing, malware y ransomware. Según el Global Risk Report 2022, estos dos últimos tipos de ataques aumentaron en 2020 un 358% y un 435%, respectivamente. Hoy están superando la capacidad de las sociedades para prevenirlos o responder a ellos de manera eficaz. Agravan el riesgo las barreras de entrada más bajas para los delincuentes cibernéticos, los métodos de ataque más agresivos, la escasez de profesionales de la seguridad cibernética y los mecanismos de control improvisados”.

Tobio

A esto, Roberto Bozzano, Líder de Responsabilidad Civil y Líneas Financieras de Willis Tower Watson, sumó, “Es complicado hablar del impacto en un riesgo que tiene una gama tan diversa de exposiciones. Por otra parte, si pensamos en cuál es el ciber riesgo más usual, es claro que es el error humano. O sea, el empleado que tocó el botón incorrecto en el momento menos indicado o colocó un pendrive que contenía un virus en su equipo y contaminó la red, o que interactúa con redes sociales con su computadora de trabajo y sin darse cuenta que era un ‘phishing’, abrió la puerta de entrada desde su equipo para el ingreso de un hacker al sistema. Puede tener una consecuencia económica menor, pero es más frecuente que el ataque directo de un hacker a una empresa en particular”.

Bozzano

Y también se refirió al ransomware: “Es el más conocido por todos, es el ataque de un hacker buscando un rédito económico. Quien penetra en la red de la empresa y cifra con una contraseña el disco duro de equipos o servidores, impidiendo total o parcialmente su operatividad. O provoca una brecha de datos accediendo a información confidencial de clientes y pide un rescate para quitar la traba en la red o para no publicar esos datos confidenciales.

Éste es el tipo de incidente que suele aparecer en los medios, y que puede tener un impacto económico directo y también reputacional. Ahora bien, la fuga de datos confidenciales puede ocurrir por otros motivos y llevar a numerosos reclamos de las personas físicas o jurídicas afectadas, y a multas de los entes reguladores. Este evento no saldrá en el diario, pero puede ser muy grave desde lo económico”.

Seguidamente, Tobio indicó que los ciberdelitos están en aumento debido a las condiciones actuales de dependencia de sistemas integrados, inteligencia artificial y dependencia tecnológicas. “Vimos grandes ataques a empresas que debieron dejar de brindar servicios o quedaron expuestas a pedidos de rescate de información por parte de los atacantes, exponiendo su vulnerabilidad a toda la sociedad. Esta situación no sólo expone a las compañías, sino también a gobiernos en todas sus dependencias, tal como vemos también en asuntos bélicos como el actual”, agregó el ejecutivo.  

Pérdida máxima probable

Luego, consultamos a los ejecutivos cuál es la dificultad para calcular la pérdida máxima probable en el caso de un ataque cibernético contra una empresa. Sobre el particular, Christian Rada, Gerente Corporativo de Marsh Latinoamérica mencionó que actualmente los incidentes cibernéticos pueden generar pérdidas relacionadas con cuestiones de Responsabilidad Civil ante terceros por divulgación de información confidencial y personal de terceros, e indicó: “Esta situación puede generar múltiples daños al tercero, quien podría reclamar por un monto que difícilmente podemos estimar. Por otro lado, podrían ocurrir situaciones donde se produce una pérdida de ingresos o lucro cesante debido a la interrupción de la operación y estimar la pérdida total también es una tarea compleja”.

Rada

Según Bozzano,existen dos cuestiones interrelacionadas para calcular la pérdida máxima probable: “La variedad de pérdidas que un evento cibernético puede disparar y la diversidad de escenarios de posibles riesgos involucrados. En primer lugar, hay que analizar los diferentes tipos de ‘pérdidas’ que pueden ser generadas por incidentes de ciberseguridad. Estos pueden ocasionar pérdidas por productividad, lucro cesante, pago de rescates, costos para recuperar el sistema, reponer activos afectados, restablecer la imagen corporativa, multas y sanciones, reclamos de terceros por incumplimiento de contratos, de prestación de servicios, de protección de activos digitales, abogados, consultores, etc.

