La jornada puso de manifiesto el largo camino por recorrer para aseguradores y asegurados

Espacio tiSec muestra los pilares sobre los que construir un mercado de seguros frente a ciberataques maduro y eficaz

Espacio tiSec volvió a arrojar luz sobre un mercado aún en los albores de su despegue definitivo y ofreció a los más de 150 profesionales asistentes -tanto del sector de las TIC, como del asegurador- una visión completa y multidisciplinar de los avances registrados en el análisis de ciberamenazas, la gestión de riesgos y el aseguramiento de daños causados por ciberataques. La jornada contó con la participación de reputados especialistas en las diversas áreas que atañan a este tema, así como con el patrocinio de AON, EY y One eSecurity.

El último tiSec del año se sumergió de lleno en un segmento de negocio tan esencial como aún poco cultivado por los colectivos protagonistas de esta era digital: el mercado de los seguros frente a las pérdidas derivadas de ciberataques. Ya sea por las dificultades intrínsecas a la constante evolución tecnológica, por la inexistencia de métricas estándar derivada de ésta, o por la falta de confianza de aseguradores y asegurados, lo cierto es que se trata de un segmento aún lejano de una madurez necesaria para el funcionamiento de cualquier industria, que además traerá consigo notables beneficios.

Como Director de Riesgos y Gobierno de la Seguridad, de la Subdirección General de Seguridad y Medio Ambiente de Mapfre, Jacinto Muñoz abrió la jornada con una ponencia sobre “La aportación del CISO en la transferencia de riesgos mediante la contratación de seguros”, en la que ilustró a la audiencia sobre el estado actual de los seguros de ciberriesgo, el papel que han de jugar los responsables de seguridad de TI y el camino que está recorriendo este relativamente nuevo mercado.

Jacinto Muñoz

“No cabe duda de que nos encontramos en un entorno complicado, con una gran atención mediática, con los gobiernos sintiéndose en la obligación de proteger y legislar, y con tendencias como cloud computing, BYOD, movilidad o Internet de las cosas que aumentan las dificultades”, expuso Muñoz al referirse al panorama en el que están emergiendo los seguros de ciberriesgo, los cuales, para las propias aseguradoras “suponen un desafío, puesto que se enfrentan a un problema capital como es no tener un histórico y una base de muestra suficientemente amplia como para ajustar bien la aproximación”.

Es en ese punto donde Muñoz sitúa el principal inconveniente de este emergente negocio, dado el desconocimiento en muchas ocasiones del nivel de seguridad de las empresas o de su madurez en la gestión. “El entorno es muy cambiante, no es fácil establecer exclusiones a los productos y hasta resulta complicado definir quién es el culpable”, reconoció antes de referirse al modo en que se enfrentan a esta situación: “Tenemos en cuenta lo que nos pide la normativa, el nivel de riesgo y lo que quiere hacer la compañía. Eso sí, cuando hablamos de ‘ciber’ hay que ir más allá y asumir que el incidente va a suceder”.

Para el Director de Riesgos y Gobierno de la Seguridad de Mapfre, el papel del CISO en este proceso ha de ser proactivo, debe considerar qué le están pidiendo para evaluar el nivel de seguridad, cuáles son las exclusiones, las coberturas… “Si eres el CISO de una aseguradora, además, puedes aportar valor al negocio y ayudar a la compañía a definir producto”, añadió antes de concluir con tres interesantes puntualizaciones: “a pesar de estar en un entorno muy complejo y con mucha incertidumbre, el mercado está madurando a pasos agigantados”, “el seguro es un complemento que ayuda a proteger, no la solución” y que lo más avanzado en seguros se circunscribe “a la pérdida de datos”.

Evolución lenta

El testigo de Jacinto Muñoz lo tomó Julio San José, Socio de IT Risk Transformation & Assurance de EY, el primero de los patrocinadores del evento, con su ponencia “Implantación de modelos integrados de gestión de riesgos CCP (Ciberseguridad – Continuidad- Privacidad) adaptables al cálculo actuarial”.

