Que la tecnología y las nuevas herramientas informáticas han traído novedosas formas de gestión para las empresas y han simplificado la vida cotidiana ya es una obviedad. Pero esos beneficios, también, conllevan posibles riesgos a los que hay que estar atentos, aunque, todavía, el mercado de seguros local no ofrece una amplia gama de alternativas para prevenir el cyber risk. Y tampoco hay una conciencia generalizada acerca de la importancia de contar con estas coberturas. Seguros consultó a los principales operadores del sector para saber cuáles son las pólizas disponibles, los riesgos más comunes a los que se está expuesto y el momento que atraviesa el segmento hoy.
Estado de situación
En la Argentina, los alcances de los riesgos cibernéticos están regidos por la Ley de Protección de Datos Personales (Nº 25.326), del año 2000, y la Ley de Delitos Informáticos (Nº 26.388), sancionada, en 2008. En esta última, no hay una definición de delito informático, sino que se modificaron y sustituyeron características de delitos ya existentes en el Código Penal, como estafa, delito sexual, robo, hurto, fraude y falsificación, para contemplar su comisión a través de las nuevas tecnologías.
Pero, en cuanto a las coberturas que permiten prevenir los distintos tipos de daños, que pueden derivar también en cuantiosas pérdidas económicas para las empresas que trabajan con datos, todavía queda un largo camino por recorrer.
Si bien la Superintendencia de Seguros de la Nación (SSN) se encuentra en la última etapa de aprobación de estas pólizas para algunas aseguradoras, el hecho de que todavía no estén autorizadas provoca que esas firmas deban emitirlas bajo la nómina de grandes riesgos. La suma asegurada mínima que se ofrece es de $ 40 millones, o su equivalente en otra moneda. Por eso, en esta primera etapa, se está ofreciendo el producto a empresas medianas y grandes, como bancos y empresas de informática, explica Santiago Villagra, subgerente técnico comercial de DDN Central de Seguros.
La falta de coberturas se confirma en los números: la última Encuesta Global de Seguridad de la Información realizada por la consultora PwC, cuyos datos se dieron a conocer a fines de mayo, detectó que menos de la mitad de las empresas argentinas tiene una estrategia eficaz de seguridad de la información.
El estudio reveló que, en el último año, hubo un incremento de 25% en los incidentes de seguridad de la información detectados a nivel global, mientras que el promedio de pérdidas financieras asociadas a estos sucesos aumentó 18% con respecto al año anterior y muestra un crecimiento de 51% desde 2011.
Siguiendo la misma lógica, Belén Navarro Rull, gerente Regional de Líneas Financieras para Responsabilidad Civil Profesional de la aseguradora AIG Latinoamérica y Caribe, resalta: En 2013, sucedieron ocho mega incidentes, que dejaron expuestos, cada uno, a más de 10 millones de identidades, lo que representa un aumento de un 700% contra el año anterior. Además, hubo un promedio de 83 email fishing diarios y 552 millones de identidades fueron expuestas. Por minuto, hay 45 nuevos virus, 200 nuevas web maliciosas, 180 identidades personales robadas, 5.000 nuevas versiones de malware creados y u$s 2 millones perdidos".
En cuanto a la situación local, el 44% de las empresas encuestadas por PwC consideró que tiene una estrategia eficaz y es proactiva en la ejecución de un plan de seguridad, pero sólo el 17% posee una táctica clara, con un área a cargo del seguimiento de la seguridad informática, que reporta a la alta dirección, monitorea, cuantifica y evalúa la eficacia de ese plan y está al tanto de los riesgos a los que se expone.
Sin embargo, los peligros están latentes. De acuerdo a la encuesta de PwC, el 31% de los incidentes de seguridad en empresas argentinas está relacionado con el acceso a información privilegiada por parte de los empleados y un 27% se le atribuye a ex empleados. Y si hablamos de los factores externos, el 37% está relacionado con el accionar de hackers y el 19% con la competencia.
Crear la demanda
Si bien los riesgos han evolucionado y las firmas disponen cada vez más de herramientas y soportes informáticos para su gestión, en integración con otras compañías y el uso de datos necesarios para sus actividades, muchas veces, no se protegen para cuidarlos. El estado del mercado local es de start-up. No existe una real conciencia de la necesidad de cubrir el riesgo, se la está recién creando, considera Rubén Schuh, director de S+R Insurance Broker.
Para Facundo Jamardo, director de Deloitte Cyber Risk Services de Argentina, el panorama es similar: Al ser riesgos muy nuevos, todavía no han sido visualizados por el management como riesgos específicos y queda mucho por hacer". Es necesario concientizar de forma proactiva sobre los nuevos peligros a los que están expuestas. Esto permitirá minimizar los impactos y colocar a toda la organización en conocimiento de los riesgos de cyber seguridad, que irán en aumento, pronostica el ejecutivo.
