Ciber seguros. El reto de transferir la inevitabilidad de la falla en un mundo digital y globalizado.

Introducción

Al insertarse las organizaciones cada vez más en el contexto internacional y apalancar sus operaciones con tecnologías de información, su visibilidad se hace cada vez más evidente, aumentando su exposición a las tendencias y amenazas de alcance global. Como quiera que la información se configura como uno de los activos más valiosos de una realidad interconectada y dinámica, se hace necesario comprender las exigencias y responsabilidades que las empresas adquieren cuando adelantan sus operaciones en este escenario, donde no solamente esté en juego su modelo de generación de valor, sino su reputación y sus relaciones con sus grupos de interés.

En esta realidad, las organizaciones como parte de su debida diligencia adelantan su ejercicio de gestión de riesgos, el cual asumen con la seriedad requerida, toda vez que el mismo establece el marco general de las actividades y decisiones que éstas deben tomar para avanzar en medio de las inestabilidades propias de su sector de negocio y las turbulentas aguas de las implicaciones internacionales, que claramente afectan las perspectivas y proyecciones de las junta directivas.

Conforme se avanza en este nuevo milenio, se reciben cada vez más informes y noticias sobre las brechas de seguridad de la información y acciones no autorizadas sobre las infraestructuras de tecnología de información de las corporaciones, advirtiendo una tendencia que confirma el mayor interés de personas o grupos emergentes para llamar la atención sobre aspectos particulares de la realidad de un país o una región. Para ello, utilizan métodos poco convencionales que tensionan y doblegan las instalaciones tecnológicas de las empresas, dejando al descubierto la necesidad de una mayor atención en el aseguramiento y control de sus operaciones.

En este entendido, se hace visible las acciones y estrategias de las empresas para hacer más resistente sus actividades digitalizadas, a las acciones de terceros no autorizados que buscan, no solamente generar incertidumbre, miedo y dudas a los ejecutivos de los negocios, sino tratar de tener control de información clave, que bien puede ser usada para fines comerciales, extorsivos, de inteligencia o acciones militares. Así las cosas, las corporaciones del siglo XXI se convierten en blancos estratégicos de intereses nacionales y regionales, con lo cual se inaugura una nueva etapa de la gestión de riesgos estratégicos de las compañías, en donde la composición de una vista global, digital y política delinea la realidad de los denominados ciber riesgos.

Esta denominación “ciber” implica comprender que las organizaciones no sólo representan los intereses de la empresa en una comunidad de negocios, sino que están incorporadas en la dinámica de la globalización, con lo cual no solo manifiestan intereses de negocio, sino posiciones de país que influyen y definen parte del escenario geopolítico de las naciones. Adicionalmente adquieren una fluidez de movimiento gracias a la alta interconectividad y uso intensivo de tecnologías de información y comunicaciones que permiten transacciones y relaciones basadas en una economía digital, que atiende comunidades emergentes en cualquier parte del globo.

Por tanto, en este documento se adelantará una revisión del concepto de ciber seguro como una forma de transferir esta denominación “ciber” del riesgo, para lo cual se estudiará el concepto base de los seguros, las condiciones de su operación, concentrándose en coberturas, exclusiones y primas, para luego advertir las posibles nuevas responsabilidades de las empresas derivadas de su accionar en contextos internacionales. Así mismo, presentar los ciber seguros como una opción de cobertura frente a situaciones inadvertidas resultado del actuar de las empresas en un entorno altamente interconectado, global, digitalizado y politizado, que no está diseñado para indemnizar su negligencia en el cumplimiento del deber de protección de la información y de sus infraestructuras tecnológicas.

Conceptos básicos de la teoría de seguros

Los seguros se comportan de manera general como estrategias de indemnización frente a situaciones concretas que afectan intereses de terceros. En este sentido, se establece un contrato, o acuerdo de voluntades entre las partes: asegurador y asegurado, donde se revisan aspectos como el riesgo asegurable, el interés asegurable, la obligación condicional del asegurador y la prima, para fundar el marco de acción y aseguramiento requerido, basado en el principio de buena fe que prima en esta relación.

