Por fin llega el cambio que agitará y reducirá la siniestralidad en los ciberseguros

Quién iba a decir que la introducción de una nueva figura podría agitar el mercado de los seguros para ciberriesgos. En un año en el que los incidentes cibernéticos han alcanzado cifras históricas y con los ciberataques como una de las principales amenazas para las empresas según todos los estudios, una nueva normativa ha sido acogida con especial entusiasmo por el sector asegurador, que espera que ayude a mitigar los efectos y la siniestralidad en el seguro Ciber.

El efecto se traduciría en una reducción de la siniestralidad en el medio plazo de los ciberseguros pero además es que tendría influencia en su precio. La razón no es la normativa sino un cambio sustancial que afecta a las empresas.

Desde el pasado 26 de enero, las empresas esenciales españolas deben contar con una nueva figura: el responsable de Seguridad de la Información, tal y como indica el Real Decreto 43/2021.

Este Real Decreto se apoya en dos ejes principales: por una parte la creación de la figura del responsable de Seguridad de la Información (RSI) cuyas funciones serán elaborar las políticas sobre seguridad de la información que regirán en su compañía con el objetivo de evitar y reducir al mínimo el impacto de posibles incidentes; actuar además como "capacitador de buenas prácticas en seguridad de las redes y sistemas de información" y ser el principal punto de contacto entre la compañía y la autoridad competente en esta materia. Por otro lado, tendrá también la obligación de, en el caso de que se produzca un incidente, notificarlo a la autoridad competente a través de los canales establecidos.

En este sentido, Sara Muñoz, responsable de Riesgo Tecnológico y Ciberriesgos de Marsh España, ha señalado que la nueva normativa "es un paso muy positivo y confirma la importancia y relevancia de este tipo de riesgos. La evolución de la tecnología y los riesgos aparejados a la misma evolucionan de manera rápida y la creación del RSI redundará en una centralización de gestión y conexión con los consejos de administración de las entidades generando concienciación, inversión y por ende, mejora de la seguridad de los sistemas". Con todo, Muñoz ha matizado que "aunque hasta la fecha no había normativa al respecto, muchos grupos empresariales eran conscientes de los riesgos ciber y contaban con esta figura dentro de sus organizaciones". 

Reducir la siniestralidad

En 2020 se produjeron sonados ataques a empresas que saltaron a la prensa como el producido a la farmacéutica gallega Zendal a la que estafaron 9 millones de euros, los casos de Adeslas, Mapfre y Quirón, ataques de ransoware que les obligaron a activar sus planes de contingencia o al mismo Twitter. En general, las grandes empresas atacadas ya contaban con un RSI encargado de la gestión y comunicación de este tipo de incidentes.

Sara Muñoz, señala que "estas figuras a pesar de que no estaban respaldadas a nivel normativo hasta la fecha, son figuras que ya existen y las entidades han invertido mucho para tratar de securizar sus sistemas y gestionar de una manera eficiente sus protocolos de respuesta ante incidentes. Dicho lo anterior, considero que aún no nos encontramos en el pico más alto de la siniestralidad del ramo y creo que las medidas de securización y gestión tendrán un efecto positivo en las entidades, pero será necesita algo más de tiempo para ver los resultados materializados".

Una de las consecuencias más positivas que se derivarán del cumplimiento de la nueva normativa se refiere a la transparencia y el "miedo" a comunicar un incidente al verse comprometida la reputación de la compañía afectada. La especialista de Marsh cree que "en el corto plazo, esta cautela seguirá existiendo ya que no es agradable para ninguna entidad o grupo empresarial indicar que han vulnerado sus sistemas. A nivel reputacional, un incidente así, si no se gestiona bien, puede causar muchos estragos más allá de la propia resolución del incidente. No obstante, creo que se debe ver el lado bueno y que la transparencia puede dar una herramienta adicional a las empresas para mitigar el impacto financiero de estos incidentes. La opacidad genera mucha más desconfianza que una información controlada". "Adicionalmente a lo anterior, la obligatoriedad de comunicar los incidentes también proporcionará mayor información sobre los potenciales vectores de ataque y con ello mantener una defensa proactiva tanto de las entidades como de los organismos nacionales e internacionales", añade.

Poco impacto en las primas

Sobre el posible impacto en las primas Ciber que están pasando por un momento "caliente", Sara Muñoz no cree que "en el corto plazo estas figuras puedan moderar estas subidas, dado que no es una tendencia puntual, sino que se deriva de un mercado blando del sector sumado a un incremento exponencial de la siniestralidad principalmente en materia de ransomware. Esta tendencia al alza de los precios, el endurecimiento de los procesos de suscripción y de los términos y condiciones no hace sino que tratar de hacer sostenible este ramo de seguro".

Otra cosa es la situación a medio plazo en el que la nueva normativa y la obligación de contar con un RSI "sí que considero que serán un factor decisivo para la estabilización del mercado, derivado de su buen hacer y de las medidas técnicas y de gestión adicionales que sustentarán un mercado tan joven como es el mercado de Ciber".