Los riesgos cibernéticos figuran ya en lo más alto de los riesgos empresariales para las empresas, tanto a nivel mundial como en España. La tendencia creciente que está teniendo esta preocupación en las organización da una clara imagen “de lo rápido que ha crecido la concienciación e identificación de este tipo de amenazas”, afirma Juan Manuel Negro, CEO de AGCS en España. “La decisión de compra de un seguro cibernético debe ser un paso más en los planes de una empresa para mejorar su protección frente a ciberriesgos. No obstante, no debe ser un sustituto de una gestión activa de prevención del riesgo”, indica el directivo. En esta entrevista en exclusiva para el BDS, con motivo de los resultados de la nueva edición del Barómetro de Riesgos, Negro nos habla también de otras incertidumbres que preocupan a las empresas, como las relacionadas con temas medioambientales, del nivel de concienciación (y aseguramiento) de las organizaciones españoles y de las líneas de negocio más van a desarrollarse en los próximos años en este ámbito.
¿Cuáles son las razones por las que las que los incidentes cibernéticos se sitúan en lo más alto del ranking de riesgos para las empresas?
En 2020, los riesgos cibernéticos (39% de las respuestas) se clasifican como el riesgo empresarial más importante en nuestro Barómetro de Riesgos. Si lo comparamos con el año 2013, cuando terminó en el puesto 15 (con solo el 6% de las respuestas), da una clara imagen de lo rápido que ha crecido la concienciación e identificación de este tipo de amenazas, algo que además se ve impulsada por el aumento de la dependencia de las empresas en sus datos y sistemas de información.
Los riesgos cibernéticos siguen evolucionando. Se está produciendo un aumento significativo en el número de ataques ransomware, lo que está teniendo como consecuencia un incremento de la frecuencia de las pérdidas que sufren las empresas. En términos generales, los ciberataques se están volviendo más sofisticados y dirigidos de forma específica, ya que los ciber criminales persiguen mayores recompensas a través de extorsiones multimillonarias.
Los costes de un ciberataque están aumentando de forma generalizada, los productos crecen en complejidad, y las legislaciones son cada vez más estrictas respecto a las consecuencias por una pérdida de datos o de sistemas. En concreto, los costes de las infracciones por pérdidas de datos siguen aumentando a medida que se amplía en alcance geográfico de las distintas legislaciones aplicables a la protección de datos y la privacidad, donde las class actions comienzan a afectar a este tipo de riesgos también. Hay que tener cuenta igualmente las pérdidas que se producen por la interrupción de las operaciones que acontece tras un ataque cibernético, y que son muy significativas en su importe.
Las tendencias que observamos en este tipo de riesgo son:
- los robos de datos son más grandes y más costosos
- el rescate trae consigo pérdidas cada vez mayores
- existen perspectivas de un aumento de la litigiosidad
- las fusiones y adquisiciones pueden traer problemas cibernéticos
- crecientes factores políticos en el ciberespacio
- necesidad de mitigación de riesgos
Esta preocupación por los ciberriesgos, ¿se traduce en una contratación real de coberturas específicas para dichos riesgos?
La decisión de compra de un seguro cibernético debe ser un paso más en los planes de una empresa para mejorar su protección frente a ciberriesgos. Las coberturas de seguro juegan un papel fundamental en la recuperación operativa de la empresa junto con resto de medidas adoptadas. No obstante, no debe ser un sustituto de una gestión activa de prevención del riesgo, al igual que ocurre en otras coberturas que podríamos denominar más tradicionales.
Invertir en la concienciación de los empleados, junto con la actualización y la supervisión continua de los sistemas, debería estar entre las prioridades de prevención de ciberriesgos de cualquier empresa.
Suficiente capacidad en el mercado para los incidentes cibernéticos
¿Existe oferta aseguradora (y capacidad) para cubrir esta demanda?
Nos encontramos ante un riesgo que puede generar siniestros de gran envergadura, sobre todo en relación con la pérdida de beneficios derivada de un incidente cibernético y con multas y sanciones derivadas de la nueva normativa europea, por lo que la tendencia es que las aseguradoras están limitando su exposición, reduciendo limites e incrementando franquicias.
Fuimos de las primeras aseguradoras en ofrecer capacidad para riesgos cibernéticos, no solo en España sino también a nivel mundial. Al tratarse de un riesgo complejo, la experiencia de la aseguradora en el análisis del riesgo y la tramitación de los siniestros es fundamental, y nuestra compañía es una de las que puede garantizar ambas cuestiones.
En la actualidad, existe capacidad en el mercado asegurador para cubrir los riesgos derivados de incidentes cibernéticos, ya que hay varias compañías que ya comercializan este tipo de riesgos. No obstante, es muy importante analizar en detalle con que aseguradora se contrata la cobertura.
