La percepción del riesgo
Se está hablando mucho de ciberseguridad: lo vemos en la prensa y en la televisión, se habla de ello en cualquier foro y hasta se convierte en “trending topic” cuando sale a la luz algún incidente espectacular.
Sin embargo, a nivel del ciudadano medio no existe percepción del riesgo. El particular sigue viendo los riesgos cibernéticos como algo muy lejano que, efectivamente, aparece en las noticias pero que se asimila más a la picaresca que a un peligro generalizado. La prueba más evidente la tenemos en la herramienta más habitual de acceso al mundo virtual por parte de la población en general, que es el móvil. ¿Qué porcentaje de terminales móviles cuentan con un sistema de protección adecuado? El resultado es ínfimo. Los ciudadanos, incluso los que tenemos alguna información sobre este tipo de cuestiones, seguimos sin darnos cuenta de que llevamos encima, prácticamente todo el día, una poderosísima herramienta de acceso al ciber-espacio pero que es, al mismo tiempo, una puerta de acceso a nuestros datos, a nuestra información.
En el mundo empresarial sí existe información, pero esa información no se traslada siempre a una inversión real en seguridad. Es sorprendente comprobar el elevadísimo número de empresas que todavía no han establecido unos controles de seguridad rigurosos en cuestiones tan básicas como el acceso al correo o las operaciones bancarias. Bajo mi punto de vista, el problema parte de la dificultad en percibir riesgos intangibles: nos resulta muy fácil visualizar los efectos del fuego o de las inclemencias meteorológicas, pero nos cuesta mucho más dar forma a un daño puramente patrimonial. En cualquier caso y, afortunadamente, cada vez son más los empresarios que confían la elaboración de un entorno de seguridad a profesionales del sector TIC.
Como ocurre con cualquier otro tipo de riesgo, la percepción real se genera de la forma más abrupta cuando, efectivamente, se sufre un ataque. La sensación tras comprobar que algo está pasando en nuestros sistemas informáticos es verdaderamente angustiosa. Lógicamente, los empresarios más receptivos al establecimiento de medidas de seguridad son aquellos que han sufrido un ataque o que han conocido de forma muy cercana a quien lo ha sufrido.
Paradójicamente, no se observa una preocupación especial en función de la actividad o de la tipología de los riesgos. Cabría esperar que sectores especialmente sensibles con la protección de datos o la información en general como son la Educación o la Sanidad tuviesen un especial cuidado con las cuestiones relacionadas con la seguridad y la protección pero eso no siempre es así. Más bien existen empresarios a los que les preocupa la ciber-seguridad y otros a los que no.
En ese sentido, me parece fundamental que exista una comunicación fluida entre las empresas TIC del sector de la ciber-seguridad y los aseguradores. Lejos de competir, creo sinceramente que estamos prestando servicios totalmente complementarios: el entorno ideal de ciberseguridad es aquel que cuenta con un excelente servicio de consultoría en la materia y, además, con un aseguramiento óptimo en ciber-riesgos.
Llama la atención comprobar en tantas ocasiones cómo la reacción del empresario frente al seguro de ciber-riesgos supone escudarse en que ya cuenta con un excelente servicio informático. Si trasladamos esa situación al mundo físico, sería algo así como renunciar al seguro contra robo porque se cuenta con un buen sistema de alarmas. Resulta obvio que el mejor de los sistemas de seguridad cibernética no puede garantizar, de forma absoluta, que no vayan a producirse incidentes cibernéticos.
Para mí, la alternativa es clara: los aseguradores debemos ser exigentes, e incluso llevar a cabo una labor didáctica, en cuanto al establecimiento de unos estándares mínimos de seguridad cibernética. Al mismo tiempo, parecería totalmente deseable que una buena labor de consultoría en materia de seguridad cibernética realizada por profesionales expertos en la materia se complementase con la contratación de seguros de ciber-riesgos como la vía óptima para garantizar su protección.
En este entorno, es cierto que determinadas actividades están empezando a tener problemas para encontrar una buena cobertura aseguradora. Importantes sectores como la generación de energía o el mundo sanitario tienen poco mercado para contratar actualmente un seguro de ciber-riesgos. Bajo mi punto de vista es un problema grave: el sector asegurador no puede dejar fuera de cobertura a ámbitos de actividad tan críticos como el energético o el sanitario. Creo que existe una obligación, incluso moral, de buscar fórmulas de aseguramiento para esa tipología de riesgos.
Descubre más en la publicación
La respuesta aseguradora
El seguro de ciber-riesgos no es un seguro de masa (lo que habitualmente conocemos como una “commodity”) y espero, por el bien de todos, que tarde muchísimo tiempo en serlo. Es un producto que exige un conocimiento profundo del cliente, de sus peculiaridades y necesidades. El mercado cuenta con opciones que permiten una cierta “customización” de las coberturas en función de cada caso y hay que saber utilizar esa flexibilidad. En todo caso, el seguro de ciber-riesgos requiere sentarse con el cliente, explicarlo, escuchar.
Como decía antes, posiblemente lo que más nos cuesta es ser capaces de visualizar riesgos no tangibles. Por ello, lo que ha hecho el sector asegurador es trasladar al mundo virtual las soluciones que ya existían en el mundo físico. El esquema de coberturas de la típica póliza de ciber-riesgos reproduce el de una póliza multi-riesgo, con una garantía sobre al propio patrimonio (que se traduce en la recuperación de datos o la extorsión cibernética), una protección de la cuenta de resultados (a través de la Pérdida de Beneficios) y una potente garantía de Responsabilidad Civil.
