Robert Shapiro es un abogado en la oficina de Carlton Fields Jorden Burt en Washington D.C. y sus antecedentes abarcan todo el espectro de la industria de seguros. Presta asesoría en los requerimientos reglamentarios para aseguradores de propiedades y accidentes y varios tipos de productos de seguros de vida y anualidades. También ha ayudado en la formación de algunas de las más grandes compañías de seguros del mundo y en numerosas transacciones de fusiones y adquisiciones que involucran compañías de seguros y firmas que producen seguros.
Scott Shine es un asociado en la oficina de la firma en Washington, D.C., prestando asesoría a una variedad de clientes, incluyendo compañías de seguros de vida y sociedades de inversión de capital variable acerca de temas de transacciones, reglamentos y cumplimiento.
En un discurso en la conferencia de ciberseguridad en 2012, Robert Mueller, el Director del FBI en ese tiempo, señaló a los asistentes que hay solo dos tipos de empresas: aquellas que han sido víctimas de hackers y aquellas que van a ser víctimas. Lamentablemente con cada día que pasa estas palabras parece ser más proféticas. Como sabrá toda persona que sigue las noticias, hasta el gobierno federal no ha sido inmune a los hackers.
La lista de grandes empresas comerciales que han sido víctimas de hackers se lee como una lista de quien es quien en el mundo de los negocios. Empresas como Target, Anthem, Adobe Systems, Inc., Home Depot y Sony han sufrido ciber ataques mayores enfocados en datos personales que cada empresa tenía guardada. Los abogados corporativos también han reportado que esperan que la próxima ola de demandas colectivas va a ser en la privacidad de datos debido a una mayor actividad por hackers, lapsos de seguridad y sensibilidad continua entre consumidores y negocios con relación al compartimiento y uso de datos.[1] Se está poniendo más evidente que las brechas en la ciberseguridad han emergido como una de las amenazas preeminentes para las empresas comerciales.
Estos ataques, así como las brechas inadvertidas de seguridad por los propios empleados de una firma inevitablemente llevan a millones de dólares en gastos para rectificar la brecha y/o costos de litigios interpuestos por aquellos cuya información personal ha estado comprometida. Se estima que los ataques en la ciberseguridad ya les cuesta más de $400 mil millones al año a los negocios, con el costo promedio para una firma 96 por ciento mayor que fue hace cinco años.[2]
Con el rápido crecimiento del riesgo y los costos asociados a los ataques de ciberseguridad, la demanda para seguros de ciberseguridad también ha crecido. Mientras los aseguradores actualmente cobran aproximadamente $2 mil millones al año en primas de seguros ciber, algunos expertos en seguros esperan que las primas crescan a más de $20 mil millones durante la próxima década. El crecimiento que se anticipa no es sorprendente dado que según algunas estimaciones, una empresa comercial grande podría tener hasta $100 millones en seguro de ciberseguridad. Esto es fácil de entender cuando se consideran solamente las demandas generadas por estas brechas en la ciberseguridad. Por ejemplo, Target, que fue víctima de hackers en 2013, ha incurrido un gasto bruto de casi $200 millones hasta ahora.
Aunque la demanda para seguros de ciberseguridad sigue creciendo, el alto precio para esta cobertura sigue siendo un factor limitante debido a la vacilación por parte de los aseguradores de comprometer un capital significante para estos riesgos. La reticencia de los aseguradores para comprometer capital para cubrir los riesgos de ciberseguridad no proviene de la sub-capitalización de la industria, sino que los aseguradores no tienen suficiente información acera de las pérdidas de riesgos de ciberseguridad para poder construir modelos precisos de precios.
Mantenerse al día con el surgimiento de demanda para seguros de ciberseguridad requerirá un mayor compromiso de capital de los aseguradores existentes o de nuevos aseguradores. La necesidad de capacidad adicional viene en un tiempo oportuno ya que el mercado de reaseguros está inundado por un mar de capital. Con este capital en exceso se pretendió reasegurar las aseguradoras u es probable que las aseguradoras directas estarán más dispuestas a aumentar la disponibilidad de cobertura si saben que puede reducir y diversificar su exposición por medio del reaseguro.
