El primer encuentro de Espacio tiSec en este 2016, celebrado el pasado 25 de febrero en Madrid, se convirtió en esta ocasión en un espacio de debate y reflexión sobre el estado del arte de la ciberseguridad en el sector asegurador donde, poco a poco, se están empezando a diseñar productos orientados a cubrir daños y gastos causados por ciberataques, pero cuya evolución se sigue antojando lenta respecto a la velocidad a la que se produce la transformación digital de las empresas. Para ello, el programa del evento –segundo de los convocados por SIC expresamente focalizado en el tema– fue copatrocinado en esta ocasión por Aiuken Solutions y Reale Seguros, contando asimismo con la colaboración de Deloitte. La sesión, que registró 190 asistentes, acogió a un selecto plantel de expertos en la materia, quienes pusieron de manifiesto la imprescindible necesidad de asumir riesgos, establecer métricas y colaborar entre el colectivo de profesionales de este sector, acaso no muy madrugador, y los actores del ramo de la ciberseguridad, a fin de liderar la inexorable articulación de este incipiente mercado en el mundo digital.
Con el título “El despegue de los Seguros de Responsabilidad Cibernética”, Espacio tiSec quiso ahondar durante esta edición en el ámbito de la actividad aseguradora en el entorno digital, donde la importancia de entender e incorporar las nuevas necesidades de los clientes con una oferta de productos y servicios adecuada es, a día de hoy, clave para impulsar este mercado. Un objetivo complejo si atendemos de forma minuciosa los diferentes factores que implica llegar a tal fin, como la definición de los daños causados por ciberataques que una aseguradora está dispuesta a asumir, las complejidades de este tipo de pólizas, la implicación de nuevos jugadores como los MSSP, la necesidad de colaboración entre las aseguradoras y los profesionales en ciberseguridad, así como el aumento de la presión regulatoria, que estimulará un incremento de la contratación de este tipo de pólizas.
Fernando Picatoste, Socio Responsable de Cyber Risk Services de Deloitte y especialista de alta solvencia en el mundo de la seguridad cibernética, comenzó la jornada con la ponencia “Modelo de proyecto de integración de la transferencia de riesgos en la transformación digital de las empresas”, durante la cual, basándose en su amplio bagaje, hizo un exhaustivo análisis sobre las principales barreras de entrada existentes a día de hoy para responder a la demanda con una oferta de servicios adecuada, los factores necesarios para casar los intereses entre aseguradoras y clientes, así como el estado actual del mercado europeo de los seguros de responsabilidad cibernética.
Fernando Picatoste
En este sentido, Picatoste comenzó alertando a la audiencia sobre la importancia en las organizaciones de entender y asumir los riesgos cibernéticos como las amenazas más probables que existen en la actualidad. Para el directivo, “los riesgos asociados con la ciberseguridad todavía no ocupan los primeros puestos en las preocupaciones de los equipos de gerencia de las compañías aseguradoras”. Por este motivo, el objetivo es empezar a ser capaces de gestionar el riesgo bajo los siguientes principios: Seguridad, facilitando la innovación y garantizando activos críticos contra amenazas; Vigilancia, para reducir el tiempo de detección de detectar lo desconocido; y, Resiliencia, con el fin de fortalecer la capacidad de recuperarse cuando se produzcan incidentes.
Asimismo, Picatoste señaló la complejidad de tarificar este tipo de riesgos como otra de las barreras a la hora de articular el mercado de los seguros cibernéticos, especialmente porque los ciberataques son cada vez más sofisticados y numerosos, aludiendo que, ante dificultad para ajustar la cobertura al riesgo existente, “es necesario comprender la complejidad global del riesgo cibernético y determinar qué políticas y normativas satisfacen ciertas necesidades”. Además, puntualizó que es necesario establecer un equilibrio entre el coste de la prima y los controles a implementar, y evaluar cómo se van a llevar a cabo los procesos de reclamación según la póliza contratada.
A continuación, Picatoste desgranó de la situación de este mercado que, en la actualidad, está liderado principalmente por Estados Unidos, donde el 90% de las pólizas están asociadas a riesgos cibernéticos. En Europa, en cambio, solo un 12% de las empresas cuentan con seguros de “ciberincidentes” y de dicho porcentaje únicamente el 7% cree que sus coberturas cubren todas las necesidades de sus clientes. Tal diferencia entre un continente y otro reside, según Picatoste, “en la falta de conocimiento y asunción de que las vulnerabilidades existen y cualquier empresa puede ser atacada, un hecho carente de sensibilización y cooperación entre los profesionales de las aseguradoras y los que saben de ciberriesgos, indispensables para llevar a cabo un proceso inteligente”.
La sesión continuó con la ponencia “Servicios de ciberseguridad gestionada con coberturas de seguro asociadas: un juego a tres bandas: cliente, MSSP y aseguradora”, impartida por Juan Miguel Velasco, Partner y Managing Director en Aiuken Solutions, una de las voces más expertas dentro del campo de los proveedores de servicios de seguridad gestionada (MSSP), quien ofreció una clarificadora visión sobre la aportación que estos operadores del mercado pueden ofrecer a las aseguradoras y sus clientes en este contexto, erigiéndose como una las vías más prometedoras para hacer que el sector despegue.
Juan Miguel Velasco
En primer lugar, el directivo no escatimó en hablar sobre la necesidad de los propios MSSP de contar como paso inicial con una autorregulación a través de certificaciones y calificaciones como la ofrecidas por Leet Security o EuroCloud Star Audit, como ejemplo de algunas de las verificaciones de calidad más importantes, ante la falta de regulación externa. A ello, añadía la importancia de que los empleados cuenten con una formación básica, exigiendo un conocimiento mínimo sobre las de herramientas de trabajo, las amenazas y riesgos y el entorno legislativo y operativo del mercado. La respuesta ante incidentes se mostró igualmente como un factor determinante para un MSSP.