Es que, si bien las empresas informáticas, las que realizan transacciones por Internet o las que se dedican al e-commerce son las más expuestas, los delitos informáticos no discriminan a la hora de elegir a sus víctimas. "A los riesgos cibernéticos, se enfrenta cualquier compañía que dependa de las redes informáticas, información digital o Internet, es decir, casi todas las corporaciones competitivas del mundo de hoy. Las violaciones de datos electrónicos son un poderoso imán para acciones legales y enormes pérdidas financieras. Si bien aún, en la Argentina, no se ven con demasiada frecuencia o por montos significativos, debemos tener presente que, cuando suceden, pueden dañar seriamente la reputación de una empresa durante los años venideros", alertan Christian Mazzei, adscripto de la gerencia Comercial de Risk Consulting, y Jennifer Runnacles, de la división Internacional de Risk Group Argentina.
Oferta disponible
Si bien, en el país, las coberturas para cyber risk están empezando a desarrollarse y se espera que la SSN apruebe una mayor cantidad de pólizas en poco tiempo, ya hay opciones disponibles para clientes que, por sus actividades, manejan grandes bases de datos de terceros con información sensible, describe Carlos Noseda, gerente de Líneas Financieras de AON. Podemos mencionar a las entidades financieras, las relacionadas con la salud y empresas de retail con cantidad de información de sus clientes, especifica.
Risk Group, que fue el primer broker en colocar una póliza de Riesgo Cibernético a nivel local sobre un buscador y correo electrónico, en 2002, ofrece asesoramiento desde su área de Risk Consulting y trabaja con seguros que cubren la responsabilidad que las empresas enfrentan por su dependencia de sistemas de procesamiento y almacenamiento electrónico de datos. "Estas pólizas cubren los eventos que pudieran generar una pérdida por la realización de actividades comerciales vinculadas con herramientas informáticas y combinan cobertura tanto a primeras partes como a terceros para muchas de las exposiciones cibernéticas, incluidas aquellas que impliquen intimación, hackers, virus, interrupciones de red y publicaciones online", especifica Runnacles. El costo anual puede variar entre los u$s 10.000 y u$s 100.000, dependiendo del tráfico de datos, la cantidad de usuarios de las redes de la empresa y si ya ha tenido amenazas que pudieran haber generado una violación de datos.
En tanto, desde DDN Central de Seguros, se ofrece Cyber Edge, seguro que se emite en el rubro Grandes Riesgos y cubre gastos de defensa, civiles y penales, de investigación y demandas de terceros cuando sus datos fueran divulgados, sea por fraude de un empleado o por error, omisión, negligencia o hackeo.
También, hay coberturas para Gestión de Incidentes, que abarcan desde sanciones administrativas por violación de leyes en materia de protección de datos hasta la restitución de la imagen personal y de la sociedad para mitigar los daños a la reputación como consecuencia de una violación informática. Además, hay seguros opcionales, coo Extorsión en la Web (pérdidas por amenazas de seguridad en la que se demanda dinero para finalizarla), Interrupción de la Red (gastos derivados de fallas en la seguridad de la red) y Contenidos Multimedia (reclamos como plagio, piratería y difamación por contenidos publicados electrónicamente). El valor de la póliza se estima a partir del conocimiento del giro del negocio y la facturación de la firma, relata Villagra.
Pero, como referencia de costos, desde S+R Insurance Broker, Schuh ejemplifica: Una actividad comercial promedio, con una suma asegurada de u$s 5 millones, tiene un costo de prima anual de u$s 20.000, mientras que una empresa financiera o un banco, por la misma suma, puede pagar u$s 200.000 por año.
Por su parte, Leandro Canosa, gerente de Canal Indirecto de Gaman Argentina, destaca que estas pólizas son hechas a medida del cliente y advierte que los riesgos relativos a la exposición a Internet, generalmente, son excluidos de las pólizas tradicionales porque su diseño original está orientado a dar respuesta a las responsabilidades y peligros que dañan a activos físicos, mientras que las exposiciones de estas coberturas suelen ser de carácter intangible. No hay una póliza masiva de adhesión como pasa con esos riesgos tradicionales, sino que, en cada caso puntual, se analiza el riesgo y se arma una propuesta especial, completa.
A pesar de que se están dando los primeros pasos y todavía falta mucho por hacer, los operadores del sector se mantienen optimistas. El seguro para riesgos cibernéticos será clave para las empresas, dado el creciente número de incidentes y riesgos de responsabilidad cibernética. Estimamos que, en los próximos años, este tipo de coberturas será adoptado por todo tipo de empresas, como lo son hoy los seguros de Responsabilidad Civil o de Daños, evalúa Navarro Rull. Son varias las aseguradoras que están en proceso de diseñar nuevas coberturas relacionadas a este tipo de riesgos, con productos para todo tipo de segmentos, agrega Noseda.
Siguiendo esta línea, Andrés Gil, socio de Deloitte y líder de Cyber Risk Services de Latinoamérica Hispana, resume: Cuando las empresas vayan madurando en los procesos de gestión de riesgos de seguridad de la información, habrá más lugar para que las empresas de seguros puedan ofrecer este tipo de coberturas.