La industria de reaseguro tiene un exceso de capital debido a compañías que han entrado al mercado relativamente reciente. Este capital, muchas veces provisto por fondos de cobertura y comúnmente llamado capital alternativo, ingresó al mercado de reaseguro en busca de retornos mayores y no correlacionados que no podrían lograrse con inversiones tradicionales, tales como en los mercados de acciones y bonos. El resultado de este nuevo dinero ha sido una rebaja en los precios para seguros tradicionales así como para reaseguro. Aunque el capital alternativo inicialmente ingresó al mercado principalmente para cubrir los riesgos catastróficos de propiedades, tales como aquellos producidos por los riesgos de huracanes y terremotos, con pocos catástrofes naturales en los últimos años y tasas de interés que siguen siendo muy bajas, el capital alternativo está buscando nuevos mercados para invertir.
A pesar que hay capital disponible dentro de la industria de seguro y reaseguro para satisfacer las demandas para mayor seguro de ciberseguridad, hay muy poca experiencia de pérdidas para ayudar a los aseguradores en cuantificar las posibles pérdidas y para fijar las tasas. Este ha sido un factor que contribuye en forma importante a los altos precios generados. A su vez los altos precios de las polisas de ciberseguridad se ven como prohibitivos para muchas empresas que de otra manera buscarían cobertura. Por ejemplo, tras quedarse plano en 2014, las tasas promedias para seguros para empresas de ventas al por menor subieron casi 32 por ciento en el primer semestre de 2015, según Marsh & McLennan.
Esto significa que hay oportunidades para aseguradoras y reaseguradoras que están dispuestas a ingresar al mercado de seguros de ciberseguridad así como para aquellas que buscan transferir una porción del riesgo y costo de una brecha de ciberseguridad, si las aseguradoras confían que pueden establecer un precio por el riesgo que asumen. Si esto ocurre, mas capital fluirá para asegurar y reasegurar estos riesgos, lo que debe producir precios más razonables para el seguro de ciberseguridad.
¿Qué Rol Debe Desempeñar un Departamento Legal Interno en Obtener Seguro de Ciberseguridad?
Para ayudar en incentivar a las aseguradoras a dedicar más capital a este tipo de cobertura, los negocios pueden comprometerse con varias mejores prácticas que protegerán a la empresa en el evento de una vulneración de ciberseguridad y facilitarán el reaseguramiento así como el establecimiento de precios y por lo tanto la cobertura será más disponible y a un precio más razonable.
Los negocios necesitan entender su exposición al riesgo de ciberseguridad y sus vulnerabilidades antes de buscar seguros, ya que el seguro no es un sustituto para tomar todos los pasos razonables para evitar o mitigar los daños de dichos ataques. Por lo tanto, es extremadamente importante que un departamento legal realice una evaluación regularmente para asegurar que tengan políticas y procedimientos adecuados implementados y en el evento que son víctimas de hackers, que tengan preparadas la gente y las autoridades que se requieren para contener cualquier daño que la organización pueda sufrir producto de la vulneración de la seguridad.
Una metodología que llega a ser más popular, además de usar especialistas terceros en la tecnología informática, es que las empresas contraten una firma de abogados externa para realizar una evaluación de las políticas y procedimientos legales de la empresa con relación a la ciberseguridad así como su plan de respuesta rápida. La evaluación de riesgos debe ayudar en generar una estimación precisa de la preparación de la empresa en cuanto a la ciberseguridad. Dicha evaluación debe analizar la suficiencia de las prácticas de la empresa antes y después de un incidente de ciberseguridad y debe adaptarse a la empresa e industria específica, ya que puede ser que las mejores prácticas generales para una industria no sean las mejores prácticas para otro tipo de negocio. El informe que se hace a base de la evaluación debe dirigirse al Directorio, y el Directorio debe tener por lo menos un miembro conocedor y versado en la ciberseguridad quien puede revisarlo críticamente. Esto permitirá al Directorio entender mejor los temas técnicos involucrados en minimizar los riesgos de la ciberseguridad y mostrará a los potenciales litigante que el Directorio ha tratado a los riesgos de ciberseguridad como una prioridad, en caso que un litigio siga a una vulneración.
Como parte de la evaluación, la firma también debe hacer un análisis de la exposición de la empresa a los riesgos de litigio y reglamentarios a base del tipo de datos personales que pueda tener y la industria en que opera. La adopción de un conjunto de las mejores prácticas adaptadas a la industria específica puede ser crítica si la empresa sufre un incidente de ciberseguridad y posteriormente esté demandada. Cualquier demanda derivada de accionistas o una acción colectiva por parte de un cliente, entre otras, cosas va a alegar la falta por parte del negocio de establecer y mantener procedimientos efectivos para eliminar o responder efectivamente a las vulneraciones de ciberseguridad. Por lo tanto, es importante que los negocios tengan presente los procedimientos para responder efectiva y prontamente a cualquier vulneración.