De acuerdo con Ordóñez (2002, p.10) el riesgo asegurable es “un evento fortuito, el evento que por súbito e imprevisto no tiene, ni en su génesis ni en su desarrollo, relación alguna con el acto humano consciente, sea voluntaria o no su consecuencia”. Como se puede observar, lo que se asegura es una condición de excepción, que no obedece a acciones deliberadas por parte de individuos y que busca proteger al tomador frente a las consecuencias que se derivan de dichos eventos.

Es importante anotar, que existen riesgos no asegurables, asociados con el dolo (es un hecho voluntario, conducta intencionalmente dañosa), hechos ciertos (hechos que con certeza van a ocurrir), imposibles (hechos que con certeza de ninguna forma van a ocurrir), pasados (que ocurrieron y estaba fuera del alcance establecido inicialmente), de disposición única del tomador y de sanciones penales policivas de carácter económico, los cuales no producen efecto alguno sobre las coberturas o pagos que se realicen, como quiera que se advierte la inexistencia del amparo al no configurarse un elemento esencial del contrato.

El interés asegurable, lo entenderemos desde los seguros de daños, como una relación de carácter económico que vincula a su titular con un objeto. Si bien, el interés asegurable es el objeto del contrato de seguros, podemos advertir, como anota Ordoñez (2002, p.32 y 33,) que “sobre un mismo objeto pueden converger varios intereses asegurables, en cabeza de la misma persona o en cabeza de personas diferentes, (…) con la salvedad que la indemnización, en caso de producirse el hecho que la origina, no podrá exceder el valor total de la cosa en el momento del siniestro”.

La obligación condicional del asegurador, se hace realidad cuando el siniestro se hace efectivo, es decir cuando la condición requerida se cumple, momento en el cual el beneficiario puede proceder a ejercer su derecho de que el asegurador pague lo contratado. La condicionalidad establece dos elementos claves: exigibilidad y mora. La exigibilidad nos dice cuando la obligación deja de estar pendiente (instante en que ocurre el siniestro) y de ello depende los términos de prescripción de las indemnizaciones pactadas. Así mismo la mora, que supone la preexistencia de un reclamo formal, con cumplimiento de las cargas probatorias básicas, la existencia del siniestro y su cuantía, nos indica que si al mes del reclamo no se ha dado respuesta por parte del asegurador, este entra en mora con sus efectos, los intereses o la indemnización de perjuicios. (Ordoñez, 2002, p.48-51)

Finalmente la prima, como elemento esencial del contrato de seguros, es el elemento oneroso que correlaciona el traslado del riesgo al asegurador. Es técnicamente el resultado de una tarifa, expresada en términos porcentuales, sobre el valor asegurado. La prima involucra cuatro factores fundamentales: a) el costo efectivo del traslado del riesgo (prima de riesgo – análisis estadístico de la probabilidad de su realización), b) el costo de administración (incluye el costo de reaseguro), c) el costo de intermediación (pago de comisión a intermediarios) y d) la utilidad esperada. (Ordoñez, 2002, p.42)

Con estos elementos fundamentales de los seguros, se tiene la base para revisar las nuevas condiciones de responsabilidad de las empresas en un entorno con información instantánea, en ambientes móviles, articulado en modelos de servicios soportados por terceros y sus infraestructuras y con uso intensivo de información y datos para desarrollar nuevos productos y servicios de alcance local y global.

Responsabilidades emergentes de las empresas en el siglo XXI

Al competir las empresas en escenarios altamente digitalizados y con mayor intervención de terceros en sus operaciones, la información clave de la empresa depende de su adecuado tratamiento por parte de los diferentes actores que tienen acceso a ella. Esto supone una serie de prácticas de seguridad y control que deben ser validadas y aseguradas por cada una de las partes en la aplicación del ciclo de vida de la información.