Sin embargo, vemos que muchos empresarios no han llevado a cabo ese mismo ejercicio, y les cuesta mucho percibir cómo prácticamente todos los riesgos que conlleva el mundo físico tiene su reflejo en el ciber-espacio. Es fácil reconocer con total claridad las consecuencias de que el patrimonio desaparezca como consecuencia de un incendio, pero aún no vemos qué puede ocurrir si nuestros datos y nuestra información desaparecen o, peor aún, caen en las manos inadecuadas.
Sin darnos cuenta, buena parte de nuestra patrimonio (y hablo del patrimonio real, del que tiene valor económico y afecta a nuestros balances) ha pasado a residir en el ciber-espacio: nuestros proyectos, nuestras ideas, la información financiera y contable, los datos de nuestro clientes,…. El escenario de vulnerabilidades ha cambiado radicalmente.
Es necesario convencer a los clientes de la necesidad de completar el círculo de seguridad. Como comentaba antes, muchos empresarios están convencidos de que contar con unas buenas (o no tan buenas) herramientas de seguridad es suficiente para garantizar que no vayan a sufrir un incidente cibernético. Obviamente, es indispensable contar con excelente servicio informático, pero no es suficiente. La realidad es que incluso los grandes proveedores de seguridad tecnológica han sido objetivo de ataques devastadores o de incidentes imprevistos. El establecimiento de medidas de seguridad en los sistemas informáticos y de comunicaciones es absolutamente imprescindible, pero el seguro es la única herramienta útil cuando, pese a todo, el siniestro llega.
Actualmente, sobre todo sin nos ceñimos al mundo de la empresa, el seguro está ofreciendo cobertura potentes y adecuadas. El mercado cuenta en estos momentos con un alto grado de madurez. Existen aseguradoras especialistas en la materia que llevan una cierta ventaja, pero también las generalistas han lanzado sus propios productos (a veces con un resultado desigual).
Las aseguradoras más avanzadas están empezando a incluir coberturas complicadas en sus condicionados, como el fraude tecnológico o los ataques mediante técnicas de ingeniería social (cuyo ejemplo más difundido sea, probablemente, el conocido como “timo del CEO”). Lógicamente, para la obtención de este tipo de garantías se exige a los clientes que cuenten con unos estándares de seguridad medios/altos, pero esto es algo totalmente coherente y que, de alguna manera, forma parte de esa labor didáctica a la que antes hacía mención.
En todo caso, el elemento básico del éxito de estos seguros es poder contar con un excelente servicio de Respuesta a Incidentes. Ahí es donde las aseguradoras especialistas han echado el resto y han conseguido contar con las consultoras del más alto nivel para prestar ese servicio.
Aunque todo es opinable, los precios de este tipo de productos conforman una oferta relativamente asequible. Indudablemente, la pandemia ha traído consigo un endurecimiento de las políticas de suscripción y de las primas, pero es algo comprensible: los confinamientos y el tele-trabajo han incrementado de forma notable el nivel de amenazas.
La información que se requiere para la contratación de estos seguros puede llegar a tener cierta complejidad. Eso es especialmente cierto en el caso de la gran empresa. Sin embargo, en estos casos el empresario suele tener muy claro lo que le preocupa y lo que necesita, además de contar con la intervención de departamentos informáticos internos que hablan ese mismo lenguaje y para los que no resulta complejo facilitar la información requerida.
Un Seguro de Ciber para particulares y autónomos
Para las empresas más pequeñas pueden utilizarse cuestionarios/solicitudes que funcionan de forma prácticamente automática pero que requieren, en cualquier caso, un momento de reflexión y análisis respecto de la importancia que cada empresario da a su entorno de seguridad tecnológica.
En el ámbito de los particulares la situación es bien distinta. La oferta de productos es todavía escasa en número y limitada en prestaciones. Sin embargo, han surgido algunos primeros intentos que parten de una perspectiva distinta, utilizando como base alguna herramienta tecnológica (antivirus, firewalls, etc.) y añadiendo prestaciones aseguradoras que, sin duda, se irán incrementado con el paso del tiempo. Sin tener el carácter global con el que cuentan los seguros para empresa, se trata de productos muy válidos que pueden proporcionar un alto nivel de prestaciones a un precio muy competitivo. En todo caso, no ha surgido un producto asegurador que sea capaz de trasladar a los particulares un nivel de protección similar al que existe en las empresas. Por supuesto, se trata de una tarea compleja, pero existe un amplísimo campo comercial para quien se atreva a dar el primer paso.
En suma, como ya ocurriera hace unos años con el Seguro de Administradores y Directivos, el Seguro de Ciber-riesgos está adquiriendo una lenta aunque imparable importancia dentro de la gestión de riesgos en el mundo empresarial. A nivel particular va a costar un poco más pero, sin duda, llegará. En todo caso, el riesgo es real y creciente, por lo que el peso que van a tener este tipo de seguros a medio plazo es enorme. Probablemente, no son más que el primer eslabón de una nueva generación de seguros que deberán adaptarse a una realidad en la que el ciber-espacio, con su enorme potencial en cuanto a capacidad de almacenamiento, velocidad en la resolución de problemas y fiabilidad en las comunicaciones, pero también con sus nuevos riesgos y vulnerabilidades, va a adquirir un peso específico cada vez mayor.
Óscar-Rubén Sanz.
Director Técnico de Kalibo Correduría de Seguros.