Una evaluación independiente también puede servir para identificar las leyes, estándares y pronunciamientos relevantes que varias agencias del gobierno federal y los gobiernos de los estados están empezando a requerir con relación a la ciberseguridad para que las empresas puedan adaptar sus políticas internas para cumplir con esos estándares y para evitar daños adicionales como multas reglamentarias en caso de un incidente de ciberseguridad. Por ejemplo, recién el mes pasado la Comisión de Valores y Cambio liquidó un reclamo con una firma de asesoría de inversiones por $75.000 por dejar de establecer las políticas que se requieren para la ciberseguridad antes que ocurre una vulneración.[3]
Tenga presente los estándares reglamentarios en desarrollo,esto ayuda a los negocios no solamente a establecer las mejores prácticas y mantenerlas actualizadas sino también permite a las reaseguradoras a determinar si un posible asegurado cumple con las mejores prácticas que fueron adoptadas por el Directorio de la empresa.
Para confirmar si el seguro de ciberseguridad que se contrató va a cubrir los reclamos cubiertos, la empresa debe revisar sus políticas y procedimientos anualmente para asegurar que están cumplimiento los compromisos que hizo en la solicitud para el seguro o según las condiciones de la póliza. En un caso, que actualmente se esta litigando en el Tribunal de Distrito de los EE.UU. para el Distrito Central de California, una aseguradora negó a pagar por la liquidación de un caso interpuesto cuando fue filtrada la información sobre atención de salud que fue almacenada en los servicios de la red del asegurado.[4] La aseguradora ha reclamado que el asegurado no cumplió en ‘‘seguir las mínimas practicas requeridas” que fue una obligación según la póliza.
Si los negocios muestran que están tomando pasos proactivos para ayudar en la prevención de incidentes de ciberseguridad así como en minimizar el costo cuando ocurre una vulneración, la capacidad del seguro de ciberseguridad para satisfacer las necesidades de los negocios debe expandir dramáticamente en poco tiempo. Una vez que las aseguradoras y reaseguradoras empiezen a dedicar capital a esta área relativamente nueva, los precios deben reflejar este aumento en la disponibilidad.
El Futuro de Seguro de Ciberseguridad
La industria de seguros puede ser lenta en reaccionar a nuevas oportunidades y riesgos, pero eventualmente responden. Un ejemplo de cómo fluye el capital para cubrir los riesgos puede verse con lo que ha pasado al seguro catastrófico para propiedades. Los riesgos para propiedades tales como casas, debido, por ejemplo a huracanes y terremotos, antes dependían de seguros tradicionales y reaseguros. Una vez que fue modelada la probabilidad de huracanes, por ejemplo, el capital de los fondos de cobertura y otros inversionistas institucionales empezaron fluir a la industria de reaseguro. Se crearon bonos de catástrofes, “sidecars” (estructuras financieras creadas para permitir a inversionistas asumir el riesgo y el retorno de un grupo de pólizas de seguros garantizadas por un aseguradora o reaseguradora y ganar el riesgo y retorno que se produce de ese grupo de pólizas) y otros tipos de valores vinculados a seguros para competir con las formas tradicionales de reaseguro.
La cobertura para ciberseguridad no ha estado muy alta en la lista de negocios para las cuales las aseguradoras estan dispuestas a desplegar capital. El negocio de los seguros involucra a aseguradores que aceptan el riesgo por un precio. Las aseguradoras están en el negocio para hacer una ganancia y si no se puede establecer un precio por un riesgo, las aseguradoras no lo van a cubrir. Para actuar de otra manera seria jugar en vez de dar seguros. Sin embargo, según se conoce más la experiencia de perdidas con los riesgos de ciberseguridad, las aseguradoras seguirán asignando más capital, particularmente si los negocios adoptan las mejores prácticas en la ciberseguridad y hay reaseguros para distribuir el riesgo.
[1] La Encuesta de Acciones Colectivas de 2015 de Carlton Fields Jorden Burt, disponible en http://ClassActionSurvey.com/).
[2] Encuesta del Instituto Ponemon de 59 firmas que responden a ataques de ciberseguridad en 2014 (estas cifras no incluyen los litigios generados por dichas brechas o los daños a la reputación de la firma).
[3] Ver el Comunicado de Prensa 2015-202 de la Comisión de Valores y Cambio con fecha 22 de septiembre de 2015.
[4] Columbia Casualty Co. v. Cottage Health System, Tribunal de Distrito de los EE.UU. Caso No 2:15-cv-03432 (Distrito Central de California)(interpuesto el 7 de mayo de 2015).