Julio San José

En ella, San José se refirió a las diferentes velocidades a las que han evolucionado los ciberataques y los seguros asociados a éstos. “La situación actual es que sólo se asegura una parte infinitesimal de los riesgos que estamos teniendo. Las compañías siguen pensando que los seguros de responsabilidad civil lo cubren. Pero no es así”, avisó.

A continuación, concretó los diferentes niveles por los que hay que pasar para llegar a contar con un mercado más maduro. “Estamos en el nivel inicial basado en datos cualitativos. El único instrumento con que contamos es el cuestionario y además sólo se audita cuando pasa algo. Esto acarrea inconvenientes como la ausencia de la sensibilidad del riesgo o la subjetividad a la hora de evaluar”, explicó. Así pues, el sector asegurador debe romper este muro y llegar a un segundo nivel, “en el que tenga un mayor peso la tarificación mixta, se siga un modelo de cyber-scoring y se realicen auditorías periódicas. Claro que como inconveniente nos encontramos con que no hay un estándar para hacer el cálculo”. De ahí que San José considere que el nivel avanzado “será cuantitativo, actuarial completo y con información estadística basada en el uso de sondas (a empleados y a clientes)”. El impedimento, en este caso, se hallará en que la tecnología es intrusiva y, por lo tanto, se habrá de encontrar un balance con la privacidad. En torno a esa idea, se mostró seguro de que es posible “conformar una póliza rigurosa sin monitorizar”, aunque dejó claro que “el margen de incertidumbre será muy alto y el precio será mayor”.

Tras este análisis, el directivo centró su discurso en la propuesta de EY, en la que se tienen en cuenta los factores que influyen en el cálculo de una prima de riesgo, así como la ausencia actual de modelos y métricas. “Nuestro Marco CCP -Ciberseguridad. Continuidad. Privacidad-, apuesta por una medición cuantitativa, única por asegurado, adaptable al apetito de riesgo de la aseguradora y al nivel de transparencia que la compañía desee transmitir. Ha de ser dinámico, capaz de asimilar la velocidad del cambio empresarial y del nivel del asegurado”, explicó.

Finalmente, Julio San José comentó que “los aseguramientos de los ciberriesgos deben ser una herramienta más para los CISOs. A fin de cuentas, lo que no puedas proteger, asegúralo”.

Productos heterogéneos

Por su parte, Claudia Gómez, Directora de AON Risk Solutions. Líneas Financieras de AON, centró su intervención en el “Estado actual y desarrollo previsible de la oferta de seguros orientados a la cobertura de daños por ciberataques”.

Claudia Gómez

Antes de entrar en materia, Gómez analizó qué son los ciberriesgos y la dificultad de evaluar los costes que conllevan: pérdidas de clientes, de datos, gestión de crisis, impacto reputacional, fraude y extorsión, etc.; para, a continuación, definir el propósito del seguro de ciberriesgo: “Ayudar a mitigar las consecuencias económicas de una quiebra de seguridad de datos o un fallo en los sistemas”.

“En el aseguramiento de ciberriesgos no existe un producto homogéneo y esto es una problemática para el cliente”, se lamentó antes de señalar qué es lo que cubren habitualmente estos seguros: responsabilidades y procedimientos regulatorios (fallos de seguridad en redes, protección indebida de la información, recopilación indebida de datos personales, investigación desde autoridades regulatorias…); cobertura de daños propios (pérdida de beneficios, extracostes para reestablecer la actividad, daños a activos intangibles…); servicios de crisis (gastos de publicidad y gestión de crisis, gestión de asesoramiento legal, gestión de investigación forense…) y paneles de servicios preacordados.

La Directora de AON Risk Solutions también enumeró las exclusiones comunes: actos delictivos de la sociedad y determinados cargos; propiedad industrial y secreto comercial; hechos y circunstancias conocidos antes de la entrada en vigor de la póliza; seguridad por debajo de lo declarado en el cuestionario de riesgos; daños materiales o daños personales; responsabilidad contractual; y actos de guerra y terrorismo.