Si lo anterior es correcto, el riesgo de pérdida y/o fuga de información se convierte en una ruta crítica de las organizaciones, habida cuenta que la materialización de este riesgo la expone a una posible pérdida de reputación, de clientes, de ventaja competitiva y de mercados, así como a multas y acciones de reparación y sanciones regulatorias, que implican costos e indemnizaciones que, sin una adecuada preparación y prevención, pueden comprometer la viabilidad de la empresa en el mediano y largo plazo. (Ernst & Young, 2011)

La información al convertirse en el nuevo recurso natural del siglo XXI y estar inmersa en un mundo en permanente movimiento, generalmente compartida entre diferentes actores, comporta una serie de riesgos que deben ser identificados y tratados, para efectos de motivar acciones preventivas, que anticipen los posibles impactos negativos de su inadecuado tratamiento. Esto implica mostrar una debida diligencia y asegurar un estándar mínimo que considere prácticas que revelen el deber de cuidado de las personas, la previsibilidad ante situaciones adversas en el tratamiento de la información, un estándar de debido cuidado en seguridad de la información y un conjunto de precauciones razonables que manifiesten una actitud proactiva frente a daños que pudiesen presentarse. (Triump, 2012)

Las causas de las brechas de seguridad de la información pueden ser múltiples e inesperadas, sin embargo detallamos a continuación algunas de las más comunes que se identifican en la operación normal de las empresas: (Adaptado de: Ernst & Young, 2011, p.6)

 

• Pérdida o robo de computadores portátiles o equipos móviles.
• Transferencia no autorizada de datos a dispositivos USB.
• Inapropiada categorización o clasificación de información sensible.
• Robo de datos por empleados o terceras partes.
• Impresión y copiado de datos sensibles por empleados.
• Insuficiente respuesta a intrusiones o brechas de seguridad.
• Transmisión no intencional de datos sensibles.
• Uso de contraseñas débiles y/o conocidas.
• Conversaciones en espacios públicos relativas a datos sensibles.
• Monitoreo no autorizado de comunicaciones.

En razón con lo anterior, se advierte una nueva serie de responsabilidades empresariales respecto del tratamiento de la información asociada con procesos e interacciones informáticas que se adelantan a través de servicios informáticos (bien operados por la empresa o con terceros) para movilizar el modelo de generación de valor de la empresa. Esto supone comprender que en la carrera de la eficiencia del manejo de costos operacionales de las empresas, la tecnología de información y comunicaciones jugará un papel fundamental, como quiera que al aumentar su nivel de automatización se harán más ágil y eficientes, sin perjuicio que esta dependencia abrirá el espacio para vulnerabilidades y fallas de seguridad y control antes no identificadas.

En el ejercicio de gestión de riesgos, existen diferentes aproximaciones para su tratamiento: aceptar, mitigar y transferir. Sobre este particular las organizaciones adelantan las actividades pertinentes sobre la tecnología de información y comunicaciones pues entienden la susceptibilidad de esta temática respecto de la protección de sus intereses en un contexto interconectado. En consecuencia, definen planes de tratamiento que incluyen aspectos humanos, de procedimiento y tecnológicos que procuran cerrar las posibles brechas identificadas y disminuir el nivel de exposición analizado.

No obstante lo anterior, los incidentes de seguridad de la información se van a materializar con impactos, algunos identificados y otros emergentes, que pueden escapar a los análisis de riesgos realizados y cuyas consecuencias alcanzan implicaciones onerosas e indemnizatorias que comprometan las mejores previsiones de la compañías en sus estrategias de mitigación o transferencia de dichos riesgos. Por tanto, la vida digital de las empresas actuales, inmersas en la geopolítica de un mundo global, exige revisar las propuestas de transferencia de riesgos para construir una vista más ajustada a esta realidad y superar las condiciones tradicionales de los seguros en esta área asociados con: errores u omisiones en la provisión de servicios tecnológicos, violación de derechos de propiedad intelectual, pérdidas por robo a través de sistemas electrónicos transaccionales, crimen por computador, entre otras. (García, 2009)

Entendiendo los ciber seguros

A la fecha las pólizas de seguros, definidas como documento contentivo del contrato de seguro, de fines exclusivamente probatorios (Ramírez, s.f), tienen múltiples clasificaciones y denominaciones para efectos de establecer concretamente su alcance y limitaciones. Particularmente para el caso de los ciber seguros, hablaremos de pólizas por identificación de riesgos, los cuales están catalogados como “todo riesgo” y de “riesgo nombrado”. Mientras las primeras están dirigidas a cubrir el interés asegurable de cualquier riesgo, excepto los excluidos contractualmente o los que legalmente son asegurables mediante convención expresa (acordados con el asegurador); las segundas están dirigidas a cubrir el interés asegurable del riesgo definido. (Ramírez, s.f)

