Un objetivo ambicioso: ser el referente español en el seguro de riesgos cibernéticos para PYMES y autónomos. Este es el fin, pero el comienzo de CYBNUS se empezó a fraguar hace dos años, nos explica Patricia Villalva, directora general de la compañía. En su apuesta, nos ratifica que se centran en la especialización como clave para lograr el éxito. Hablamos con ella de un mercado de grandes oportunidades y retos: La cifra de ciberataques es cada vez mayor (nueve de cada diez empresas sufrirán un ataque informático en 2019 ) y, en el otro lado, como nos revela Villalva, faltan expertos, medios, concienciación y formación, además las nuevas tecnología como la IoT abre un nuevo camino de acción a los malos:Las pólizas de seguro cibernético excluyen en su mayoría los daños personales y materiales si bien la demanda de la industria empuja al desarrollo de pólizas “ad hoc” para las grandes corporaciones”. Además, añade, “el Big Data y el machine learning ponen en jaque la protección de datos. Las fuertes sanciones que impone la nueva normativa hacen necesaria la suscripción de pólizas de ciberseguro”.

 

CYBNUS nace como la única empresa española dedicada al aseguramiento de los riesgos cibernéticos a que se ven expuestos PYMES y autónomos. Cuéntanos: ¿cómo surge la creación de esta compañía? ¿qué objetivos tenéis marcados?

Patricia Villalva.- CYBNUS es el resultado de una conjunción de expertos de diversos sectores, asegurador, jurídico e informático. Tras años cooperando en otros ramos del sector asegurador surgieron las ganas de asociarse para emprender un negocio diferenciador con visos de tener gran éxito.

Hemos empleado casi dos años de minucioso estudio del mercado de seguros cibernéticos, negociando la capacidad, realizando estudios comparativos, reuniones con distribuidores especializados y diseñando la imagen corporativa. Así constituimos CYBNUS, con el objetivo de ser el referente español en el seguro de riesgos cibernéticos para PYMES y autónomos.

¿Por qué os habéis puesto el nombre de CYBNUS?

Patricia Villalva .- Pensar en cyber es pensar en el espacio. Buscamos un nombre que emanando del firmamento sugiriera movimiento a la par que protección. Ello nos llevó a CYGNUS, la “Constelación del Cisne” y al concepto del cisne blanco por contraposición al cisne negro, concepto económico que se refiere a la ocurrencia de un hecho imprevisto que provoca un fuerte impacto en el funcionamiento de una organización.  Por su analogía morfológica desarrollamos CYBNUS, del acrónimo inglés “CYB´N´US”, cyber y nosotros.

Habéis presentado un primer producto, CYBNUS One, ¿qué características incluye y qué novedades incluye la póliza?

Patricia Villalva.- La póliza tiene cinco bloques de cobertura: Servicios Técnicos en caso de Ataque Informático; Pérdidas Económicas por Interrupción de la Actividad; Responsabilidad Civil frente a Terceros; Gastos derivados del Incumplimiento de la normativa de Protección de Datos; Reclamaciones por incumplimientos de la normativa PCI.

Son las coberturas que ofrecen la mayor parte de contratos similares que existen en el mercado. La novedad es que está verdaderamente diseñada pensando en la PYME y los autónomos, adaptada en precios, condiciones y franquicias a las necesidades de éstos. El cuestionario de evaluación del riesgo por su sencillez, permite que cualquier empresario pueda cumplimentarlo sin necesidad de tener conocimientos informáticos más allá de los de usuario. Todos nuestros procesos, incluyendo la cotización y emisión se caracterizan por la agilidad.

¿Quizás algún ciberseguro para el individuo ‘de a pie’?

Patricia Villalva .- El mercado está todavía muy “crudo”. Lograr la capacidad de una aseguradora del prestigio de LIBERTY ha resultado un proceso complejo y ello fundamentalmente porque todavía no hay cifras que permitan realizar cálculos estadísticos. El riesgo cibernético del ciudadano de “a pie” es aún más imprevisible más cuando en España la conciencia de la protección de los equipos informáticos es muy baja y el uso de programas “pirata”, que aumentan notablemente el riesgo de incidentes, está aún muy extendido. Iremos a ello y llegaremos, pero antes hay que trabajar sobre una base sólida.

