Ciberseguros en un mercado tecnológico
A medida que la tecnología ha ido evolucionando y se ha convertido en una piedra angular del sistema de trabajo de una empresa, el activo intangible y la información privada han aumentado su valor convirtiéndose en algo tan preciado como peligroso.
El ciberriesgo ya no es algo propio que se asocia de forma casi exclusiva a la gran industria Es más, siempre ha estado ahí, acompañando a cualquier entidad desde finales de los 90 hasta la actualidad.
Atrás, por tanto, queda el concepto desfasado de nuevas tecnologías cuando es el propio mercado e incluso el marco legal quién exige a toda empresa y nuevo proyecto el uso y transmisión de la información digital.
Toda empresa y negocio actual con pretensiones de sobrevivir en el duro mercado no sólo lleva en mano un acertado plan de marketing cuyo resultado final es engrosar la cuenta de resultados, sino que también lleva la preocupación de cómo va a proteger sus activos más importantes.
La primera solución es saber gestionar los riesgos.
Unos riesgos que responden a una matriz principal (PDRR): proteger, detectar, responder y recuperar.
Estas acciones, en su orden temporal, implican un esfuerzo departamental que, en muchas ocasiones, no alcanzan el objetivo deseado o simplemente no se llevan a cabo, bien por un falta de organización, recursos o porque se prioriza en otros aspectos del negocio.
Aquí llegan los primeros problemas, pues ya es un riesgo en sí mismo el no poseer un plan de gestión para los mismos.
Por esta razón, la segunda solución es transferirlos directamente a un asegurador.
Si bien, un seguro tradicional puede solventar pérdidas derivadas de un siniestro, éste solo lo hará en la parte final de la matriz: responder y recuperar.
Por este motivo hay que concienciar a las empresas de que esto, hoy en día, es insuficiente ante un ciber riesgo.
Y mucho más con el marco legal que se vislumbra en el horizonte.
Los ciberriesgos, con un crecimiento exponencial en el mercado europeo y considerándose una de las principales amenazas para el entorno industrial internacional, se han convertido en una pesadilla que obliga a tomar una serie de medidas preventivas y sistemas de detección para sufrir lo menos posible las consecuencias de un daño cibernético que va más allá de la propia red e infraestructura.
Si la protección y la detección fallan, el seguro patrimonial aumenta su tiempo de respuesta, y por tanto, la recuperación aumenta en costes y llega tarde, o incluso y siendo este el peor de los casos, deja de existir
Y si no hay recuperación, el problema persiste y acompañará a la cuenta de resultados, tarde o temprano, con números rojos.
Nadie quiere salir malparado de esta situación. La empresa no quiere quedar desprotegida ante ciertos riesgos, exclusiones de su seguro patrimonial o sufrir un daño cuya preexistencia supera con creces la suma asegurada de su póliza.
El asegurador no quiere ver incrementados los costes de indemnización, obtener una alta siniestralidad en su portafolio o no disponer de los productos adecuados para satisfacer a sus clientes.
Por este motivo, a este nuevo reto se enfrenta tanto la empresa como el sector asegurador.
Un proceso que no es nada fácil porque incluye la asimilación conceptual y una sólida formación técnica en ambos sentidos, requiriendo un trabajo conjunto entre aseguradora y empresa.
Que quede claro: es necesaria la implicación de ambas partes para cumplir esta matriz de gestión (PDRR cuyos ejes son la probabilidad de la amenaza y la magnitud del daño) aunque cada una realizará un trabajo diferente para un mismo objetivo.
En común, y como inconveniente, tienen que afrontar un riesgo que se caracteriza por ser global y la mayor parte de veces no físico, algo que incluso seguros ‘novedosos’ como el de lucro cesante excluiría si no existe un daño previo justificable mediante otro seguro patrimonial.
La misión del asegurador, por tanto, es mejorar su gama de oferta.
Para ello, tiene que entender lo que está ofreciendo y si dispone de los medios adecuados para llevarla a cabo.
En realidad, no es necesario elaborar un nuevo producto desde cero como un ciberseguro, sino que puede desarrollar coberturas específicas y ajustar sus exclusiones en garantías ya existentes.
Esto le ayudará a seguir obteniendo datos del cliente, elaborar estadísticas y, a fin de cuentas, determinar si va a ser necesario sacar adelante un producto independiente.
