La transferencia del Riesgo Cibernético: ¿Indiferente para República Dominicana?

No obstante, existe una serie de Riesgos Emergentes que durante los últimos años han ido teniendo cada vez mayor impacto en las operaciones de las empresas, trayendo consigo pérdidas millonarias, y en algunos casos, el cese de las operaciones por quiebra. 

Desafortunadamente, no todos los riesgos pueden ser transferibles al mercado asegurador a través del pago de una prima de seguros, ya que no todos tienen una manera fácil en la que podamos medir su impacto financiero, lo cual, le da el carácter económico que forma parte de los principios del seguro.

Otro elemento muy particular que ocurre en nuestro mercado, es que la cultura de asegurar en nuestro país, a nivel de masas, es todavía muy tímida. El ciudadano promedio no tiene, dentro de sus prioridades, tratar de proteger los bienes que con tanto esfuerzo va creando a lo largo de los años, volviéndose muy vulnerable a perder todo su patrimonio en cualquier momento, ya sea por factores internos o factores externos, como los climáticos, que cada año nos afectan.

De todas maneras, gracias a la intervención de las entidades de intermediación financiera, la obligatoriedad de asegurar algunas propiedades se encuentra plasmado dentro de las políticas pre-determinadas para la obtención de cualquier financiamiento, propiciando con esto que tengamos que suscribir pólizas de seguros.

Ahora bien, ¿qué ocurre en nuestro país con el Riesgo Cibernético? De entrada, luciría que, a diferencia de muchos países en donde las afectaciones por ransomware y malware se encuentran a la orden del día, nuestro país, así como decimos que estamos “protegidos divinamente contra los huracanes” versus otras islas del Caribe, luciría que es el mismo caso frente a las afectaciones de grupos de malhechores digitales, y la verdad es que no es de esa manera.

Nuestro país recibe constantemente una enorme cantidad de ataques cibernéticos, tal y como ocurre en otros países, teniendo su principal foco de afectación a las entidades gubernamentales, financieras, industrias de manufactura automatizada y entidades de retail. Sin embargo, estas entidades, en la mayoría de los casos, mantienen dentro del marco de la confidencialidad estos eventos (a diferencia de otros países), para evitar el impacto que esto pudiese tener sobre ellos. Pero, ¿qué hace a esas entidades tan llamativas para los ciberatacantes? Lo cierto, es que tienen diversos elementos de mucho valor para estos.

Si miramos, por ejemplo, las entidades de intermediación financiera, estas resultan ser el foco principal debido a diversos factores. Dentro de estos, podemos citar: secuestro de sistemas operativos, persiguiendo el pago de un rescate para liberarlos; secuestro de informaciones personales de clientes y, por último, y no menos importante, vulnerar de los sistemas para el trasiego de fondos.

Afortunadamente, el sector de la banca es el que se encuentra más robusto para la protección de sus activos digitales versus otras industrias, teniendo inclusive áreas destinadas para el control y monitoreo constante de posibles ataques, tomando medidas recurrentes para mantener protegidos sus sistemas. Del mismo modo, es el sector que, inicialmente motivado por el organismo regulador (la Superintendencia de Bancos), quienes emitieron un reglamento que sugiere (aunque no obliga) la contratación de una póliza de Riesgos Cibernéticos, es el sector que ha tenido mayor vocación para suscribir este producto en el mercado asegurador, con la finalidad de proteger sus activos digitales.

En lo que comprende al resto de las industrias, pese a que muchas de ellas han sido víctima de ataques cibernéticos, estas no necesariamente han tomado la decisión de poder transferir este riesgo, resultando ser la minoría en lo que respecta a la contratación de este importante producto.

Gran parte de lo que ha impedido que muchas de las empresas, de cierta magnitud en nuestro país, hayan decidido no contratar esta póliza de Riesgos Cibernéticos (por lo menos, hasta el momento), se ha dado por desconocer el posible alcance que pudiese tener un evento de este tipo en sus operaciones, más que por elementos presupuestarios.

Para tener una idea, acorde a lo indicado en la plataforma Fortinet, la cual monitorea en tiempo real los ataques cibernéticos globales, República Dominicana, cada año, supera los mil millones de ataques cibernéticos, cifra que cada 365 días se incrementa de manera exponencial, dadas las automatizaciones que contantemente se viven realizando de distintos procesos, y las brechas detectadas por los ciberatacantes.

Dentro del marco de lo que comprende una póliza de Riesgos Cibernéticos, se encuentra un producto integral, y bastante robusto, que puede ofrecer cobertura por Daños Maliciosos o Eventos Accidentales que puedan afectar los sistemas de TI de nuestra empresa, y que puedan derivar en pérdida de la confidencialidad, integridad o disponibilidad de estos, trayendo consigo, pérdidas de beneficios, gastos de recuperación, así como daños a terceros, resultando este último, uno de los de mayor preocupación para los países del primer mundo.

No obstante, lo anterior, es un producto que, para adquirir sumas aseguradas de cierta relevancia, conlleva que las empresas de mayor riesgo, tales como las indicadas más arriba (Entidades Gubernamentales de Intermediación Financiera, Industrias de Manufactura y la Industria de Retail) posean una preparación y madurez importantes en sus sistemas de TI que les permita poder ser elegibles de contratarlo. Naturalmente, este nivel de madurez es exigido con la finalidad de que las pérdidas que puedan ocurrir por este concepto puedan ser las mínimas posibles, impidiendo que resulte fácil una paralización por algún ataque cibernético y, por ende, que permita que la póliza se encuentre suscrita para proveer cobertura frente contingencias, y no para eventos frecuentes.

De igual modo, localmente, existen compañías de seguros que, para otro tipo de industrias apartes de las precedentemente indicadas, comercializan un “enlatado” con un nivel relativamente bajo de requerimientos, lo cual, a través de un precio razonable, permite transferir gran parte de este riesgo al mercado asegurador y recibir asesorías frecuentes para mitigarlo, lo cual convierte esto en una alternativa viable y financieramente factible.

En conclusión, no perdamos de vista el Riesgo Cibernético. Definitivamente, es un riesgo que puede impactarnos muy fuerte y, de encontrarse en el marco de las posibilidades financieras de las empresas (incluyendo las PYMES), puede darnos mucha tranquilidad.