A pesar de las consecuencias que puede tener un siniestro cibernético para la viabilidad de muchas empresas, podría decirse que, en la actualidad, la penetración de este tipo de pólizas todavía es pequeña en España. Pero, ¿por qué no es mayor la penetración de estas soluciones aseguradoras? 

Baja penetración

Para Emilio Beneytez, director de formación interna, externa y calidad en Uniteco, “la baja penetración de pólizas de ciberseguros se debe en parte a la falta de conciencia sobre los riesgos cibernéticos y la percepción de que las medidas de seguridad informática son suficientes. Para mejorarla, es fundamental la educación y concienciación sobre la importancia de la ciberseguridad, así como la promoción de políticas y prácticas de gestión de riesgos cibernéticos sólidas en las empresas. Además, las aseguradoras pueden desarrollar pólizas más flexibles y personalizadas, adaptadas a las necesidades específicas de cada negocio”.

Laura Prats (Relyens): “Si no hay una conciencia real de este riesgo, de su impacto, es complicado que se genere una demanda de un ciberseguro”

Por su parte, Laura Prats, Cyber Risk manager de Relyens en España, considera que la baja penetración “se debe tanto a causas internas a las organizaciones como a causas externas a ellas. La ciberseguridad no ha sido un tema que se haya tratado en los consejos de administración o en los cuadros de dirección de las organizaciones de forma normalizada como otro tipo de riesgo. Era algo de lo que se ocupaba el departamento de tecnología. Por lo tanto, si no hay una conciencia real de este riesgo, de su impacto, es complicado que se genere una demanda de un ciberseguro y se aprecie el servicio real de estos productos”.

Y explica que “esta falta de apreciación de la dirección del riesgo ciber, está directamente relacionado con el nivel de madurez en la protección de las organizaciones. Para mejorar la ciberseguridad, son necesarios recursos tanto humanos como técnicos, y para eso hace falta presupuestos asignados desde la dirección. Por lo tanto, era necesario que la ciberseguridad se vea como un facilitador de los procesos, una actividad capaz de obtener la máxima eficiencia de los procesos de digitalización”.

Carlos Montesinos (CGPA): “En el caso de los corredores de seguros y las agencias vinculadas, la penetración es alta”

Por todo lo anterior, continúa Prats, “las aseguradoras han restringido y endurecido su oferta de seguros. En este contexto, las compañías que buscan seguros Ciber se encuentran con una oferta escasa y con condiciones restrictivas”. Y resalta que “esta situación va a mejorar sin ninguna duda. Las nuevas regulaciones como Cyber Resilience Act (CRA), NIS2 o el propio ENS en España, ponen el foco en los riesgos Ciber, la implicación de la dirección y la implementación de sistemas de control de riesgos ciber que tendrán como consecuencia una mayor concienciación de la dirección y una mejora de la madurez de las compañías. Esto hará que las compañías aseguradoras puedan hacer mejores propuestas ante un riesgo residual más controlado y con capacidad de adaptarse y defenderse ante unos ciberataques cada vez más profesionalizados. Relyens, por su parte, está trabajando dentro del sector sanitario para apoyar en esta concienciación y gestión de riesgos a través de sus servicios de acompañamiento y su oferta de seguros. En el sector sanitario en concreto, aunque se parte de una situación más complicada respecto a la ciberseguridad, se están desarrollando muchas iniciativas con soluciones de gobernanza y de control técnico de los riesgos, apoyadas muchas de ellas con fondos públicos. Creemos que entre todos podremos tener un sector sanitario ciberseguro que pueda atender a los ciudadanos con todas las garantías”.

Diego Montojo (Dual Ibérica): “Los mediadores deben trasladar al cliente la importancia del riesgo y la necesidad de contratar este seguro”

Según señala Carlos Montesinos, director general de CGPA Europe, “la conciencia de las organizaciones por las consecuencias que puede tener un ataque ciber se ha incrementado, también es cierto que existen diferencias notables según el sector de actividad y el tamaño de la empresa. En la actualidad poca gente pone en duda la existencia de ciber ataques, cuestión diferente es que consideren que ellos pueden ser las víctimas, la reducida la probabilidad de ser víctima del ciber ataque es el factor principal que lleva a no plantearse la contratación de una póliza que otorgue cobertura a este riesgo”. Por lo que “es importante informar, no solo de las consecuencias mediáticas que se derivan de un ataque sino de los desembolsos económicos que supone la gestión de un siniestro ciber, aún en el caso de recuperación de los datos, la simple vulnerabilidad y la violación de los datos puede conllevar sanciones importantes”.

