A raíz del uso cada vez más intensivo de las tecnologías de la información, el riesgo cibernético se vuelve mayor y reportará costos anuales de US$ 6 trillones en 2021, según un informe realizado por AON, broker internacional proveedor de servicios de gestión de riesgo, seguros y reaseguros.
El trabajo se presentó en un evento de ciberseguridad que realizaron la semana pasada, y allí se alerta sobre el fuerte impacto que ha tenido la pandemia del COVID-19 en el aumento de estos delitos. A respecto, se prevé que el negocio de seguros para ciber-riesgos en los próximos años será exponencial, pasando de US$ 9 billones este año a US$ 20 billones en 2025, una proyección que sorprende si se tiene en cuenta que hace dos años ese mercado representaba un volumen de US$ 4.5 billones.
Según AON, este año, el teletrabajo se ha impuesto como la solución más práctica para continuar la vida laboral respetando las medidas de confinamiento, con una consecuente sobrecarga de trabajo a los equipos de IT, lo que deriva en una reducción de la capacidad de monitoreo de riesgos. A esto se suma el hecho de que las personas esperan recibir correos sobre el COVID-19, muchos de los cuales terminan siendo estrategias de ciberataques implementadas por el cibercrimen organizado.
Por otro lado, surgen los riesgos de la cadena de suministro, generados por terceros que proveen a las organizaciones, en su mayoría PyMEs con menores recursos. Los ciberatacantes van evolucionando en la sofisticación de sus ataques, proliferan los malwares y es así como muchas empresas padecen los costos reputacionales, de respuesta y continuidad, y deben hacer frente a inesperados gastos de restauración y defensa.
Esto incrementa la preocupación y conciencia entre los directivos de las organizaciones, que buscan proteger sus activos y riesgo reputacional. A su vez, se implementan ambientes regulatorios más estrictos y todo esto redunda en un aumento de demanda, liderado por una mayor tracción de los sectores de medianas y pequeñas empresas, aquejadas por la exposición y limitaciones de recursos.
AON advierte que cualquier evento cibernético puede resultar en pérdida de ingresos, gastos para recomponer las pérdidas sufridas, eventuales demandas de terceros y multas. Asimismo, lejos de lo que muchos pueden suponer, afirman que el daño físico es posible a través de los ciberdelitos, que pueden deteriorar material propio y de otros.
En este sentido, señalan que la interrupción de las actividades operativas, las pérdidas financieras y de reputación son cada vez más frecuentes y pueden ser de mayor preocupación para las empresas en América Latina.
“En un momento en que las empresas enfrentan nuevos desafíos provocados por la transición de su fuerza laboral a trabajar desde ubicaciones remotas, los hackers están reconfigurando sus herramientas para aprovechar la actual crisis de salud global en su beneficio”, advierte AON.
Un ejemplo de riesgo que ha crecido es el que señala la Organización Mundial de la Salud (OMS), que ha declarado que los intentos de comprometer sus sistemas y correos electrónicos de phishing se han «más que duplicado» desde el comienzo del brote de coronavirus COVID-19. Otras fuentes también señalan un aumento en el comportamiento de los ciber-delicuentes, citando un aumento en los ataques de hasta un 800%.
La actividad delictiva cibernética que está aumentando en relación con la pandemia se puede agrupar en tres categorías:
- Campañas de phishing e ingeniería social;
- Ataques a sistemas (ransomware, DDoS, etc.) críticos en la lucha contra el virus;
- Desinformación.
“Comprender esto y tener un plan sólido alineado con las capacidades organizacionales es vital. La respuesta sistémica ahora forma una parte central de nuestro modelo y actividad operativa que se alimenta de protocolos establecidos adaptados para satisfacer las necesidades únicas del evento cibernético”, subraya el trabajo.
El rol del mercado asegurador
De este modo, plantean el desafío para la industria del seguro de ser parte de la solución, con productos que cubran:
- Riesgos operacionales: Interrupción de la red, fallas del sistema, lucro contingente, costos de ciberextorsión y el restablecimiento de activos digitales.
- Fraude cibernético: Con herramientas de ingeniería social que permitan reparar el fraude en transferencia de fondos y computacional.
- Daños a terceros por fallas de seguridad en la red: Responsabilidad por privacidad y seguridad, penalidades y multas, y gastos de notificación.
- Misceláneas: Pérdida reputacional, cobertura de “Bricking” (es una paralización completa de los dispositivos afectados como consecuencia de alguna interrupción voluntaria o no de las actualizaciones que se descargan o de alguna aplicación extremadamente pesada que puede resultar en una infección con un virus que reescribe toda la información sobre el sistema operativo del dispositivo), gastos de emergencia y cobertura mejoramiento.
Para dar una atención exitosa a este tipo de riesgos, resaltan la importancia de contar con personal especializado que brinde asistencia de emergencia y resaltan que es esencial dar una respuesta inmediata al siniestro. Para ello es clave facilitar el acceso remoto donde sea posible para comenzar la investigación inmediatamente hasta que se pueda realizar la duplicación en el sitio, servir de enlace con los especialistas de TI o el proveedor subcontratado del asegurado, trabajando en equipo para respaldar la contención, el restablecimiento y la mitigación, al tiempo que se conservan las pruebas forenses para su investigación y la identificación de la causa raíz, es decir, de las vulnerabilidades existentes para subsanarlas y prevenir nuevos ataques.
En este sentido, se observa que la legislación de la privacidad de datos más sólida a nivel mundial ha sido un catalizador para el crecimiento del producto, pero no ha dado lugar a un incremento inmediato de las reclamaciones.
Así, AON resalta la importancia de desarrollar este producto en la región e insta a las empresas a realizar evaluaciones de sus vulnerabilidades relacionadas a la seguridad de datos, control de accesos, sistemas, seguridad (de red, física y de aplicaciones), proveedores y terceros, resiliencia de negocio y teletrabajo.