Este sitio web, ciberriesgos.com, debería entenderse como el primer eslabón que ayude a entender el proceso y la forma correcta para desarrollar un seguro con ciertas peculiaridades como lo son los ciber riesgos.
Si bien, bajo los ramos tradicionales, la entidad aseguradora tiende a demostrar la existencia de un daño a través de una causa para resarcir al asegurado, en el ciberseguro, es la entidad aseguradora quién se involucra también en la detección del riesgo.
Esta proactividad y la visión de anticiparse favorece la unión y la relación con el cliente, en este caso la empresa, formando una masa crítica para mitigar eficazmente cualquier tipo de amenaza Y este motivo es un argumento válido de venta, algo que debería aplicarse a seguros como el de crédito, que también posee similares características en cuanto a detección y valoración previa.
Muy importante y significativo será la elección de los proveedores de servicios o colaboradores para cualquiera de las fases de la matriz y no solamente centrarse en cómo y quién “me va a indemnizar” cuando pase algo.
De nada sirve disponer de un excelente gabinete de abogados para la cobertura de responsabilidad o un renombrado consultor de comunicación para solventar los problemas que suponga un daño en la marca de la empresa si no se trabaja con especialistas puros y duros en materia de detección y localización de riesgos cibernéticos.
¿Y por qué?
Porque este tipo de empresas, con menos prestigio que el resto, son vitales para disminuir el tiempo de respuesta ante un daño, facilitando el trabajo para el resto de proveedores que deben acudir a dar una respuesta y, como consecuencia de ello, reducirán el importe de indemnización por parte del asegurador.
Son ellos los que deben detectar qué está pasando, en qué capa sucede el riesgo y hacia qué tipo de cobertura deberá ajustarse el daño.
Por otro lado, el marco legal siempre va a ir por detrás del ciber riesgo.
Son los programadores, sysadmin, ingenierios, webmasters y los propios hackers quiénes ayudan a publicar todo tipo de vulnerabilidades, bugs o malware informático en las bases de datos más utilizadas sobre seguridad informática y que se encargan de alimentar a los sistemas centrales (ip blacklists, listas de virus, parches,…) que colaboran con las grandes y medianas firmas.
Si este paso de información se produce paulatinamente hasta que se publica oficialmente en los medios, algunos ciberriesgos no conocen entonces una barrera legal para el mismo instante en que producen un daño.
Por último, y que no debe quedar en el tintero, es el hincapié que se he realizado en el apartado del blog sobre el riesgo sobre la reputación empresarial.
Quizá, la cobertura más importante del ciberriesgo por delante de la responsabilidad y los daños propios.
Y para justificar esta importancia es necesario hacer un repaso general y llegar a la conclusión que gran parte del trabajo descrito, si se hace bien, puede evitar responsabilidades sobre terceros y también daños propios que sean consecuencia de acciones del personal de la propia empresa.
En cambio, la pérdida de reputación es algo intangible que vuelve a generar daños propios y altera el grado de confianza de todo un negocio, haciéndolo más inestable porque debe destinar más recursos y supone un coste de trabajo extra para recuperar su estado inicial o próximo a éste, y por tanto, se puede favorecer durante este tiempo de recuperación el incumplimiento de trabajo o dejar de priorizar en medidas preventivas, abriendo paso a la aparición de una brecha de seguridad que, al final, comportará una responsabilidad.
Se deja constancia de que la valoración del activo intangible es el futuro del seguro, y no solamente el “cibernético” sino que el asegurador deberá tomar conciencia de que es un factor a incluir en la formas de tarificación e indemnización en los daños patrimoniales.
Prevención, detección y medición son y seguirán siendo los elementos clave para una buena gestión de riesgos y un seguro en sinergia con la empresa.
El cómo y el cuándo de estas acciones determinarán el grado de éxito y la diferenciación entre el buen hacer y el producto maquillado.
Si te ha gustado mi presentación, por favor, puedes compartirlo en los medios sociales, o bien, aportar cualquier idea o comentario al respecto
¡Gracias y bienvenid@!
Si deseas leer más artículos parecidos a Ciberseguros en un mercado tecnológico los encontrarás en Ciberseguros.
Te interesa: