Por Alcides Ricardes
El Mercado :
En nuestro país hay un cierto número limitado de aseguradoras que hoy comercializan coberturas de ciberseguros y no tenemos antecedentes de que esto se haya modificado sustancialmente, en lo que a la oferta directa respecta en el último año. Para los grandes riesgos existe un panel de aseguradoras dispuestas a analizar casos puntuales apalancados con soporte de reaseguro facultativo que es donde Risk Group Argentina en conjunto con nuestro partner global Arthur J Gallagher hoy más está desarrollando soluciones para nuestros clientes.
En lo que respecta a Ciberseguros aún tenemos mucho trabajo por delante. Por parte del sector asegurador, continuar asesorando sobre las vulnerabilidades propias de este riesgo emergente y sus impactos en la continuidad del negocio, así como los efectos sobre las responsabilidades profesionales de los directorios de las empresas.
Por parte de sector público avanzar y adecuar el marco regulatorio y normativo.
La Demanda:
En líneas generales podemos establecer que el sector de ciberseguros en Argentina crece muy lentamente, pero no en la misma velocidad que crece en la intensidad y frecuencia de los ciberataques. No es fácil realizar un balance, en virtud de que no existen estadísticas públicas que nos ayuden a dimensionar la evolución de este mercado con lo cual nuestra apreciación se basa en nuestra propia experiencia con nuestros clientes.
La realidad respecto del mundo -no LATAM- es distinta en virtud de que el desarrollo y la demanda de necesidades de coberturas de ciberseguros comenzó a desarrollarse fuertemente a partir del 2017, con el comienzo de los ataques globalizados, luego potenciado por limitaciones y exigencias regulatorias y finalmente impulsado por las vulnerabilidades propias del trabajo remoto en ambientes no seguros durante el desarrollo de la pandemia COVID-19.
Risk Group Argentina se ha interesado en este tema desde el año 2017 oportunidad en la que nos sumamos a la red global de brokers, en soluciones relacionados con la tecnología Techassure -de la cual somos miembro del Directorio Ejecutivo-, así como de la experiencia de nuestro partner global Arthur J Gallagher.
La Actividad:
En lo que respecta a nuestra actividad en materia de Ciberseguros la misma está evolucionando el nivel de consultas y en menor medida la contratación de coberturas, hoy en día quizás más direccionadas por obligaciones contractuales, que por la necesidad de mitigar la exposición a este tipo de riesgos. Sigue siendo lento el proceso de identificación del riesgo cibernético como un nuevo riesgo emergente con alta impacto en la continuidad operativa de los negocios.
Los Productos:
En lo que respecta a producto existen varios productos en el mercado, son semejantes pero no idénticos. En esencia todos cubren los costos y gastos relacionados con la gestión del evento, la recuperación de la información, la extorsión cibernética, la pérdida de ingresos y la responsabilidad civil hacia terceros. Siempre como consecuencia de una intrusión afectando la seguridad de acceso o privacidad de la información.
En caso de riesgo industriales y sobre todo en energía Arthur J Gallagher ha desarrollado un producto donde existe la posibilidad de incluir una cobertura adicional de reembolso de los riesgos cibernéticos excluidos en las pólizas TRO siguiendo los términos y condiciones de estas últimas.
Consultoría y Gestión de Riesgo:
La mejor herramienta de defensa es la continua y constante capacitación del recurso humano. Los ciberdelincuentes están continuamente innovando en las prácticas de engaño y la gran mayoría de las intrusiones son por falta de conocimiento y alerta por parte de los usuarios.
Desde ya es condición mantener una política de seguridad informática rigurosa, y tener bien definido el plan de contingencia ante un ataque con roles y atribuciones correctamente delegadas para agilizar el proceso de toma de decisión. La inacción o confusión durante las primeras horas de la intrusión multiplican la magnitud del daño.
Por último, es recomendable realizar simulacros frecuentes para identificar las potenciales vulnerabilidades con anticipación. Risk Group Argentina cuenta con especialistas que proveen este tipo de servicios.
Aspectos de la Tarificación:
Las tarifas se definen en función varios parámetros entre otros, la cantidad de registros almacenados/administrados, actividad del asegurado, grado de dependencia de entornos tecnológicos en la provisión del servicio o elaboración de productos, límite de cobertura, calidad y fortaleza de las acciones de seguridad informática.
El mercado de reaseguros y seguros de ciberseguros está atravesando un proceso de transición luego de dos años consecutivos 2020 y 2021 de incremento de la siniestralidad. El periodo 2021 finalizó con un endurecimiento de mercado que se mantiene estable durante los primeros meses del 2022.
Durante el 2021 comenzó a ser notorio que los piratas informáticos están cambiando y están teniendo éxito, en el despliegue de nuevas estrategias de ataque.
Objetivos tales como las cadenas de logística y suministro son la puerta de entrada a múltiples damnificados adicionales, hubo una amplia variedad de damnificados que van desde proveedores de software globales, plataformas de correo electrónico, el mayor proveedor de carne de EE. UU. y un proveedor de combustible que proporciona casi la mitad del combustible a la costa este de EE. UU. Los actores de amenazas han encontrado que este vasto sistema de interdependencias es terrenos de caza fértil.
La tendencia del Mercado 2022:
El mercado ha implementado cuatro acciones que reflejan su endurecimiento y que son los principios que rigen los criterios de suscripción de riesgo a la fecha.
1) Aumentos de tarifas, 2) Limitaciones en las coberturas mediante la inclusión de coberturas sublimitadas, mayores niéveles de deducibles, excluyendo algunas vulnerabilidades especificas hoy conocidas antes no específicamente detalladas. Cabe destacar que se trata de vulnerabilidades conocidas y frecuentes evitables con una buena gestión del riesgo. 3) Restricción de capacidades, no necesariamente por salida de operadores, pero si con una importante reducción de los límites de cobertura otorgados, 4) Mayores requisitos de información relacionados con la fortaleza de política de seguridad informática además de como era de esperar, mucho mayor relevamiento de información de los requisitos relacionadas con la prevención y mitigación del ransomware.
Aun en este escenario de endurecimiento de mercado, la prima global de ciberseguros sigue aumentando año tras año, clara señal de la latente vulnerabilidad ante este nuevo riesgo emergente.
El comprador de seguros cibernéticos debe tener cuidado de que las tarifas por sí solas no deberían ser
el barómetro con el que miden la dureza del mercado de 2022. Deberán mantener una visión amplia de otros factores, incluidos términos de cobertura más restrictivos, sublímites obligatorios y lenguaje excluyente específico para ciertos incidentes cibernéticos globales y generalizados.
Adicionalmente está en pleno desarrollo y por el momento es muy prematuro para hacer conjeturas, pero la reciente invasión de Rusia a Ucrania, así como la demostración de que se han perpetrado ataques cibernéticos relacionados con la misma tendrá impactos en el comportamiento del mercado de ciberseguros sobre todo en cuanto a la definición y alcance de la exclusión de cobertura por guerra.