ciber ataqueLa modelización del ciberriesgo es un verdadero dolor de cabeza para las aseguradoras, debido a su naturaleza cambiante, al factor humano y a la falta de datos de referencia.

Ya se trate de un hackeo de un sitio web, un robo de datos o una usurpación de identidad, el riesgo cibernético es un nuevo riesgo asegurable para las empresas.

Estas son cada vez más conscientes de la necesidad de supervisar con lupa este tipo de riesgo y de aprender a gestionarlo de forma eficaz. Sin embargo, su naturaleza volátil plantea un desafío doble para la industria de seguros.

Por un lado, porque no existe una fuente de datos de referencia sobre el riesgo cibernético en la que apoyarse: el historial de siniestros suele ser incompleto o incluso inexistente, lo que obliga a los actuarios a recurrir a encuestas, análisis de mercado y otras fuentes de alto nivel para predecir y tarificar el riesgo cibernético. Además, ese proceso no tiene en cuenta el panorama cambiante de las amenazas cibernéticas y la anticipación del impacto de posibles acontecimientos importantes.

Por otro lado, porque las motivaciones humanas constituyen una variable esencial en la ecuación del riesgo cibernético y son difíciles de medir o definir durante la suscripción del seguro.

Son por estas razones que la modelización del riesgo cibernético es compleja y debe diferenciarse radicalmente de la previsión de desastres tradicional para tener en cuenta el fenómeno de la acumulación de riesgos, que a menudo es invisible, cambia constantemente y puede adquirir una escala mundial.

Comprender las complejidades del riesgo cibernético

El impacto del riesgo cibernético puede ser significativo: los ataques cibernéticos y las violaciones de datos representan una amenaza generalizada que no se puede ignorar. El 51% de las empresas cotizadas ha declarado haber sido víctimas de un ciberataque o de una violación de datos en 2018. Una cifra que revela a qué punto la frecuencia y gravedad de este tipo de incidentes se vuelven estadísticamente significativas, a pesar de su carácter imprevisible.

ciber ataqueEl riesgo cibernético no es una cuestión de tecnología sino de comportamiento humano, de hecho, el 66% de las filtraciones y pérdidas de datos son en realidad el resultado de la negligencia e incluso de un acto malicioso de los empleados de la empresa. Más allá de cualquier firewall o red encriptada, es el comportamiento de los empleados lo que marca la diferencia. Para las aseguradoras, esto implica tener la capacidad de poder evaluar este factor humano.

Las cosas se complican aún más cuando se trata de acontecimientos de gran escala, como lo es por ejemplo el ataque NotPetya. Este ransomware se extendió por todo el mundo en junio de 2017 y causó daños considerables con pérdidas acumuladas estimadas de alrededor de 10 mil millones de dólares en todo el mundo. Muchas empresas grandes lo sufrieron y un gran número de empresas más pequeñas se vieron significativamente afectadas. Esta es una ilustración perfecta de la necesidad de simular la acumulación de riesgo en el seguro cibernético.

Como ejemplo local, en diciembre pasado una reconocida compañía farmacéutica española cayó en las redes de la ciberdelincuencia a través de un ataque llamado “el fraude del CEO”. Los autores del ataque se hicieron pasar por una empresa reconocida con el fin de obtener unas transferencias bancarias que fueron atribuidas. ¡Esto le ha costado a la farmacéutica 9,7 millones de euros!

Sin duda, el riesgo cibernético está en constante cambio hasta el punto de que muchas empresas tienen dificultades para actualizarse y tomar las medidas de seguridad adecuadas de manera pertinente. Por tanto, los procesos implantados en una empresa asegurada juegan un papel primordial en su vulnerabilidad al riesgo.

Para modelar el riesgo cibernético, se necesitan muchos datos

La modelización del riesgo cibernético representa varios desafíos fundamentales: la falta de datos de referencia en materia ciber, -que requiere que las aseguradoras recopilen este tipo de datos ellas mismas con las soluciones adecuadas-; la falta de una evaluación holística, -con la imposibilidad de modelar todos los comportamientos de todas las personas que puedan jugar un papel en un riesgo cibernético-; o incluso la falta de traducción del riesgo cibernético en probabilidades y coste para las aseguradoras, -basándose primordialmente en información técnica de la comunidad de ciberseguridad-. Para hacer frente a estos grandes desafíos, debemos encontrar una forma de modelar y analizar de manera específica la evaluación del riesgo.

ciberataqueCon este fin, se requiere reunir un gran volumen de base de datos diversas que cambian a gran velocidad y utilizarlas en modelos de riesgo que reflejen la complejidad real del riesgo cibernético. Esto con el fin de proporcionar una visión holística del riesgo y satisfaciendo las necesidades predictivas de las aseguradoras.

Al aplicar estas mejores prácticas, las aseguradoras podrán apoyar de forma proactiva a sus clientes para prevenir el impacto y el coste de un ataque cibernético y a largo plazo mejorar la gestión de su cartera.

En conclusión, si bien las amenazas cibernéticas plantean innegablemente desafíos técnicos y actuariales, ahora es posible, gracias a soluciones adaptadas, aprovechar las oportunidades que se esconden detrás del riesgo cibernético.


Guidewire - Lina MartínezSobre el autor del artículo

Lina Martínez. Sr. Inside Sales España y Portugal.
Artículo original de Patrick Soulignac y adaptado por Lina María Martínez.