Este esquema tradicional, anota Ordoñez (2001, p.90 y 91), se enfrenta desde el punto de vista del asegurado, a las dificultades tradicionales de comprensión de la identificación contractual del riesgo asociada con una definición básica del mismo y en una o varias cláusulas de exclusiones, definidas como circunstancias dentro de las cuales el riesgo, tal como está definido, así ocurra, no está cubierto por opción del asegurador. En este contexto, el ciber seguro, se enfrenta a una encrucijada entre el asegurador, las coberturas propuestas y exclusiones definidas, frente a las necesidades, exigencias y requerimientos del asegurado, como quiera que la complejidad propia del ciber riesgo, implica una comprensión de variables humanas, de procedimiento, tecnológicas y legales cuya interacción ofrece un panorama de consecuencias que depende de cada caso en particular.

No obstante lo anterior, la cobertura del ciber seguro contiene aspectos semejantes a las pólizas todo riesgo como son: (Drouin, 2004)

 

• Responsabilidad general de crimen a través de internet.
• Propiedad (No se reconoce los datos como propiedad)
• Errores y omisiones.
• Responsabilidad profesional.
• Responsabilidad de directores y funcionarios.
• Responsabilidad de prácticas de empleo (Acciones de los empleados)
• Interrupción del negocio.
• Extorsión y secuestro.
• Responsabilidad de grupos de personal (empleados clave)
• Cobertura de vida de personas clave.
• Cobertura de responsabilidad de medios.
• Responsabilidad de fidelidad  o crimen.
• Cobertura de seguridad en redes.
• Propiedad intelectual.
• Cobertura de patente.
• Cobertura de violencia laboral.

Particularmente, siguiendo el análisis realizado por García (2009, p.70) las coberturas establecidas por los principales corredores de ciber seguros están asociadas con propiedad y robo, así como con responsabilidad. Una vista resumida se detalla a continuación.

Tabla 1. Coberturas que ofrecen los corredores de ciber seguros más grandes (Tomado de: García, 2009, p.70)

	Coberturas
Propiedad y robo	Destrucción de información o software
	Recuperación de virus u otros códigos maliciosos
	Interrupción de negocios
	Negación del servicio
	Robo de información
	Extorsión cibernética
	Pérdidas debidas a actos terroristas
Responsabilidad	Seguridad en redes
	Daño a medios electrónicos de contenido
	Brecha privada de confidencialidad

Estudios recientes de los ciber seguros reflejan una evolución sustancial de las coberturas analizadas, la cual manifiesta una mayor comprensión de la complejidad que exhibe los riesgos “ciber”. En particular el estudio adelantado por la firma Guy Carpenter (2014) entiende que los ciber ataques se advierten como uno de los más serios retos económicos y de seguridad nacional que enfrentan los gobiernos y organizaciones a nivel global. En este entendido, detalla una serie de riesgos asociados con esta condición dentro de los cuales están:

• Responsabilidad legal
• Brechas de seguridad informática
• Brechas de privacidad
• Ciber robos
• Ciber espionaje
• Ciber extorsión
• Ciber terrorismo
• Pérdida de utilidades
• Recuperación de costos
• Daño reputacional
• Continuidad de negocio/interrupciones de la cadena de suministro
• Ciber amenazas a la infraestructura crítica de la nación.

Basado en lo anterior, el estudio en mención dimensiona algunas coberturas particulares que incluyen aspectos como: 

• Privacidad de datos
• Brechas en regulaciones, multas y sanciones
• Interrupción de redes del negocio
• Daño de datos y ciber extorsión
• Gestión de crisis y respuesta a robo de identidad (incluye costos de investigaciones forenses)

