Desde el punto de vista de la Ciberseguridad, el riesgo sistémico hace referencia a la posibilidad de que un único evento en una pequeña parte de un sistema digital pueda afectar en cascada a otros sistemas que se encuentran interconectados. Para el Mercado Asegurador, en una frase, es la posibilidad de que un solo ciber-evento pueda impactar múltiples asegurados.
El riesgo sistémico amenaza con derribar industrias y economías enteras y no es limitado por el tiempo ni la geografía. El rápido crecimiento de los riesgos sistémicos está directamente correlacionado con una mayor dependencia de proveedores SaaS por parte de las compañías, lo cual ha sido identificado por los hackers como una oportunidad lucrativa que los ha llevado a concentrar sus esfuerzos en atacar sistemas interconectados complejos. Si pensamos en un incidente en un proveedor de servicios de internet, el impacto podría ser enorme. Una interrupción generada por este incidente en una empresa de servicios en la nube, por ejemplo, podría afectar las operaciones comerciales de millones de organizaciones a la vez.
La proliferación de la ‘epidemia’ de ransomware en los últimos años, marcó el primer gran desafío a la industria de los seguros de ciber riesgos y el endurecimiento del mercado debido a los altos costos asociados a la paralización de los negocios, el restablecimiento de los sistemas informáticos, las reclamaciones de terceros y las sanciones impuestas por los reguladores. Pero además del ransomware, el mercado ha competido por hacerse con el control sobre el efecto dominó que un evento cibernético puede tener en cientos de asegurados.
El riesgo sistémico no es un fenómeno nuevo en el mercado asegurador. Históricamente, ha estado relacionado con los ramos de daños materiales, donde los incendios o robos tienen un impacto limitado, pero catástrofes como terremotos, huracanes e inundaciones tienen impactos generalizados que afectan a muchos asegurados al mismo tiempo conduciendo a pérdidas acumuladas, hasta el punto de exceder la capacidad de los Aseguradores para pagar las reclamaciones. Debido al impacto financiero de los riesgos catastróficos, ciertas coberturas en las pólizas de daños materiales solo pueden comprarse por separado y con su propio conjunto de límites y retenciones, lo cual permite a las Aseguradoras gestionar su exposición y a los Asegurados/as confiar en que podrán recuperar sus pérdidas.
Al igual que las Aseguradoras de Daños Materiales, el mercado de Ciber Riesgos ya asume una cantidad significativa de riesgo sistémico. Sin embargo, muchos mercados actualmente luchan por determinar cuándo deben terminar su tolerancia al riesgo sistémico para brindar una solución sostenible. Una mayor especialización técnica en ciberseguridad permite a las Aseguradoras delimitar las coberturas para gestionar de una manera más inteligente su exposición sistémica al riesgo cibernético o, en el caso del mercado reasegurador para desarrollar y mitigar el impacto de determinados incidentes, mientras mantienen saludables sus reservas de capital.
Los suscriptores están respaldados por modelos catastróficos que les permiten controlar la agregación en sus carteras y evaluar cómo serían sus pérdidas financieras en un escenario dado, que luego se valora en las primas cobradas a los clientes. Sin embargo, lamentablemente estos modelos no cuentan con suficientes datos de siniestralidad y deben ser recalibrados constantemente al tratarse de un riesgo dinámico y emergente, lo cual ha llevado en última instancia, a una escasez de capacidad muy necesaria y precios inestables que no reflejan con precisión la inversión realizada por las empresas para mejorar su nivel de seguridad y madurez cibernética. Para traer más capital al mercado, se debe abordar el riesgo sistémico de manera precisa y adecuada, haciendo necesario educar y guiar a los clientes a través de las mejores prácticas para gestionar estos riesgos en sus negocios y prepararse para una posible catástrofe cibernética.