Presentamos a continuación, la última parte del Informe elaborado junto a Roberto Bozzano, Líder de Responsabilidad Civil y Líneas Financieras de Willis Towers Watson; Rodrigo Castia, Gerente de Líneas Personales de Sura; Alcides Ricardes, Director de Risk Group Argentina; Santiago Villagra, Gerente Comercial de DDN Central de Seguros; Christian Rada, Gerente Corporativo y Sebastián Tobio, Líder de Consulting Solutions, ambos de Marsh Argentina.
Ahora los ejecutivos analizaron la demanda de coberturas para ciber-riesgos, y la manera en la que se calculan los costos del seguro.
“En la cotización de un riesgo de ciberdelito hay muchas variables en juego: el tamaño de la organización, el rubro al que pertenece, su distribución geográfica, los sistemas que utilizan, el tipo de firewalls y medidas de seguridad -en general y por sectores-, el servidor donde ‘hostea’ su información además de cuáles son las características y parámetros de ese hosting, etc. Se trata de seguros que se cotizan ‘a medida’, según la empresa, sus características y necesidades. Es un seguro complejo, así como también es complejo determinar qué origina un siniestro de este tipo, la vulnerabilidad. Por lo tanto, el espectro es tan grande que los precios varían muchísimo”, sostuvo Santiago Villagra, Gerente Comercial de DDN Central de Seguros.
Según Alcides Ricardes, Director de Risk Group Argentina, estas tarifas se definen en función varios parámetros: “La cantidad de registros almacenados/administrados, actividad del asegurado, grado de dependencia de entornos tecnológicos en la provisión del servicio o elaboración de producto, límite de cobertura, calidad y fortaleza de las acciones de seguridad informática.
El mercado de reaseguros y seguros de ciberseguros está atravesando un proceso de transición luego de dos años consecutivos 2020 y 2021 de incremento de la siniestralidad. El periodo 2021 finalizó con un endurecimiento de mercado que se mantiene estable durante los primeros meses del 2022. Durante el 2021 comenzó a ser notorio que los piratas informáticos están cambiando y están teniendo éxito, en el despliegue de nuevas estrategias de ataque.
Objetivos tales como las cadenas de logística y suministro son la puerta de entrada a múltiples damnificados adicionales, hubo una amplia variedad de damnificados que van desde proveedores de software globales, plataformas de correo electrónico, el mayor proveedor de carne de EE.UU. y un proveedor de combustible que proporciona casi la mitad del combustible a la costa este de EE.UU. Los actores de amenazas han encontrado que este vasto sistema de interdependencias es terrenos de caza fértil.
El mercado ha implementado cuatro acciones que reflejan el endurecimiento de mercado y son los principios que rigen los criterios de suscripción de riesgo a la fecha:
1) Aumentos de tarifas;
2) Limitaciones en las coberturas mediante la inclusión de coberturas sub-limitadas, mayores niéveles de deducibles, excluyendo algunas vulnerabilidades especificas hoy conocidas antes no específicamente detalladas. Cabe destacar que se trata de vulnerabilidades conocidas y frecuentes evitables con una buena gestión del riesgo;
3) Restricción de capacidades, no necesariamente por salida de operadores, pero si con una importante reducción de los límites de cobertura otorgados;
4) Mayores requisitos de información relacionados con la fortaleza de política de seguridad informática además de como era de esperar, mucho mayor relevamiento de información de los requisitos relacionadas con la prevención y mitigación del ransomware.
Aun en este escenario de endurecimiento de mercado, la prima global de ciberseguros sigue aumentando año tras año, clara señal de la latente vulnerabilidad ante este nuevo riesgo emergente”.
Cerrando este tópico, Rodrigo Castia, Gerente de Líneas Personales de Sura, evaluó: «Para cotizar una cobertura de ciber delito se debe analizar las medidas de protección, los niveles de facturación, los volúmenes de datos, el historial de eventos, la relación con clientes y proveedores, entre otros datos.Es por ello, quela premisa de este análisis es el tamaño de la empresa y la actividad comercial, partiendo de propuestas para PyMEs en forma estandarizadas o si la empresa es de mayor envergadura, se analizan mayores variables”.
Demanda de coberturas
Para completar nuestro Informe, quisimos saber cómo evalúan la demanda de coberturas para ciber delitos en la Argentina. El primero en abordar este tema fue Roberto Bozzano, Líder de Responsabilidad Civil y Líneas Financieras de Willis Towers Watson, quien describió: “Por el momento, la demanda de coberturas es baja. Hay mucho interés en el producto y muchas consultas. Es evidente que el contexto mundial y la información mediática ha provocado que las empresas se preocupen por la exposición que el riesgo cibernético les implica para su actividad. Pero, claramente el contexto económico pesa al momento de tomar la decisión de invertir en coberturas de seguros de ciber. Hay un tema importante a aclarar. Cuando hablamos de seguros de ciber, no hablamos solo de ‘ciber delito’. El producto es mucho más abarcativo que solo cubrir el ataque de un hacker”.
En la misma línea, Villagra también mencionó que se trata de un riesgo bastante novedoso y explicó: “La demanda creció exponencialmente a partir de la pandemia, por la necesidad de cubrir posibles ataques cibernéticos o fallas que paralizan la continuación de un negocio desde el aspecto informático. Muchas compañías comunicaron crecimientos de hasta 150% o más, en las solicitudes de este tipo de cobertura a nivel corporativo.
