Los Riesgos Cibernéticos en la Actualidad Para Negrilla

En la actualidad, los riesgos cibernéticos son una de las principales preocupaciones de cualquier compañía dado el incremento del uso de la tecnología en las operaciones diarias como: dependencia de los sistemas, incremento en el uso de dispositivos móviles y teléfonos inteligentes, almacenamiento de información en la nube, etc. Si bien estos avances facilitan los procesos al interior de las empresas, también plantean nuevos retos ante la aparición de riesgos cibernéticos.

Este Riesgo ha sido visualizado por las compañías de Seguros quienes están creando nuevos productos que ayuden a las empresas a minimizar el impacto financiero ante la ocurrencia de un evento de esta naturaleza.

El tradicional mercado Lloyd´s reportó en 2016 un incremento del 50% en la emisión de estos seguros respecto del año inmediatamente anterior. En el mimo sentido, Allianz estimó un crecimiento de primas a nivel mundial cercano a los US 2.5B para el 2017, y vaticinó primas globales por el orden de U.S. 20B para el 2025. Sin embargo, en el afán de contratar un producto para el cubrimiento de estos riesgos, se suelen pasar por alto aspectos que podrían frustrar las aspiraciones de indemnización de los asegurados en caso de siniestro.

Eventos recientes demuestran que la seguridad tecnológica propia es tan fuerte como aquella del proveedor más débil.

La mayoría de los amparos en seguros cibernéticos genéricos (over the shelf) que abundan en el mercado, ligan la activación de cobertura a la ocurrencia de un ataque cibernético directo, que resulte en una afectación del sistema propio del asegurado, excluyendo aquellos eventos derivados de ataques cibernéticos dirigidos a los sistemas de proveedores externos.

cyber

Resulta entonces de la mayor relevancia preguntarse ¿qué porcentaje de la operación tecnológica está bajo control del asegurado, y realmente expuesta a un ataque directo capaz de activar cobertura? Y la respuesta seguramente será, muy poco.

Para calcular la exposición real de una compañía, es necesario considerar la integralidad de la operación tecnológica, abarcando cada uno de los proveedores intervinientes. De esta manera se podrá lograr un correcto mapeo de los riesgos, lo cual a su vez, se podría utilizar como herramienta para estudiar la gestión de riesgos de cada proveedor, y determinar si se alinea con los estándares propios. De lo contrario, la transferencia del riesgo será deficiente.

En 2015 los clientes de la empresa de venta de productos para mascotas en línea Luckypet.com, fueron víctimas de hurto de información personal al utilizar dicha página web, cuando un proveedor suministró un software de “carro de compras” infectado con malware.

En 2016 Cici´s Pizza, Wendy´s, y Hard Rock, entre otras importantes cadenas de comidas, reportaron el hurto de información financiera de clientes a través de su sistema POS (point of sale / punto de venta), suministrado por el proveedor Datapoint.

Pero la exposición no termina con los proveedores de las herramientas tecnológicas básicas y obvias. Los proveedores de red y de nombres de dominio también han sido victimas de ataques que, indirectamente, afectan gravemente la prestación de servicios en línea a empresas de todos los sectores.

cyber2

En octubre de 2016, el sistema del proveedor de nombres de dominio Dyn, experimentó múltiples ataques de denegación de servicio DoS, impidiendo el acceso a plataformas de internet, perjudicando a millones de usuarios de red en Europa y Norteamérica. El ataque duró solo dos horas continuas, pero el lucro cesante de compañías que basan su fuerza de venta en sus páginas web fue incalculable.

Ahora, cuando la afectación la sufre un proveedor de servicios electrónicos para actividades críticas, como la financiera, la problemática es aún mayor. Una denegación de servicio a consumidores financieros genera una serie de perjuicios de consideración, como lucro cesante, incumplimientos de obligaciones comerciales, laborales, entre otras, que a su vez, podrían resultar en reclamos de responsabilidad contra la entidad financiera.

Este año, la Superintendencia Financiera de Colombia multó con cerca de US 300.000 a uno de los principales bancos de Colombia por fallas técnicas en su plataforma electrónica en 2016, generando intermitencias en el servicio que afectaron a diversos clientes.

En febrero de 2017, Lloyd´s Bank, uno de los principales bancos del Reino Unido, sufrió un ataque de denegación de servicio, durante el cual sus clientes no pudieron realizar pagos, consultar saldos, ni acceder a diversos productos financieros.

En ambos casos las plataformas tecnológicas que experimentaron fallas eran tercerizadas, y no solo afectaron a la entidad bancaria visible al público, sino a otras entidades dentro del mismo grupo financiero que por la interconexión, dependen de dichos servicios tecnológicos. Esto último puede incluso derivar en reclamaciones de responsabilidad civil cruzada.

Si bien las pólizas disponibles en el mercado asegurador adolecen de grandes vacíos de cobertura frente a riesgos de proveedores, existe la posibilidad de adquirir productos a la medida, o pólizas stand alone, que cubran estos riesgos específicos.

En conclusión, al momento de adquirir una póliza de riesgos cibernéticos es mejor realizar las actividades de identificación y gestión de riesgos, de la mano con la implementación de un programa de administración de proveedores exhaustivo y responsable, a fin de abarcar la mayor cantidad de variables que puedan afectar un negocio y lograr la transferencia adecuada de los riesgos residuales.
contacto@ebdalliance.com
ALL RIGHTS RESERVED - 2018 EBD LOSS ADJUSTERS ALLIANCE