De otra parte, investigaciones especializadas en estos temas indican que el mercado asegurador presenta una asimetría de información entre el asegurado y el asegurador, concentrándose particularmente en las potenciales pérdidas primarias (pérdida directa de información o datos y suspensión de las operaciones) y poco en las secundarias (pérdidas indirectas, disminución de la reputación, del buen nombre, de la confianza del consumidor, de la fortaleza estratégica y pérdida de clientes). En este sentido, cuando se presentan los siniestros, los procesos de reclamación serán estimados por las valoraciones económicas representadas en las condiciones propias de la operación de la empresa (pérdidas primarias), dejando a valoraciones subjetivas basadas en experiencias y comparaciones con procesos equivalentes, las pérdidas secundarias, creando un desbalance de protección que algunas veces favorece al asegurador y otras al asegurado. (Ordoñez, 2004; Bandyopadhyay,  Mookerjee y Rao, 2009)  

En razón con lo anterior, podríamos concluir que los ciber seguros surgen como la evolución natural del entorno informático donde se desempeñan las empresas, inmerso en un escenario global, digital y politizado, donde las coberturas dispuestas inicialmente y previamente acordadas, deben incluso amparar gastos adicionales para evitar la extensión y propagación de un siniestro, así como soportar el pago para la reparación, reposición o reconstrucción de los bienes afectados por la materialización del ciber riesgo.

Sin perjuicio de lo anterior, la negociación implícita a este tipo de pólizas está asociada con las exclusiones. Las exclusiones son las circunstancias o hechos que se exceptúan de la cobertura asegurada, y que se encuentran taxativamente enunciados en la póliza del seguro. Dichas excepciones generalmente están asociadas con los riesgos no asegurables previamente presentados, incluyendo obsolescencia del bien asegurado, negligencia inexcusable por falta o ejecución defectuosa de los mantenimientos necesarios para la adecuada operación del interés asegurado, daños sufridos durante la realización de obras de reparación o remodelación o reconstrucción total del bien asegurado, daños propios y los causados a terceros a consecuencia de una actividad comercial, industrial o profesional distinta a la declarada en la póliza, entre otros. (Generali Seguros, s.f)

Como podemos observar las exclusiones responden a la exigencia de la gestión y aseguramiento de interés asegurado, que en el caso del ciber riesgo, implica una vista sistémica de dicho riesgo en el contexto de la organización. Esto es, comprender las relaciones de la organización desde su posición de negocio, sus relaciones con las comunidades y grupos de interés, así como el gobierno y gestión de la tecnología de información, con el fin de entender las interrelaciones que surgen en este ejercicio.

De igual forma, la seguridad de la información juega un papel fundamental como quiera que el asegurador demanda un entendimiento de la información como activo estratégico que sirve como articulador de las relaciones internas y externas que tiene la empresa, así como la responsabilidad compartida de su gestión y control con los terceros involucrados, que adquieren la categoría de co-responsables en este escenario y que igualmente deben comprometerse con unas prácticas que cierren filas frente al ciber riesgo declarado por la empresa contratante.

Reflexiones finales

Las juntas directivas de las organizaciones deben incluir en su revisión de riesgos estratégicos de las empresas las consideraciones propias de los ciber riesgos. Ignorar esta lectura de la dinámica empresarial actual, cuyas consecuencias son evidentes en múltiples casos internacionales como los de Target, JP Morgan, Sony, Office Depot, entre otras, es anticipar escenarios de crisis que generalmente son desconocidos y cuyos tratamientos requieren acciones especializadas y coordinadas para mitigar los efectos nocivos que estos pueden tener.

En este ejercicio, los miembros de junta deben no solamente “alfabetizarse” en estas nuevas realidades (Rai, 2014), generalmente manifiestas en grandes fallas y brechas de seguridad, sino comprender los niveles de preparación que tiene la organización frente a situaciones semejantes para establecer los mecanismos preventivos requeridos y las protección extendidas que cubran aspectos que pueden ser relevantes y que las acciones actuales cubren de manera parcial.

Amén de lo anterior, los ciber seguros aparecen como una opción a revisar toda vez que estos insisten en unas prácticas de seguridad y control que deben tener las empresas, para limitar los efectos de ataques masivos y coordinados, algunos con fines extorsivos o de ciberespionaje, que pueden comprometer activos de información estratégicos de la empresa, la identidad de sus personas o las estrategias de negocio, que afecten incluso las  operaciones de la infraestructura crítica de una nación. En esta línea, los ciber seguros hacen una lectura crítica de los activos intangibles de la compañía en el escenario de una operación digitalizada y profundamente integrada a su dinámica y visibilidad global.

