Unos requisitos “claros, completos y comunes” sobre la gobernanza de la ciberseguridad. Esta es la receta para desarrollar una resilencia efectiva frente a los ciberataques.
EIOPA, el supervisor de seguros de la Unión Europea, ha publicado un informe sobre retos y oportunidades de los ciberriesgos en el que ofrece pautas para un “marco sólido” ante las nuevas amenazas cibernéticas. Sus ideas, bien pueden exportarse a otros mercados aseguradores de todo el mundo.

Esta resistencia operativa, indica el informe. contribuirían a garantizar la prestación segura de los servicios de las aseguradoras. Para ello, es necesario un conjunto “coherente” de definiciones y terminologías sobre que son los ciberriesgos, “para permitir un diálogo más estructurado y centrado entre la industria, los supervisores y los responsables políticos”.
Además, son “esenciales”, nuevas medidas para reforzar la resistencia del sector de los seguros frente a las vulnerabilidades cibernéticas, “en particular teniendo en cuenta el carácter dinámico de las amenazas cibernéticas”.

Y es que queda claro, según remarca, el estudio que la creciente frecuencia y sofisticación de los ciberataques, junto con la rápida transformación digital y el mayor uso de los grandes datos y el cloud computing, hacen que las organizaciones empresariales sean cada vez más susceptibles a las amenazas cibernéticas. También para las aseguradoras, teniendo en cuenta en particular la cantidad de información confidencial que poseen las compañías.

La solución propuesta por el supervisor es un “mercado de seguros cibernéticos bien desarrollado”. Sería “clave” para permitir la transformación hacia la economía digital. “Unas coberturas de seguro cibernético adecuadas pueden hacer una valiosa contribución a la gestión del riesgo cibernético al que se enfrentan las empresas y organizaciones. Un mercado de seguros cibernéticos bien desarrollado puede desempeñar un papel clave para permitir la transformación hacia la economía digital”, sostiene la autoridad.

Motivos de preocupación

Tomando como ejemplo la experiencia del mercado europeo de ciberriesgos (que EIOPA reconoce que sigue teniendo todavía un pequeño tamaño, pero con rápido crecimiento), la autoridad advierte de las exposiciones cibernéticas no afirmativas (en las que el riesgo cibernético no se incluye ni se excluye explícitamente en las pólizas). “Siguen siendo motivo de preocupación”, indica la autoridad.

El sector, explica en su informe, está realizando esfuerzos comunes para evaluar y abordar los riesgos cibernéticos no afirmativos. Algunas aseguradoras han adoptado un enfoque de ‘esperar y observar’ para abordar el riesgo cibernético no afirmativo, en el que la implementación de planes de acción para abordar la exposición no afirmativa depende de la materialización de eventos futuros.

Por lo tanto, concluye, “es necesario un mayor esfuerzo para abordar adecuadamente las exposiciones cibernéticas no afirmativas a fin de abordar el problema del riesgo potencial de acumulación y proporcionar claridad a los tomadores de seguros”.

Por último, EIOPA considera que una mejor recopilación de datos sobre incidentes y pérdidas cibernéticas debería permitir a las aseguradoras gestionar y valorar sus exposiciones afirmativas al riesgo cibernético de forma más eficaz. “Disponer de normas comunes y armonizadas tanto para la medición de los riesgos cibernéticos como para la notificación de incidentes cibernéticos podría facilitar en gran medida esta tarea. A tal fin, podría estudiarse la creación de una base de datos europea de notificación de ciberincidencias, basada en una taxonomía común”, concluye.

Link al informe