La contratación se está incrementando sustancialmente y percibimos una mayor siniestralidad. En este sentido se empieza a contar con datos históricos que permiten el análisis de las carteras y su exposición al riesgo cibernético.
Menos del 10 % de las empresas suscriben pólizas de seguros contra riesgos cibernéticos hoy en día
¿Qué potencial tiene todavía el mercado de ciberseguros?
Actualmente, el mercado de seguros cibernéticos está valorado en alrededor de 2.000 millones de dólares en primas a nivel mundial, en los que las empresas estadounidenses representan aproximadamente el 90%. Se considera que menos del 10 % de las empresas suscriben pólizas de seguros contra riesgos cibernéticos hoy en día. Sin embargo, se espera que el mercado de seguros cibernéticos registre un crecimiento interanual de dos dígitos y alcance los 20.000 millones de dólares en los próximos diez años.
El crecimiento en Estados Unidos ya está en marcha, impulsado por la normativa de protección de datos. En el ámbito de la Unión Europea, los recientes cambios legislativos y los crecientes niveles de responsabilidad llevarán a acelerar el crecimiento, al igual que lo hará el creciente número de pequeñas y medianas empresas en busca de cobertura.
Los sectores con un gran volumen de información personal, como pueden ser el sanitario, la venta al por menor, hotelero o aquellos que dependen de procesos tecnológicos digitalizados como manufacturación o telecomunicaciones, son actualmente los más inclinados a adquirir coberturas de riesgos cibernéticos. No obstante, está creciendo el interés en instituciones financieras, así como en sectores de energía, suministros y transportes, debido a los crecientes riesgos producidos por la interconectividad y el manejo de datos personales.
“La concienciación en las empresas sobre los riesgos emergentes debería ser mayor”
En general, ¿están las empresas españolas suficientemente aseguradas para afrontar sus riesgos?
En mi opinión, y en términos generales, creo que existe una concienciación mayor respecto a la contratación de coberturas de seguro respecto a la de hace una década. La última crisis económica tuvo un efecto negativo en los presupuestos que se dedicaban a la contratación de coberturas de seguro, algo que aún sigue ocurriendo en la actualidad. Obviamente, esto repercute en las decisiones que se toman a la hora de invertir en los distintos programas de seguros que se contratan, y, por tanto, afecta la incertidumbre a la que se enfrentan los gerentes de riesgos. Esto no quiere decir que no exista concienciación respecto a los riesgos a los que se enfrentan, pero sí que altera la posible contratación de ciertas coberturas que, en caso de contar con más presupuesto, se plantearían contratar. Lo anterior también afecta a que pudiera existir casos en los que quizá un riesgo no está suficientemente cubierto y por tanto expuesto a ser asumido por el asegurado.
¿El nivel de concienciación y cobertura será da por igual en todos los sectores y empresas según tamaño? ¿En cuales hay más infraseguro?
Existe un mayor nivel de concienciación en la contratación de coberturas de seguros en términos generales. Esa concienciación es más perceptible en riesgos tradicionales, mientras que riesgos emergentes el nivel de concienciación, a pesar de haber crecido recientemente, debería ser mayor. No obstante, esto último, y a medida que pase el tiempo, será algo que llegue a estar en un mayor grado de concienciación.
No me gusta emplear el término infraseguro. Las distintas organizaciones realizan el análisis de los riesgos a los que se enfrentan sus operaciones y en función de esos análisis contratan sus coberturas de seguros que estiman como óptimas, tanto en límites como en coberturas.
¿Cuáles son, desde vuestro punto de vista, las líneas de negocio que más van a desarrollarse en los próximos años en el ámbito de las empresas?
Sin duda alguna, la exposición a riesgos cibernéticos implicará una mayor contratación de este tipo de coberturas. También afectará el grado de complejidad que adquieren las operaciones de las empresas, cada vez más digitalizadas y con gran inversión en nuevas tecnologías, lo que les hace estar más expuestas a este tipo de riesgos. De hecho, este tipo de exposiciones ocupan el primer lugar en nuestro Barómetro de Riesgos.
Estamos observando como la concienciación medioambiental es cada mayor y está en la agenda de todo tipo de instituciones, tanto en el ámbito público como el privado. Esta tendencia es imparable y creciente, lo que creo que aumentará la contratación de coberturas enfocadas a cubrir la responsabilidad medioambiental. También creo que las legislaciones respecto a este tipo de cuestiones serán más severas y estrictas, lo que también afectará a este tipo de coberturas y las necesidades de las organizaciones en contratarlas.