La explosión observada en la consulta y contratación del riesgo es lógica. A partir de la pandemia muchas organizaciones se vieron obligadas a contar con gran parte de sus colaboradores trabajando en forma remota desde sus hogares. Esta situación estimuló la consolidación de ciertos procesos 100% digitales que ya se venían instalando; la aceleración fue exponencial, y un claro ejemplo de esto fue el crecimiento del teletrabajo y las compras on line.
En DDN Central de Seguros contamos con distintas alternativas de cobertura ante un posible ataque cibernético. Los seguros abarcan desde la seguridad informática hasta el acompañamiento y asesoramiento tecnológico. Por otra parte, se contemplan los daños propios que afecten a la empresa asegurada, y a su vez los que sufran terceros como consecuencia de una violación de seguridad de datos o un incidente cibernético”.
A su turno, Castia refirió: “Por ahora, la mayor demanda son de las grandes empresas que tiene mayor visibilidad del riesgo, siendo más incipiente la demanda del mundo PyMEs y personas físicas”.
Para Ricardes, en líneas generales la demanda del sector de ciberseguros en Argentina crece muy lentamente, pero no en la misma velocidad que crece la intensidad y frecuencia de los ciberataques: “No es fácil realizar un balance, en virtud de que no existen estadísticas públicas que nos ayuden a dimensionar la evolución de este mercado con lo cual nuestra apreciación se basa en nuestra propia experiencia con nuestros clientes.
La realidad respecto del mundo -no LATAM- es distinta en virtud de que el desarrollo y la demanda de necesidades de coberturas de ciberseguros comenzó a desarrollarse fuertemente a partir del 2017, con el comienzo de los ataques globalizados, luego potenciado por limitaciones y exigencias regulatorias y finalmente impulsado por las vulnerabilidades propias del trabajo remoto en ambientes no seguros durante el desarrollo de la pandemia Covid-19.
Risk Group Argentina se ha interesado en este tema desde el año 2017 oportunidad en la que nos sumamos a la red global de brokers, en soluciones relacionados con la tecnología Techassure -de la cual somos miembro del Directorio Ejecutivo-, así como de la experiencia de nuestro partner global Arthur J Gallagher. En lo que respecta a nuestra actividad en materia de Ciberseguros está evolucionando el nivel de consultas y en menor medida la contratación de coberturas, hoy en día quizás más direccionadas por obligaciones contractuales, que por la necesidad de mitigar la exposición a este tipo de riesgos. Sigue siendo lento el proceso de identificación del riesgo cibernético como un nuevo riesgo emergente con alta impacto en la continuidad operativa de los negocios.
En lo que concierne a producto, existen varios en el mercado, son semejantes, pero no idénticos. En esencia todos cubren los costos y gastos relacionados con la gestión del evento, la recuperación de la información, la extorsión cibernética, la pérdida de ingresos y la Responsabilidad Civil hacia terceros. Siempre como consecuencia de una intrusión afectando la seguridad de acceso o privacidad de la información. En caso de riesgo industriales y sobre todo en energía Arthur J. Gallagher ha desarrollado un producto donde existe la posibilidad de incluir una cobertura adicional de reembolso de los riesgos cibernéticos excluidos en las pólizas TRO siguiendo los términos y condiciones de estas últimas.
En cuanto a la Consultoría y Gestión de Riesgo, la mejor herramienta de defensa es la continua y constante capacitación del recurso humano. Los ciberdelincuentes están continuamente innovando en las prácticas de engaño y la gran mayoría de las intrusiones son por falta de conocimiento y alerta por parte de los usuarios. Desde ya, es condición mantener una política de seguridad informática rigurosa, y tener bien definido el plan de contingencia ante un ataque con roles y atribuciones correctamente delegadas para agilizar el proceso de toma de decisión. La inacción o confusión durante las primeras horas de la intrusión multiplican la magnitud del daño”.
“Por último, es recomendable realizar simulacros frecuentes para identificar las potenciales vulnerabilidades con anticipación. Risk Group Argentina cuenta con especialistas que proveen este tipo de servicios. Respecto de las tendencias inmediatas, el comprador de seguros cibernéticos debe tener cuidado de que las tarifas por sí solas no deberían ser el barómetro con el que miden la dureza del mercado de 2022. Deberán mantener una visión amplia de otros factores, incluidos términos de cobertura más restrictivos, sublímites obligatorios y lenguaje excluyente específico para ciertos incidentes cibernéticos globales y generalizados.
Adicionalmente está en pleno desarrollo y por el momento es muy prematuro para hacer conjeturas, pero la reciente invasión de Rusia a Ucrania, así como la demostración de que se han perpetrado ataques cibernéticos relacionados con la misma tendrá impactos en el comportamiento del mercado de ciberseguros sobre todo en cuanto a la definición y alcance de la exclusión de cobertura por guerra”, concluyó.
A.C.
Rodrigo Castia nos brindó la siguiente información sobre las coberturas de Ciber en Sura.
Nuestro Producto Sura posee tres secciones:
1. Daños Propios, compuesta por las coberturas de:
-Recuperación de la información digital.
-Interrupción de la Actividad Empresarial.
-Extorsión Cibernética.
-Transacciones Fraudulentas.
2. Daños a terceros, compuesta por las coberturas de:
-Responsabilidad por violación de información confidencial o datos personales.
-Responsabilidad por software malicioso o virus informático.
-Publicación en medios digitales.
3. Manejo de Crisis, compuesto por:
-Gastos para la protección a la reputación.
-Gastos de Defensa – Judiciales.
-Gastos Forenses.
-Gastos de Defensa – Autoridades Administrativas.
-Reembolso de gastos realizados sin previa autorización.
Cabe destacar que la solución de Ciber no ampara daños materiales ni lesiones personales.