En segundo lugar, si pensamos en lo ‘probable’ se debe calibrar la frecuencia o probabilidad con la que estas pérdidas pueden producirse. La información histórica, las evidencias o las predicciones pueden ayudar a calibrar dicha frecuencia o probabilidad inicial. Una vez que se tienen estos dos factores, un rango de pérdidas y una probabilidad (o frecuencia), es posible reducir incertidumbre acerca de cuál sería la ‘pérdida máxima probable’ aplicando técnicas de simulación.

Calcular la ‘pérdida máxima probable’ conlleva procesos de análisis complejos, pero existen metodologías y procesos específicos de cuantificación del ciber riesgo que ayudan a reducir incertidumbre sobre dicha pérdida máxima probable y a proporcionar información cuantitativa que permite tomar decisiones para mitigar o transferir el ciber riesgo. En WTW, contamos con un servicio específico de consultoría con soporte propio para analizar en conjunto con el cliente cuál es su nivel de exposición al riesgo cibernético, cuáles son los puntos críticos  que deben atacarse para mejorar dicha exposición, la cultura interna de la empresa respecto seguridad informática y la elaboración conjunta de escenarios de pérdida cuantificados”.

Cobertura en Argentina

En otro momento de la charla, hablamos con los entrevistados sobre cuáles son las aseguradoras de nuestro país que actualmente brindan cobertura para ciber delitos. Alcides Ricardes, Director de Risk Group Argentina, tomó la palabra y precisó que en Argentina hay un cierto número limitado de aseguradoras que hoy comercializan coberturas de ciberseguros: “Para los grandes riesgos existe un panel de aseguradoras dispuestas a analizar casos puntuales apalancados con soporte de reaseguro facultativo que es donde Risk Group Argentina en conjunto con nuestro partner global Arthur J. Gallagher, hoy está desarrollando soluciones para nuestros clientes en mayor medida.

Ricardes

En lo que respecta a Ciberseguros, aún tenemos mucho trabajo por delante. Por parte del sector asegurador, tenemos que continuar asesorando sobre las vulnerabilidades propias de este riesgo emergente y sus impactos en la continuidad del negocio, así como los efectos sobre las responsabilidades profesionales de los directorios de las empresas. Por parte del sector público, es necesario avanzar y adecuar el marco regulatorio y normativo”.

Sobre este tema, Santiago Villagra, Gerente Comercial de DDN Central de Seguros, dijo: “El ciber delito surge de lo que se conoce como riesgo digital, es decir, la vulnerabilidad ante la posibilidad de sufrir alguna pérdida financiera, operacional o daño en la reputación de una organización como resultado de debilidades en sus sistemas tecnológicos, en los procesos que los soportan o en el (mal) uso de la información por parte de las personas que acceden a esos datos. Este riesgo afecta tanto grandes organizaciones como a PyMEs, que pueden llegar a ser las más afectadas, ya que la seguridad de su información y sus sistemas no constituían -hasta ahora- su principal prioridad.

Villagra

Inclusive, hay algunas compañías como por ejemplo, SURA, Zurich, Chubb, que están ofreciendo ese tipo de coberturas también para personas físicas. Lo cierto es que empresas de todos los tamaños, así como profesionales independientes, tomaron conciencia de que es vital protegerse contra los ataques cibernéticos.  Debido a la hiper conectividad y la rapidez con que se propaga el delito, son riesgos que pueden afectar a clientes, empleados, socios y proveedores, es decir, el daño traspasa las fronteras de la propia organización”.

En nuestra próxima edición analizaremos la demanda de coberturas para ciber-riesgos, y la manera en la que se calculan los costos del seguro.

Ver más