ciberriesgos

Los riesgos cibernéticos son un factor de incertidumbre para la estabilidad financiera en la Unión Europea. Así lo reconocen las Autoridades Europeas de Supervisión (AES) en su reciente informe sobre vulnerabilidades de los sectores financieros (valores, banca y seguros), reconociendo la atención que este tema están prestando las propias autoridades.

Los riesgos cibernéticos ponen en peligro la integridad de los datos. El riesgo es especialmente significativo debido a los posibles efectos multiplicadores, que llevan a otros riesgos empresariales, como el riesgo sobre la cadena de suministro y el reputacional.  Además, puede acarrear costes legales elevados”, expresa el Comité Mixto de las AES en su informe correspondiente al segundo trimestre de 2017.

Añade que una protección insuficiente contra los incidentes cibernéticos y una interrupción de la disponibilidad de infraestructuras informáticas críticas podrían provocar daños importantes para las instituciones financieras afectadas y, potencialmente, al sistema financiero en general.

Riesgos asociados a los servicios cloud

En su análisis, el informe se detiene en particular en los riesgos asociados al aumento de la externalización a proveedores de servicios en la nube, que plantea nuevos retos. Es cierto, señalan las autoridades, que los servicios en la nube ofrecen muchos beneficios en la forma en la que los participantes del mercado realizan sus actividades de negocio, principalmente relacionados con el aumento de la escalabilidad de la infraestructura, la eficiencia operativa y la rentabilidad.

Sin embargo, la externalización a proveedores de servicios cloud también plantea riesgos más allá de los de la externalización tradicional de TI: “El aumento de la dependencia de los proveedores de servicios, en particular en lo que respecta a las actividades críticas, puede afectar a la capacidad de las instituciones para gestionar sus riesgos estratégicos, de reputación, de cumplimiento y operativos”. Además, la concentración en proveedores de outsourcing puede llevar a un aumento de riesgo sistémico, por ejemplo, cuando los problemas técnicos o de solvencia puedan llevar a no tener continuidad de los servicios cubiertos por dichos proveedores.

Por ello, en el futuro, los supervisores se ponen como meta seguir alentando a las instituciones financieras a que mejoren la solidez de los sistemas informáticos y a que aborden las preocupaciones relativas a la conectividad y la subcontratación a terceros. También deben prestar especial atención a los riesgos de ciberdelincuencia y de seguridad de la información. Una iniciativa importante en este sentido es el Reglamento General de Protección de Datos (GDPR), que pretende reforzar y consolidar la protección de datos para las personas dentro de la UE. Este Reglamento, recuerdan las AES, se aplicará en mayo de 2018 en todos los Estados miembros de la UE y exige una mejora de los procedimientos de seguridad.

Ciberseguros: la falta de datos obstáculo la evaluación de pérdidas agregadas

En el caso concreto del sector asegurador, una consecuencia directa de los ciberriesgos es el que tiene que ver con su cobertura. Las autoridades de supervisión, entre las que están EIOPA, reconocen que los ataques cibernéticos pueden suponer una nueva oportunidad para las compañías de seguros, debido al aumento potencial de la demanda de productos de cobertura cibernética. No obstante, se advierte, estos productos son todavía relativamente nuevos y la falta de antecedentes sobre incidentes es un obstáculo para la evaluación de las posibles pérdidas agregadas.

Asimismo, la creciente sofisticación y complejidad de los incidentes cibernéticos hace que la dependencia de eventos pasados sea un parámetro limitado para estimar la probabilidad de eventos futuros. Debido a la naturaleza de los servicios que se ofrecen a los consumidores, los aseguradores pueden ser también blanco potencial de ciberataques; y lo mismo ocurre con los fondos de pensiones.

En la actualidad, EIOPA está llevando a cabo un ejercicio cualitativo sobre el ciberriesgo en el que participan los supervisores nacionales y el sector para obtener más información sobre este nuevo riesgo emergente. La encuesta se centra en temas relacionados con la suscripción de seguros cibernéticos, cubriendo temas como la estrategia de suscripción cibernética, los productos y la posible acumulación de riesgos, entre otros.