Las empresas deben prepararse para una nueva generación de riesgos cibernéticos que evoluciona con rapidez más allá de las amenazas conocidas, como violaciones de datos, problemas de privacidad, daños a la reputación, daños operativos, interrupción de negocio empresarial e incluso pérdidas potencialmente catastróficas. Es lo que recomienda Allianz Global Corporate and Specialty (AGCS) en el informe A Guide to Cyber Risk: Managing The Impact of Increasing Interconnectivity.

La ciberdelincuencia cuesta a la economía mundial alrededor de 445.000 millones de dólares al año, de los cuales la mitad recae en las 10 principales economías mundiales.

Menos del 10% de las empresas suscriben pólizas contra riesgos cibernéticos. Pero una mayor concienciación sobre las exposiciones cibernéticas y los cambios normativos acelerará el crecimiento de los seguros cibernéticos. AGCS pronostica que las primas de seguros cibernéticos aumenten de 2.000 millones de dólares anuales en la actualidad a más de 20.000 millones de dólares en la próxima década, lo que supondría una tasa de crecimiento anual acumulado superior al 20%.

Antes se prestaba especial atención a la amenaza de las violaciones de datos de empresas y a los problemas relativos a la privacidad, pero la nueva generación de riesgos cibernéticos es más compleja: las futuras amenazas vendrán de la usurpación de los derechos de propiedad intelectual, de la ciberextorsión y del impacto de la interrupción del negocio empresarial tras un ataque cibernético o un fallo operativo o técnico, unos riesgos que se subestiman a menudo.

“Cada vez somos más conscientes de los riesgos que acarrea la interrupción de la actividad de negocio, así como de los seguros relacionados con el mundo cibernético y la tecnología. En los próximos cinco a diez años, veremos la interrupción de la actividad de negocio como un riesgo clave y un elemento principal del mercado de los seguros cibernéticos”, comenta Georgi Pachov, experto en seguridad cibernética del equipo internacional de contratación de seguros de bienes de AGCS.

En el contexto de los riesgos informáticos y cibernéticos, la cobertura de la interrupción de negocio empresarial puede ser muy amplia y abarcar desde los sistemas informáticos de las empresas hasta los sistemas de control industrial usados por compañías energéticas, incluyendo los robots utilizados en la industria manufacturera.

El impacto de la interconectividad

El aumento de la interconectividad de los dispositivos de uso cotidiano y de la dependencia de la tecnología y de los datos obtenidos en tiempo real tanto a escala empresarial como personal, lo que se conoce como el “Internet de las cosas”, crea más vulnerabilidades.

Habrá un billón de dispositivos conectados en 2020, y 50.000 millones de máquinas intercambiarán datos a diario.

Los sistemas de control industrial también despiertan inquietud, ya que muchos de los que se utilizan fueron creados antes de que la seguridad cibernética se convirtiera en una cuestión prioritaria. Un ataque contra un sistema de control industrial podría provocar daños físicos como un incendio o una explosión, además de interrumpir la actividad de negocio.

Un ataque cibernético grave contra una compañía energética o de servicios públicos podría causar la interrupción de los servicios, daños físicos o, incluso, la pérdida de vidas.

Cobertura independiente

Allianz también considera que el ámbito de los seguros cibernéticos debe evolucionar para poder proporcionar una cobertura más amplia y completa, centrándose en la interrupción de negocio empresarial y reduciendo la distancia entre la cobertura tradicional y las pólizas de seguros cibernéticos. Mientras que la exclusión de los riesgos cibernéticos en las pólizas de seguros de riesgos generales probablemente será algo habitual, los seguros independientes contra los riesgos cibernéticos seguirán evolucionando para convertirse en la principal fuente de cobertura completa. Se observa un creciente interés en sectores como las telecomunicaciones, el comercio minorista, la energía, los servicios públicos y el transporte, así como en las instituciones financieras.

Se debe mejorar el conocimiento de las empresas sobre los riesgos a los que se exponen y sobre las pólizas de seguros existentes para que las aseguradoras puedan satisfacer la creciente demanda. Como con cualquier otro riesgo emergente, las aseguradoras también se enfrentan a retos en torno a la fijación de precios, la redacción de pólizas, la elaboración de modelos y la acumulación de riesgos.

El informe de AGCS señala las medidas que las empresas pueden tomar para afrontar los riesgos cibernéticos. Los seguros solo pueden ser una parte de la solución y la defensa cibernética deberá basarse en una estrategia integral de gestión de riesgos. “Suscribir una póliza contra riesgos cibernéticos no significa que podamos olvidarnos de la seguridad informática. Los aspectos tecnológicos, operativos y relativos a los seguros de la gestión de riesgos están estrechamente relacionados”, explica Jens Krickhahn, experto en el sector cibernético y de infidelidad de AGCS en Europa Central y Oriental.

La gestión de riesgos cibernéticos es demasiado compleja para que lo gestione una sola persona o departamento, por tanto, AGCS recomienda adoptar un enfoque de reflexión para abordar los riesgos a través del cual los diferentes actores del mundo empresarial colaboren para compartir conocimientos.

De este modo, se podrán cuestionar las diferentes perspectivas y tener en cuenta todas las situaciones posibles: por ejemplo, los riesgos que plantean los cambios empresariales como las fusiones y adquisiciones o los riesgos propios del uso de servicios externos o en la nube. Además, la colaboración entre las empresas es esencial para identificar los principales activos en peligro y, lo que es más importante, para desarrollar y evaluar sólidos planes de respuesta ante posibles crisis.