Comercialización hecha a medida

¿Por qué pymes y autónomos? ¿crees que son uno de los mayores focos para sufrir un ciberataque?

Patricia Villalva .- Sin duda. La prensa solo habla de los grandes incidentes cibernéticos que afectan a países y grandes corporaciones pero la realidad demuestra que las PYMES son quienes sufren el 70% de los incidentes cibernéticos y que un siniestro de gran impacto provoca su cierre a los seis meses. Pese a ello, el índice de aseguramiento es ínfimo. Las grandes corporaciones tienen a su disposición desde hace años seguros cibernéticos adaptados a su medida. Recientemente, las aseguradoras han comenzado a ofrecer a PYMES y autónomos estos mismos productos, pero sin haberlos adaptado a sus necesidades. Diariamente asistimos al surgimiento de nuevos seguros cibernéticos, pero ni la comercialización ni las condiciones están diseñadas para las PYMES y los autónomos.

¿Tenéis pensado abrir el campo a otro tipo de compañías o actividades dentro de la ciber protección? ¿Y salir de las fronteras españolas?

Patricia Villalva.- Al crear nuestro producto comprobamos que la mayor parte de micro pymes no cuentan con los mínimos mecanismos de protección ante ataques cibernéticos que hagan factible su aseguramiento. Ni que decir tiene la adaptación a la nueva regulación en materia de protección de datos.

Es cierto que se está haciendo una importante labor de concienciación, pero las PYMES y autónomos no han emprendido las acciones necesarias. Por ello, adicionalmente a nuestro producto de seguro, hemos suscrito acuerdos con empresas especializadas para ofrecer a nuestros clientes servicios de asistencia tecnológica para la implantación de sistemas de protección, así como servicios de adecuación a la nueva normativa de protección de datos.

Nos encontramos con pólizas que incluyen estos servicios de manera estándar a todos los asegurados. Nosotros no hemos querido encarecer el precio del producto a aquellos que no lo precisen. Por otra parte, son servicios que requieren un diseño a medida altamente profesionalizado. La Agencia Española de Protección de Datos (AEPD) ha alertado de que tomará medidas contra aquellas empresas que ofrecen, a precios irrisorios, la adaptación a la protección de datos, y ello porque la ingente tarea a realizar no es posible hacerla por 50 euros, precio que podemos encontrar en multitud de ofertas. Los procesos a desarrollar para la implantación de la normativa afectan desde a la página web del asegurado hasta el envío de campañas de marketing pasando por el tratamiento de los datos sensibles, manejo de bases de datos, etc.

España es ahora nuestro foco de negocio y en concreto las 540.000 PYMES de menos de 100 empleados. No obstante, estamos analizando la posibilidad de expansión a mercados emergentes.

hemos suscrito acuerdos con empresas especializadas para ofrecer a los clientes servicios de asistencia tecnológica para la implantación de sistemas de protección, así como servicios de adecuación a la nueva normativa de protección de datos

El ciberriesgo ha escalado posiciones y ya ocupa el número uno de las preocupaciones de los CEOs… pero ¿se están tomando medidas para paliar este riesgo? ¿están formándose en este tipo de riesgos?

Patricia Villalva.- Las grandes corporaciones lo están haciendo. Están invirtiendo en medidas tecnológicas, pero efectivamente lo más importante son las formativas. De poco vale disponer del mejor sistema firewall si un empleado abre cualquier tipo de correo electrónico. El error humano es la principal fuente de los incidentes cibernéticos y en concreto el envío de correos electrónicos con información confidencial a destinatarios incorrectos.

La implantación de medidas de prevención y protección en las PYMES es incipiente. Es necesario que la concienciación frente a las ciber amenazas parta de la dirección de las empresas ya que el principal riesgo que hoy en día acecha a las empresas es el cibernético, muy por encima de incendio, robo, accidente o daños por agua, contra los que la mayor parte de las empresas se encuentran aseguradas.

Falta trasparencia, concienciación y medios

¿Crees que debería ser una cobertura obligatoria?

Patricia Villalva.- Así es. El tejido empresarial español está compuesto en un 98% por PYMES y micro PYMEs. Por lo que nuestra economía depende de su éxito. No podemos poner en riesgo su subsistencia por un ataque cibernético. La autoridad europea de seguros (EIOPA) ya se está planteando la posible obligatoriedad de los seguros cibernéticos, pero para ello es necesario que el mercado madure y se disponga de las cifras necesarias para realizar cálculos actuariales.

Desde tu puto de vista, falta regulación en este campo ¿qué demandáis desde el seguro?

Patricia Villalva.- Falta trasparencia, concienciación y medios. La nueva normativa de Protección de Datos obliga a las empresas a comunicar cualquier brecha de seguridad en un plazo máximo de 72 horas, pero esto no está ocurriendo. Por otra parte, no existen medios suficientes de control. La AEPD contaba a mayo 2018 con tan solo 15 inspectores, número obviamente insuficiente para poder llevar a cabo un control efectivo.

La especialización ayudará a la minimización de los ataques

 IoT, Big Data, machine learning… ¿cómo está afectando este boom tecnológico al ciberriesgos? ¿ayuda o dificultan más a las compañías?  

Patricia Villalva.- La constante innovación tecnológica tiene como resultado un fuerte incremento en el riesgo. Respecto al IoT y en concreto a la denegación de servicios, desafortunadamente las previsiones son de graves incidentes cibernéticos para los que la industria todavía no está preparada. Hoy en día ya no es necesario estrellar un avión contra las Torres Gemelas para causar miles de muertos. Un ciberdelincuente desde su ordenador puede causar daños aun mayores y no dejar rastro. Causar un fallo en el sistema de frenado de los coches, un sobrecalentamiento en las neveras inteligentes, una disfunción en bombas de insulina, está al alcance de los desalmados. Las pólizas de seguro cibernético excluyen en su mayoría los daños personales y materiales si bien la demanda de la industria empuja al desarrollo de pólizas “ad hoc” para las grandes corporaciones.

El Big Data y el machine learning ponen en jaque la protección de datos. Las fuertes sanciones que impone la nueva normativa de protección de datos, de hasta un 4% del volumen de facturación, hacen tan necesaria la suscripción de pólizas de ciberseguro.

Un ciberdelincuente desde su ordenador puede Causar un fallo en el sistema de frenado de los coches, un sobrecalentamiento en las neveras inteligentes o una disfunción en bombas de insulina

Y en cuanto al talento y ‘expertos’ en este campo: ¿hay suficiente formación y especialización en este terreno? ¿se puede hacer frente a los hackers?

Patricia Villalva.- El mercado de la ciberseguridad ha explotado. Nueve de cada diez empresas sufrirán un ataque informático en 2019. Las empresas buscan especialistas y no los encuentran. Se necesitan expertos en prevención, neutralización, peritos, auditores, expertos en malware, Delegados de Protección de Datos, juristas especializados, etc. Hoy en día no existe paro en el sector.

Hasta ahora era un campo dominado por profesionales autodidactas pero la proliferación de los ataques y su nivel de desarrollo requiere de grandes profesionales. Como todo aquello que nace nuevo y fruto de una sobredemanda, habrá que estar muy atento a la calidad de los cursos que aparecen casi a diario.

Solo la alta especialización logrará minimizar los ataques de los ciberdelincuentes.

Por último, ¿cómo crees que evolucionarán los ciberataques? Y en el futuro ¿se transformarán a la par que la tecnología? ¿sabrá el seguro adaptarse?

Patricia Villalva.- Cada día son y serán más complejos y tendrán mayor incidencia en el daño personal y material. La tecnología es ya imprescindible en nuestras vidas por lo que deberemos aprender a convivir con el riesgo y centrarnos en su minimización. Nuevos tiempos, nuevos riesgos. El seguro será imprescindible como ya lo es en muchas profesiones y circunstancias de la vida y se adaptará a las nuevas necesidades como  ocurrió con el nacimiento de los seguros cibernéticos, producto impensable hace 40 años.