AIG participa en el panel sobre ciberseguridad del XXIX Congreso Nacional de AGERS
Tener contratado un seguro de ciberriesgos marca la diferencia a la hora de solucionar un ataque cibernético, tanto en lo que se refiere al coste que puede suponer como al tiempo que se va a tardar en abordarlo y, a la postre, solucionarlo. Y que las coberturas sean las apropiadas a las necesidades de cada empresa, todavía ayuda más. Esta es una de las principales conclusiones que se pudieron extraer del panel sobre Cyber organizado en el marco del XXIX Congreso Nacional de AGERS (Asociación Española de Gerencia de Riesgos y Seguros), en el que se presentó el estudio Top 10 de Cyber Risks, elaborado por esta asociación en colaboración con ISMS Fórum.
Moderados por Juan Gayá, director de Gerencia de Riesgos CESS de El Corte Inglés y vocal de la Junta de AGERS; Carlos Rodríguez, responsable del producto de CyberEdge de AIG España; y Claudia Gómez, directora de Soluciones de Riesgo de AON España, analizaron, tras la presentación del citado estudio, diversos aspectos de las coberturas que ofrecen actualmente los seguros de ciberriesgos, un ramo que, según cifras aportadas por esta última, “tiene 600 millones en primas en el mercado actual”. Así, abordaron los gastos de mitigación y análisis forense, la extorsión, el fraude, el daño reputacional, la responsabilidad civil, multas y sanciones, daños propios materiales, daños propios por pérdida de beneficios, actos maliciosos de empleados, responsabilidad de terceros y directivos o la externalización de los sistemas de información.
Una de las cuestiones más importantes a la hora de gestionar un ataque es hacer un análisis forense que permita conocer lo ocurrido y el alcance de los daños. “En AIG, simplemente con una sospecha de ataque ya se puede activar la póliza de ciberriesgos”, señaló Carlos Rodríguez, quien explicó que su compañía dispone de un centro de atención telefónica 24 horas los 365 días del año. Y es que, apuntó, la rapidez es fundamental a la hora de afrontar este tipo de incidentes para parar el golpe tanto desde el punto de vista técnico como reputacional.
Entre las novedades que se estudia incluir en las pólizas de ciberriesgos están los casos de fraude informático, fraude del CEO, suplantación de identidad… “cuestiones que en las pólizas tradicionales corresponderían a crimen”, según Rodríguez. Por lo que respecta a los casos que suponen una pérdida reputacional, son “muy difíciles de valorar”, en opinión de Claudia Gómez, quien desveló que los alemanes “han sacado alguna cobertura, pero no es lo habitual”.
En cuanto a los perjuicios que suponen el robo de información personal o una falta de servicio a un cliente afectado, situaciones de las que se puede derivar responsabilidad civil, Rodríguez explicó que las pólizas de AIG cubren los perjuicios financieros, gastos de defensa, costes de notificación a afectados, montar un call center y gastos de control de identidad provocados por una fuga de datos, entre otros. También cubrirían la responsabilidad y el perjuicio financiero causado, que nuestro asegurado infecte con un malware a sus clientes.
En el capítulo de multas y sanciones, Claudia Gómez recordó que “un incidente muy crítico puede tener un coste muy elevado”, por lo que recomendó “hacer un buen análisis de riesgo previo”.
El moderador se interesó, asimismo, por las coberturas que sería necesario contratar para los daños provocados por la toma de control de un sistema informático. Carlos Rodríguez recomendó la póliza Cyber Property Casualty de AIG, que anula las exclusiones de daños materiales y personales que contemplan los productos ‘normales’ de ciberriesgos y daños. Es lo que denominó “una póliza paraguas”, compleja de suscribir “porque hay que tener una información muy exhaustiva del cliente y no son pólizas económicas”. Gómez apuntaló esta afirmación señalando que las pólizas ciber están cada vez más abiertas a cubrir daños materiales, “aunque las primas son muy diferentes”.
Cuestionado por la cobertura de pérdida de beneficios causada por un robo de información propia, Rodríguez no dudó en reconocer que, en el caso del producto de su compañía, el CyberEdge, estos casos estarían contemplados por la póliza, “que no solo cubre las pérdidas durante el tiempo que ha estado caído el sistema, sino después de recuperar la actividad del sistema, también lo que esa empresa debería estar ganando si no hubiera ocurrido el incidente”. Ninguna de las coberturas abordadas anteriormente sufriría ninguna modificación en el caso de que la empresa tuviera externalizada la gestión de sus sistemas de información. “Si la póliza está bien diseñada en el proceso de suscripción, no hay problema”, señaló el experto de AIG.
El panel concluyó con la exposición y explicación de varios casos prácticos por parte del forense Jess García, CEO de OneSecurity, quien a lo largo de su intervención advirtió que los ataques cibernéticos “son un riesgo que va a crecer” y reiteró con contundencia que “prepararse es fundamental, no solo para prevenir, sino también para reducir y mitigar el impacto”, algo en lo que, consideró, pueden ayudar los seguros.