“En nuestro caso -sigue Montesinos-, nos dirigimos a mediadores de seguros y podemos destacar que la penetración es desigual en función del tipo de mediador, en el caso de los corredores de seguros y las agencias vinculadas, bien como póliza independiente o como garantía adicional a otra póliza, el porcentaje de penetración es alto. En el caso de los agentes de seguros exclusivos, la penetración es baja, considero que influye la creencia que el dato lo tiene la entidad aseguradora y es esta quien debe asumir el riesgo, aunque se debería tomar conciencia de la existencia en los equipos locales de datos personales que son susceptibles de ser sustraídos en caso de un ciber ataque, recayendo la responsabilidad en el propio agente o sociedad de agencia”.

Jaime Romero (Markel): “La percepción de las ventajas de los seguros Ciber es todavía escasa en muchas pymes españolas”

Diego Montojo, suscriptor de Riesgos Cibernéticos de Dual Ibérica, apunta que la penetración de este tipo de pólizas “sigue siendo pequeña, pero está creciendo y continuará haciéndolo, especialmente en pequeñas y medianas empresas. En nuestra opinión se debe a una falta de madurez en el mercado. Los mediadores deben trasladar al cliente la importancia del riesgo y la necesidad de contratar este seguro. La creciente digitalización de las empresas ayuda a las empresas en su actividad, pero el riesgo también crece exponencialmente. Es importante que el mediador entienda el riesgo para que sepa trasladárselo al cliente y asesorarle de la mejor manera posible, idealmente antes de que suceda un incidente cibernético”.  

Jaime Romero, director Técnico de Markel España, indica que “la percepción de las ventajas de los seguros Ciber es todavía escasa en muchas pymes españolas, y ello puede estar dificultando el despegue de la contratación de este tipo de pólizas en el segmento pyme».

Juan Espejo, director Técnico No Auto y Vida de A.M.A., insiste en que “es necesario concienciar a las empresas sobre la necesidad de contratar estos seguros y adoptar otras medidas preventivas, ya que el incremento de ciberataques puede poner en riesgo la viabilidad de su actividad y su patrimonio. Es un mercado que tiene que crecer, y los últimos años han sido difíciles por la pandemia primero y la guerra de Ucrania y su impacto negativo en la economía, posteriormente». 

Juan Espejo (A.M.A.): “Es un mercado que tiene que crecer y los últimos años han sido difíciles por la pandemia y la guerra de Ucrania”

Francisco Antonio Alcaide, responsable de Beazley Digital España, opina que “la penetración si bien crece, sigue sin ser suficiente y lamentablemente este año hemos visto, según nuestros estudios, que empieza a caer el foco que los ejecutivos de empresas ponen en los ciber riesgos”. Y concluye que “según nuestro último informe Spotlight on: Cyber & Technology Risks 2023, donde vemos que la percepción de la amenaza del ciberriesgo entre los líderes empresariales mundiales alcanzó un máximo del 34% en 2021. Sin embargo, en los últimos dos años, esta percepción ha descendido al 27 %. El informe también predice que, en 2024, la percepción del riesgo cibernético se mantendrá en el 27%, mientras que la preparación de las empresas para hacer frente a este riesgo sigue disminuyendo”.

Y valora que “aunque la preocupación general por la ciberdelincuencia puede estar disminuyendo, las pequeñas y medianas empresas (pymes) son cada vez más conscientes de su vulnerabilidad ante los ciberriesgos”. 

Francisco Antonio Alcaide (Beazley): “Las pymes son cada vez más conscientes de su vulnerabilidad ante los ciberriesgos”

“Los datos de Beazley indican que las empresas con ingresos anuales entre 250.000 y un millón de euros se sienten menos preparadas para hacer frente a los riesgos cibernéticos en 2023 (76%) en comparación con el año anterior (70%). El informe destaca cómo los grupos de piratas informáticos se han especializado y diversificado, utilizando los sistemas de seguridad de las pymes como campo de entrenamiento para nuevos hackers”, añade.

Novedades en coberturas

En cuanto a la inclusión de nuevas coberturas en las pólizas Ciber, Carlos Montesinos (CGPA) señala que “no se han realizado cambios en la póliza en cuanto a las garantías, se han realizado modificaciones en el condicionado con la finalidad de aclarar algunos términos y conceptos en favor de la transferencia. Consideramos que disponemos de una póliza con un mix de coberturas bastante completo, tanto por los daños causados a terceros como los propios daños derivados del ataque”.

Y añade que “hemos centrado nuestros esfuerzos, pese al incremento de la siniestralidad, en mantener la tarifa sin incrementos, pese a las tensiones derivadas del entorno inflacionista, y mantener las franquicias en las garantías y seguir manteniendo los servicios de respuesta sin franquicia”.