Los ciber seguros nos introducen en la comprensión de las relaciones propias del ecosistema digital donde maniobran las empresas, con el fin de comprender cuáles son los umbrales de pérdida de valor permitido, promoviendo una reflexión por el complemento que define cuál es la pérdida máxima estimada por una organización, dado un perfil de resiliencia definido, lo que supone una serie de actividades propias de la compañía para hacerse resistente a los ataques o eventos inciertos que se presenten.

Mientras mayor sea el conocimiento de la cultura organizacional de seguridad de la información, las capacidades de recuperación y continuidad disponibles, el conocimiento de las vulnerabilidades emergentes propias de su negocio y la caracterización de los posibles atacantes, mejor será la preparación y respuesta de la empresa para enfrentar el ciber riesgo, sin perjuicio que la inseguridad de la información, supere las mejores estimaciones efectuadas con lecciones que aún se deben aprender.

Así las cosas, el mundo de los ciber seguros seguirá evolucionando conforme los retos y exigencias de los mercados lo hagan, así como resultado de la introducción de tecnologías emergentes que generen propuestas disruptivas y no tradicionales. Por tanto, debemos mantener la pista a los impactos de la inevitabilidad de la falla, como insumos requeridos para comprender las coberturas y exclusiones que se planteen alrededor de los contratos de estos seguros, los cuales comienzan a acompañar a las organizaciones como entes vigilantes de la gestión de la tecnología de información y las comunicaciones y el tratamiento de la información en las empresas.

Referencias

Ordoñez, A. (2002) Elementos esenciales, partes y carácter indemnizatorio del contrato. Lecciones de derecho de seguros No.2. Bogotá, Colombia: Ed. Universidad Externado de Colombia.

Ordoñez, A. (2001) Cuestiones generales y caracteres del contrato. Lecciones de derecho de seguros No.1. Bogotá, Colombia: Ed. Universidad Externado de Colombia.

Ordoñez, A. (2004) Las obligaciones y cargas de las partes en el contrato de seguro y la inoperancia del contrato de seguro. Lecciones de derecho de seguros No.3. Bogotá, Colombia: Ed. Universidad Externado de Colombia.

García, K. (2009) Propuesta de póliza de seguro para el ciber-riesgo en Guatemala (Tesis de pregrado). Universidad de San Carlos de Guatemala. Recuperado de: http://biblioteca.usac.edu.gt/tesis/08/08_0420_CS.pdf

Ernst & Young (2011) Data loss prevention. Keep your sensitive data out of the public domain. Insights on governance, risk and compliance. Recuperado de: http://www.ey.com/Publication/vwLUAssets/EY_Data_Loss_Prevention/$FILE/EY_Data_Loss_Prevention.pdf

Ramírez, E. (s.f) Notas de clase. Especialización en Seguros. Universidad Externado de Colombia.

Drouin, D. (2004) Cyber risk insurance. A discourse and preparatory guide. GIAC Security Essentials Certification. Recuperado de: http://www.sans.org/reading-room/whitepapers/legal/cyber-risk-insurance-1412

Guy Carpenter (2014) Ahead of the curve: understanding emerging risk. Recuperado de: http://www.guycarp.com/content/dam/guycarp/en/documents/dynamic-content/AheadoftheCurve-UnderstandingEmergingRisks.pdf

Generali Seguros (s.f) Generali negocio seguro. Condiciones generales y condiciones generales específicas. Recuperado de: http://62.97.131.36/rep_documentos/phogar/GENERALI-CCGG-COMERCIOS.pdf

Triump, I. (2012) Confronting the legal liabilities of IT Systems.  EDPACS: The EDP Audit, Control, and Security. 46(2). 11-16

Bandyopadhyay, T.,  Mookerjee, V. y Rao, R. (2009) Why IT managers don't go for cyber-insurance products. Communications of ACM. 52(11). November. 68-73

Rai, S. (2014) Cybersecurity: What the Board of Directors Needs to Ask. ISACA-IIA. Recuperado de: http://www.theiia.org/bookstore/downloads/freetoall/5036.dl_GRC%20Cyber%20Security%20Research%20Report.pdf