4.200 millones de registros de datos fueron robados en 2016. Esta cifra da una idea de la importancia de la ciberseguridad en el mundo actual; y en este contexto, de la del seguro para mitigar esos riesgos. Sobre este tema se ha debatido en la jornada ‘El Ciberriesgo. El papel del seguro’, organizada por Center for Insurance Research del IE. Jérôme Gossé, Head IT/Tech & Commercial Lines France y Head Security & Privacy-Europe, Middle East and Africa (EMEA) de Zurich Global Corporate, se ha encargado de describir los retos a los que se enfrenta el sector asegurador en el ámbito de los ciberseguros.

Uno de ellos es la política de precios. Es difícil cuantificar la prima porque la información actuarial es escasa, “se establecen precios a futuro basándose en información que puede no ser completa”. El desafío, según explica, es la acumulación de potenciales riesgos sistémicos. Juan Carlos Crespo, director de la División de Ingeniería C4i, Comunicaciones y Seguridad de Informática de El Corte Inglés, asegura en el mismo sentido que es difícil cuantificar la prima de un seguro con un entorno tan cambiante y complejo; y decidir si es fija o variable. Este experto se pregunta ¿cómo hago para mantener la tarifa un año?

Otro desafío que destaca Jérôme Gossé es la ingente normativa de diversa índole que existe en el mundo entero. No hay normativa internacional, lo que complica mucho la creación de pólizas que cubran los riesgos de una empresa en todo el mundo. Además, comenta que las amenazas evolucionan de forma vertiginosa, lo que exige estar al día de los riesgos. Y otro reto más: los dispositivos conectados están generando muchos riesgos, lo que supone una oportunidad para las aseguradoras, al tiempo que se esperan muchos cambios en el ámbito normativo.

Estos seguros combinan coberturas de dos tipos. Por un lado, cubriría a las primeras personas afectadas: gastos de investigación forense, de abogados, de las empresas de relaciones públicas, la ciberextorsión, cuestiones regulatorias como multas o la interrupción del negocio (lucro cesante). El segundo grupo lo conforman las coberturas por los daños que sufran terceros. ¿Y qué es lo que no cubre? Entre otras cosas, los costes de mejora del sistema informático porque el objetivo del seguro es indemnizar para volver a la situación actual; la infracción de patente o el spam (si una compañía manda spam a sus clientes es violación de normativa de protección de datos).

Hay, además, una nueva tendencia en el sector, según explican desde Zurich Global Corporate. Las aseguradoras cada vez ofrecen más servicios adicionales, como respuesta de emergencia para ordenadores que hayan fallado o la creación de una red de especialistas para asistir al cliente en el caso de un incidente.

La protección total ni es posible ni deseable

Según Ignacio Guinea, director Tecnology/Operations Risk en Grupo Santander, hay dos tipos de empresas, las que ya han sido atacadas y las que no lo saben. Este experto considera que la ciberseguridad no puede tener como objetivo la protección total porque no es posible, ni siquiera deseable. El objetivo, por tanto, es mitigar que riesgos, que son ya la tercera principal amenaza para las empresas. Pero, ¿qué tipo de riesgos están las empresas dispuestas a transferir a un tercero, a una aseguradora?

Juan Carlos Crespo destaca aquellos relacionados con los datos porque todas las empresas quieren demostrar que ponen seguridad suficiente para mitigar estos riesgos; y las amenazas relacionadas con el factor humano, por negligencia o error, porque son conscientes de que evitarlas es prácticamente imposible.

Desde el Grupo Santander explican que el fraude es un riesgo ya transferido porque es algo consustancial a la banca. Hay otras 5 cosas que preocupan más actualmente. Los 3 más relevantes son la fuga de información, la interrupción del servicio, los daños o sabotajes a los activos tecnológicos, como la denegación del servicio, que tiene un gran impacto reputacional. Y hay otros dos menos evidentes: “los daños que podamos causar a un tercero, como la infección de los ordenadores de nuestros clientes; y los daños que terceros nos pueden causar a nosotros indirectamente”.

También ha opinado sobre este asunto el Comandante Carlos Herrero, de la Jefatura de Simulación, Auditorías y Desarrollo del Mando Conjunto de Ciberdefensa. Reconoce que “en el aspecto operativo nuestro ámbito tiene difícil aseguramiento. Nuestro objetivo es sobrevivir a los riesgos y dar continuidad a los servicios importantes para la seguridad nacional”. Sin embargo, el ciberseguro sí tiene cabida para transferir el riesgo de todo aquello que tenga relación con los derechos de las personas, como protección de datos, las indemnizaciones…, “pero hay que distinguir el ámbito si no nosotros caemos en la letra pequeña de los seguros”.

El camino por recorrer es largo. José Esteves, profesor de IS de IE, considera que en las empresas tiene que producirse un cambio de mentalidad: “Ya no es simplemente una preocupación operacional. Hay que cambiar la conversación, dejar de hablar menos de seguridad y normativa y centrarse más en estrategia de negocio y riesgos”. También tienen que cambiar las leyes. Según explica, es necesario promover una regulación que obligue a las empresas a hacer públicos los ataques y mejoren la transparencia. En este sentido, José Esteves ha hecho hincapié en que en España la prensa prácticamente no da cuenta de ataques a empresas españolas, y los hay, y según afirma, muchos.