Emilio Beneytez (Uniteco): “En respuesta a la evolución de las amenazas cibernéticas, las aseguradoras están introduciendo coberturas más amplias y específicas”

Francisco Antonio Alcaide (Beazley Digital España) explica que “el principal cambio introducido fue sido la modificación del condicionado para reflejar el nuevo entorno digital y las nuevas amenazas, simplificando y definiendo los términos para una mejor comprensión por parte de los asegurados. Así, hemos introducido tres nuevos endosos que abordan específicamente el alcance de la exposición en torno a daños catastróficos, manteniendo al mismo tiempo la cobertura para eventos sistémicos”.

Por su parte, Juan Espejo (A.M.A.) resalta que “nuestras pólizas de multirriesgos incluyen soluciones de protección y análisis de vulnerabilidades para los dispositivos electrónicos. Esto permite la monitorización de los equipos y el bloqueo de las amenazas, la realización de copias de seguridad en entornos seguros en la nube y la disponibilidad de equipos de soporte 24 horas para los asegurados”.

Jaime Romero (Markel España) aclara que “a día de hoy, únicamente ofrecemos cobertura para ciberriesgos en nuestros seguros de RC Profesional y de Fintech, pero tenemos previsto ampliar nuestra oferta de cobertura cyber de cara al próximo año”.

Laura Prats (Relyens) explica que “el sector sanitario tiene sus propias características respecto a la ciberseguridad. Son redes muy interconectadas por la propia necesidad del servicio y, por lo tanto, complicadas de gestionar. Además, respecto a los equipos conectados, encontramos casi cualquier tipo respecto a su funcionalidad: equipos Ti como servidores y equipos de usuario, equipos médicos de diagnóstico y tratamiento para los pacientes, equipos industriales de generación eléctrica, climatización, control de accesos… Además, por supuesto, los datos de los centros sanitarios son críticos, sujetos a regulación y deben estar permanentemente disponibles para prestar el servicio sanitario”.

“Respecto a las coberturas que ofrecemos, podemos clasificarlas en tres grupos: respuesta de emergencia, cobertura de daños y de responsabilidad civil. Estos servicios, aunque encajan con la estructura de la mayoría de los seguros ciber, sí contemplan la visión de la sanidad en su aplicación, tanto en la selección de proveedores como en los procesos implementados”, añade.

Para la respuesta a emergencia, indica Prats, “proporcionamos a nuestros clientes un equipo técnico de respuesta a incidentes 24×7 experto en el área sanitaria. De esta forma, no solo se dan recomendaciones y apoyo técnico general, sino que el conocimiento de los procesos sanitarios permite priorizar y mantener servicios críticos si es imprescindible. También se proporciona apoyo para las respuestas legales que daba dar el centro sanitario, por ejemplo, por la regulación de datos personales y soporte para una comunicación correcta con los medios y gestión de la crisis reputacional. Las coberturas de daños son más tradicionales de los seguros ciber, cubriendo los gastos de recuperación del incidente, incluyendo en su caso la pérdida de beneficios. Por último, los asegurados cuentan con soporte legal para dar respuesta a posibles reclamaciones de responsabilidad civil por los daños que el ciberincidente cause a terceros”.

Emilio Beneytez (Uniteco) explica que “en respuesta a la evolución de las amenazas cibernéticas, las aseguradoras están introduciendo coberturas más amplias y específicas en sus pólizas de ciberriesgos. Estas pueden incluir cobertura para la interrupción del negocio debido a un ataque cibernético, costos de restauración de datos, notificación de violación de datos y responsabilidad cibernética. Además, algunas pólizas están incorporando coberturas para riesgos emergentes como ataques de ransomware y extorsión cibernética”.

Por último, Diego Montojo (Dual Ibérica) destaca que “lo que ofrecemos en Dual son soluciones eficaces. Ya se ha llegado a una homogenización en las coberturas que ofrece el mercado y para nosotros lo importante es que la manera en la que éstas se implementan sea efectiva. Para ello contamos con proveedores capacidad con un rating excepcional, un servicio de primera respuesta experto y con eficacia probada, y trabajamos con nuestros mediadores para que entiendan nuestro producto y sepan trasladarlo al cliente. La siniestralidad de los últimos años ha hecho que las coberturas estén muy limitadas. Nosotros ofrecemos un condicionado sencillo, sin limitar las coberturas más importantes, e intentamos facilitar la entrada al seguro a los clientes, asesorándoles sobre cómo pueden mejorar su higiene cibernética. A menudo ofrecemos cotizaciones poniendo como subjetividad que el asegurado implemente algunas medidas de seguridad en un periodo de tiempo definido”.