Finalmente, en su análisis, detalló los rangos de las primas que se están contratando, los cuales van desde los 2.500 a los 10.000 euros por millón en el mercado pyme, de 5.000 a 25.000 en compañías mayores, y de 15.000 a 55.000 en el caso de instituciones financieras y aquellas con riesgos agravados.

A continuación, Gómez echó un vistazo a lo que el futuro deparará a este mercado y esbozó un escenario en el que la suscripción será más exigente en información, habrá incrementos en primas y restricción de capacidades. “No obstante, nos encontraremos con cuestiones abiertas cuando entre en vigor la nueva normativa europea de protección de datos”.

Necesidad de especialistas

La última ponencia de la jornada versó sobre “Forensía y tratamiento de evidencia: la delgada línea roja que separa la cobertura de la exclusión”, y corrió a cargo de un reputado profesional como es Jess García, CEO de One eSecurity.

Jess García

García se enfocó en la necesidad de la forensía digital como herramienta para analizar los incidentes, de cara a cobrar un seguro. “Un perito independiente tiene un gran valor, dada la gran complejidad de los análisis de cada caso. La evidencia es clave y hay que salvaguardarla. Trabajamos con montones de ellas y el análisis de todo es una tarea descomunal, tanto por el trabajo como por la complejidad”, explicó. En este sentido, el CEO de One eSecurity aprovechó para señalar el problema que existe por la falta de especialistas. “Si queremos montar un mercado que va a ser enorme, se necesitan peritos que sean capaces de acometer casos complejos. Y no los hay”.

Posteriormente, García expuso diversas preguntas sin respuesta que dejaron muy claro a la nutrida audiencia el largo camino que aún queda por recorrer. Cuestiones como “Cuando se prevé un futuro impacto de un ataque, ¿se puede asegurar?”, “si es un falso positivo, ¿quién cubre los costes?” o “¿y si no se puede resolver?” mostraron que aunque el 90% de las veces los casos de forensía se resuelven satisfactoriamente, todas las partes han de trabajar en lograr una solución.

Compuesta por cuatro fases, que van desde una inicial de desarrollo de un programa de ‘Forensic Readiness’ –“que casi nadie hace” –, hasta las tres posteriores de verificación del incidente, investigación post-incidente y peritaje, la labor forense es la clave para entender qué ha sucedido. “Y aunque la investigación no es estandarizable, ahí es hacia donde hemos de ir, a una estandarización”, aseguró García.

Debate

Como es habitual, tiSec contó con un debate final en el que se trataron cuestiones que fueron surgiendo durante las ponencias, como la de delimitar si la información es un bien asegurable. “Lo es, otra cosa es que el margen de incertidumbre sea inmenso”, aseveró Julio San José. De igual modo, Claudia Gómez coincidió en que “se puede cuantificar el valor de la información, pero el problema es que no vale lo mismo en todos los sitios, momentos y empresas. Lo complicado es homogeneizar cuánto cuesta”. “Yo puntualizaría que lo que queremos homogeneizar es el impacto del mal uso que se hace de dicha información”, añadió Jess García.

Otros tema tratados en el debate fueron: la diferencia entre los seguros de ciberriesgos y los más tradicionales, que para Jess García radica en que en estos últimos “hay estadísticas fiables y exhaustivas, mientras que en los que nos competen estamos demasiado verdes y la tecnología es muy cambiante”; la contratación de seguros en el mundo financiero, donde según Julio San José “se están empezando a extender los seguros frente a incumplimiento legal, no así frente a fraudes, al menos en Europa”; y las pólizas de seguros en el entorno de la nube, escenario complicado en opinión de Claudia Gómez: “El responsable es quien contrata la póliza. Sus proveedores deben ser conocidos por la aseguradora y que ésta esté dispuesta a dar cobertura”.

Para finalizar, estos tres directivos coincidieron en que el mercado de los seguros frente a daños causados por ciberataques va a experimentar un gran desarrollo, hasta que se conviertan en una commodity más. SIC.