Otra área que creo que experimentará una “segunda” evolución serán las coberturas relacionadas con la responsabilidad de consejeros y directivos. La gestión que realizan los consejeros y directivos está cada vez más expuesta a escrutinio desde distintos focos que no se restringe a los accionistas únicamente. Igualmente, la legislación aplicable a este tipo de responsabilidades está siendo más estricta y abierta a poder reclamar la reparación de posibles daños causados.
La protección de la reputación y buen nombre de las empresas es otro riesgo que creemos tendrá una evolución y desarrollo mayor en el futuro. No en vano, en el Barómetro de Riesgos no deja de escalar posiciones como riesgo identificado y en 2020 figura ya en el séptimo lugar. En AGCS tenemos un producto que ofrece protección para este tipo de riesgos y vemos un interés creciente en su posible contratación. En un mundo tan globalizado y digitalizado como el que vivimos hoy en día, la reputación de una organización está expuesta a un gran número de riesgos que pueden afectar gravemente a la imagen de una compañía. En unas pocas horas, un incidente por pequeño que sea puede propagarse exponencialmente por medios que no están bajo el control de las organizaciones, llegando a todo tipo de personas e instituciones y que puede afectar gravemente a la imagen de una empresa.
Todo lo anterior, no dejará atrás el desarrollo de productos tradicionales como los de daños e incendios, construcción y responsabilidad civil, que, a pesar de ser productos maduros, seguirán teniendo un desarrollo. Y concretamente riesgos de naturaleza, algo que creo que no está siendo valorado en su importancia. En España estamos acostumbrado que son riesgos en su mayor parte consorciables, no obstante, las empresas españolas han tenido una expansión internacional muy alta en las últimas dos décadas. Esa expansión les ha llevado a territorios expuestos a riesgos de naturaleza, y nos encontramos casos en los que esas exposiciones no están valoradas debidamente.
“El activismo relacionado con el clima contra las empresas va en aumento”
El ranking muestra también la entrada de dos nuevos riesgos relacionados con el clima y las cuestiones ambientales, ¿a qué se debe esta mayor preocupación por estos temas?
El cambio climático (7º lugar con 17% de respuestas) sube a su posición más alta en el Barómetro de Riesgos. El calentamiento global está aumentando el número de desastres naturales en todo el mundo y amenaza a las personas y a las organizaciones empresariales. El aumento del nivel del mar, las sequías más severas y frecuentes, las tormentas cada vez más violentas y las inundaciones masivas suponen amenazas para las operaciones de las empresas ya que ponen en peligro sus plantas productivas y otros activos, así como el transporte y el suministro de energía. El aumento de las pérdidas es el riesgo que más temen los gestores de las empresas, según los encuestados, así como el incremento de los costes, algo que ya es notable. El número de pérdidas relacionadas con el clima o las inundaciones se ha multiplicado por tres o cuatro veces desde 1980. Sólo en las economías del G20 se producen 16.000 muertes al año como consecuencia de fenómenos meteorológicos extremos, con un impacto económico estimado en 142.000 millones de dólares, según Climate Transparency.
Las empresas se están dando cuenta de que pueden enfrentarse a críticas, daños a su reputación, así como a un aumento de las acciones legales y reguladoras si no abordan adecuadamente el efecto del cambio climático en sus operaciones. Se estima que cada año se aprueban alrededor de 1.500 nuevas leyes en todo el mundo en respuesta al cambio climático, aunque no son sólo los gobiernos y los reguladores los que están ejerciendo presión. El activismo relacionado con el clima contra las empresas va en aumento – particularmente en Europa – y los consejos de administración se ven cada vez más desafiados por los inversores y otras partes interesadas.
El hecho de no revelar la exposición al riesgo del cambio climático provocará más litigios en el futuro. Hasta la fecha, se han presentado varios casos con alegaciones relacionadas con el cambio climático en más de 30 países de todo el mundo, y tres cuartas partes de esos casos se han presentado en Estados Unidos. Muchas demandas se dirigen a los «grandes productores de carbono», es decir, a los productores activos de combustibles fósiles. Es más que probable que este tipo de casos se expanda a otras industrias con alto contenido de carbono, como la agroindustria, la manufacturera y el transporte. La lucha contra el cambio climático requiere de medidas correctivas, así como inversiones.
Muchas industrias se enfrentan al riesgo de la transformación de sus modelos de negocio para asegurar que sean más respetuosos con el clima. En general, Allianz ha estimado que responder a los desafíos que plantea el cambio climático podría costar a las empresas de todo el mundo hasta 2,5 billones de dólares en los próximos 10 años, siendo el más elevado el coste de hacer que el sector energético sea más «verde». Las industrias del sector automovilístico, químico y agrícola son sólo algunos de los sectores que se verán particularmente afectados.