No obstante, para Velasco, el factor más importante es: “la medición y cuantificación de los riesgos y los ataques cibernéticos a fin de disponer de indicadores y estadísticas para evaluar el coste de las pólizas y cuantificar los riesgos que se pueden cubrir”. Entre las distintas métricas Velasco destacó los KPIs como indicadores claros asociados al contrato y a los elementos claves a proteger: los SLAs, o indicadores de la prestación del servicio, siempre en línea con los KPIs; y los indicadores de penalizaciones, que tienen que estar también en línea con los SLAs y los KPIs. “Ningún proveedor de servicios de seguridad gestionada podría prestar sus servicios sin tener estos indicadores claros”, insistió el directivo, quien añadió además que “si somos conscientes de compartir esa información podremos conocer cuántas incidencias están habiendo asociadas a determinadas tipologías de amenazas”. “Pensemos que, al final, tenemos que participar todos en darle estructura, solidez y confiabilidad al modelo, tanto los proveedores como los usuarios y, en general, todos los operadores de este mercado, porque si las empresas no empiezan a analizar este tipo de riesgos nadie va a creer que el mercado pueda avanzar”, concluyó.
A continuación, Jesús Marcos de la Fuente, Director del Área Técnica de Seguros Patrimoniales de Reale Seguros, mostró la visión desde la perspectiva de una aseguradora a través de su ponencia “Pólizas de seguros para empresas ante riesgos de ciberseguridad: el ejemplo de Reale Seguros”.
Jesús Marcos de la Fuente
Para Marcos, una de las grandes dificultades del mundo asegurador es identificar los riesgos y trasladárselos al cliente, un primer paso que resulta fundamental. Por otro lado, al igual que para Velasco, la ausencia de datos actuariales de siniestros y datos reales de intrusiones se erige como un gran problema. A lo que se le une el hecho de cuantificar una tipología de riesgos que pueden ser transversales, tener un alcance mundial y un impacto multidimensional, pudiendo pasar al daño físico de una organización. Por este motivo, a la hora de crear seguros de responsabilidad cibernética, Marcos explicó que es necesario establecer el tipo de coberturas que se necesitan, definir una tarificación adecuada a partir de métricas e identificar la capacidad real de la cobertura y la respuesta ante incidentes.
Como ejemplo de ello, Marcos mostró a la audiencia la propuesta que Reale ya ha empezado a comercializar: una póliza de seguros cibernéticos dirigida expresamente a la pyme. El directivo explicó que uno de los pasos fundamentales es identificar y gestionar los riesgos de ciberseguridad que tiene este tipo de empresas, por lo que, “previo a la adquisición de la póliza realizamos trabajos de consultoría y gerencia de riesgos que determinarán y/o detectarán los posibles riesgos a los que la compañía en cuestión puede estar expuesta”. Y es que, según Marcos, “las pymes españolas empiezan a concienciarse del peligro del cibercrimen aunque no demandan de una manera especial una seguridad específica para este ámbito”. Por ello, en este caso, las aseguradoras tienen que hacer un esfuerzo para casar los requisitos de la industria con las necesidades de los clientes para impulsar el mercado.
Finalmente, y como es habitual, Espacio tiSec contó con la celebración de un intenso debate sobre lo tratado previamente en la jornada. Todas y cada una de las dudas planteadas fueron respondidas por los ponentes anteriormente mencionados, a los que se unieron dos invitados especiales: Rafael Hernández, Responsable de Seguridad de la Información de Cepsa y Alfredo Zorzo, Responsable de Seguros de Orange España y Vicepresidente Primero de AGERS (Asociación Española de Gerencia de Riesgos y Seguros), quienes comenzaron exponiendo sus respectivas visiones sobre la realidad de los seguros de responsabilidad cibernética. En primer lugar, Hernández reafirmo el estado del arte del sector de los ciberseguros en España como “un mercado muy incipiente y en el que es necesario disponer de datos para cuantificar el riesgo y medir la seguridad”.
Por su parte Zorzo, en su posición como representante de una compañía que ya ha adquirido un póliza de este tipo, explicó la experiencia de Orange en este sentido donde “hemos aprendido a ser humildes y aceptar que somos vulnerables y, a partir de ahí, hemos planteado otros criterios de valoración de los riesgos y hemos adoptado medidas para atajarlos; dentro de la organización ha costado hacer una suscripción en materia de ciberriesgos pero ya hemos dado el paso”.
Acto seguido, una de las cuestiones que más discusión generación fue la forma en la que este tipo de seguros diferenciarán los actos negligentes de los accidentes. Para Marcos “se trata de algo muy difícil de discernir pero sí que es cierto que, en el caso de Reale, hemos querido estrechar esos conceptos a través del ofrecimiento de auditorías donde si el cliente no está dispuesto a llevarlas a cabo ya nos está mostrando un perfil negligente”. Para Picatoste “será algo que se irá autorregulando con el tiempo aunque se trata de un mercado que tendrá que seguir conviviendo con el fraude y el abuso también en el mundo digital”.
Otras de las preguntas planteadas se enfocaron en la presión regulatoria, que provocará importantes cambios en el sector y estimulará un incremento de la contratación de este tipo de pólizas ante las penalizaciones que las leyes impondrán; en la responsabilidad de los fabricantes ante el supuesto de tener un ataque por culpa de una vulnerabilidad de un producto; en la facilidad de contratación de pólizas e inversión; y sobre la futura posibilidad de establecer una póliza asociada directamente con la compra de nuevos productos, como aquellos que se están desarrollando bajo el paraguas del Internet de las Cosas.