Riesgos cibernéticos silenciosos – un viaje junto con participantes de la industria

Los ataques cibernéticos como el omnipresente NotPetya que comenzó en Ucrania y se extendió por todo el mundo revelaron el impacto que los riesgos cibernéticos silenciosos pueden tener en la industria de seguros. Los siniestros aparecieron en varias líneas tradicionales de negocio. Con una creciente concienciación y experiencia, Munich Re afronta el reto de transformar los riesgos cibernéticos silenciosos en cobertura afirmativa.

Mientras que en la industria hay discusiones continuas e intensas sobre riesgos cibernéticos silenciosos, no hay duda de que en las pólizas tradicionales muchas veces existen exposiciones cibernéticas ocultas. «Al diseñar las pólizas convencionales no se incluían los riesgos cibernéticos como riesgo potencial. Por este motivo es posible que en el caso de un incidente cibernético la cobertura sea ambigua y poco clara. Puede existir una cobertura de la exposición cibernética, aunque la aseguradora no esté preparada o incluso ni siquiera sea consciente de haber asumido este riesgo. Para las aseguradoras, ello significa que podría darse el caso de que asumen exposiciones sin la apropiada gestión de suscripción y de cúmulo de riesgos. El objetivo debe ser que la cobertura cibernética ya no fuera silenciosa, proporcionando o bien cobertura afirmativa o cubriendo el riesgo al menos de forma consciente», explica Sefan Golling, Chief Underwriter de Munich Re. «Es evidente que los riesgos que provienen del peligro cibernético existen y que afectan a todas las industrias, mercados y compañías. Por esta razón, la demanda de coberturas adecuadas, la mitigación de riesgos y los servicios de asistencia crean una amplia variedad de oportunidades de negocio. Para entender el potencial de crecimiento hace falta comprender los riesgos cibernéticos y los riesgos cibernéticos silenciosos en su conjunto y, por consiguiente, se necesita un asesoramiento adecuado sobre las exposiciones existentes.»

Dado que prácticamente todas las pólizas convencionales están expuestas a riesgos cibernéticos, la exposición cibernética silenciosa puede ser significativa. Aumentan las amenazas cibernéticas y predominan las ambigüedades en las coberturas tradicionales, por lo que surge la necesidad de alcanzar más claridad. Por ello, el panorama de los productos de seguros debe ocuparse de las necesidades de los asegurados respecto a su cobertura cibernética y definir claramente lo que está cubierto y lo que no está cubierto en las pólizas existentes. 

Katja Weber, responsable de Underwriting Strategies & Quality en No Vida, explica: «Según nuestra opinión, eliminar las ambigüedades y considerar adecuadamene los riesgos cibernéticos en el marco de una predisposición a asumir riesgos claramente definida supone dos pasos: primero hay que decidir a qué línea de negocio pertenece la exposición cibernética – a la línea cibernética o a un peligro cubierto bajo una línea tradicional. Segundo: debe afrontarse adecuadamente la exposición cibernética que permanece dentro de las líneas tradicionales. Esto significa que hay que revisar la exposición en los clausulados, en la gestión de riesgos, la fijación de precios y en el control de cúmulo».

De momento, solo se dispone de un número limitado de datos sobre siniestros cibernéticos silenciosos, por lo cual una posible solución para afrontar la exposición en las líneas tradicionales sería investigar los escenarios de siniestros. Munich Re ha analizado una serie de casos ilustrativos de Property y Casualty para ver cómo los riesgos cibernéticos podrían afectar las pólizas tradicionales. 

Un ejemplo en Casualty podría ser un producto defectuoso causado por un problema cibernético como comida contaminada o dispositivos IdC vulnerables. En la mayoría de los mercados, el productor es responsable de los daños causados por productos defectuosos. En tal caso, el siniestro cubierto podría implicar Daños personales, Daños materiales a Terceros y, dependiendo de las características del producto, Daños Patrimoniales Puros. 

Un posible escenario de un riesgo cibernético silencioso en Property podría ser un ataque cibernético que lleva a una Interrupción de Negocio debido a una pérdida/daño, tal y como se pudo observar en el caso de NotPetya en 2017. La aparición de ransomware y otros ciberataques mostraron la vulnerabilidad de las empresas y las enormes consecuencias para sus operaciones debido a datos perdidos/dañados (p. ej., no disponibilidad, corrupción, cifrado, alteración y eliminación de datos, programas y software). 

Para afrontar el reto cibernético silencioso es necesario comprender el peligro cibernético en su totalidad y obtener claridad y transparencia en las carteras. «Cuando sabemos dónde las exposiciones cibernéticas presentan fugas no intencionadas en las líneas convencionales, entonces podemos empezar a afrontarlas correctamente, convertirlas en una cobertura afirmativa y gestionar la exposición de cúmulo inherente», explica Katja Weber. «Este proceso debe ser un viaje compartido entre los participantes de la industria. Nuestros expertos de Munich Re han desarrollado un concepto y varias medidas concretas para apoyar a nuestros clientes durante este proceso. Incluyen, por ejemplo, diálogos y asesoramiento intensivos, una recopilación de siniestros, asesoramiento sobre la exposición en base a escenarios, manuales de clausulados de pólizas, estudios sobre cúmulos, herramientas para la valoración de riesgos y mapas térmicos de suscripción – por mencionar solamente las más importantes». 

Munich Re tiene la ambición de apoyar activamente a sus clientes respecto a cibernética y riesgos cibernéticos silenciosos. Según Stefan Golling: «Queremos contribuir a que no se considere el reto cibernético como obstáculo sino más bien como oportunidad de obtener negocio nuevo sostenible en toda la industria. Nuestro enfoque se basa en comprender los riesgos, evaluarlos adecuadamente y hacerlos asegurables. Al hablar de Munich Re como un proveedor líder de soluciones cibernéticas a nivel global, Golling puntualiza: «Ello solo es posible en estrecha colaboración con expertos de nuestros clientes de seguro, con nuestros asegurados y con socios externos del ecosistema cibernético, para desarrollar una comprensión en común de cómo afrontar los riesgos cibernéticos.» Además de la transferencia de riesgos, ello también incluye servicios para la gestión de riesgos y medidas de seguridad. «Para este fin implementamos nuestros equipos cibernéticos globales y nos basamos en una red de renombrados socios externos para complementar nuestros conocimientos y nuestro abanico de servicios». 

«La reducción de sorpresas y la implementación de sostenibilidad en el proceso de suscripción así como una vigilancia continua de mercados y evoluciones deben ser aspectos de una estrategia cibernética integral en la que están incluidos los riesgos cibernéticos silenciosos», explica Katja Weber. «La ejecución será una carrera de maratón y no un esprint. Junto con nuestros clientes vamos a seguir evolucionando para garantizar la asegurabilidad adecuada de riesgos cibernéticos y aprovechar el potencial de crecimiento».