Si bien la modalidad cibernética se incorporó en algunas pólizas de responsabilidad general (GL) de la década de 1980, la primera póliza cibernética independiente fue suscrita en 1997 a través de AIG. Aunque fue innovadora, ya que fue la primera en abordar la seguridad cibernética, fue solo una póliza de responsabilidad de terceros.¹ Según Statista, las primas de las pólizas cibernéticas mundiales independientes han aumentado de $2.5 mil millones en 2014 a más de $7.5 mil millones en 2020.²
La cobertura por interrupción del negocio (BI) ahora se ofrece en un alto porcentaje de pólizas de seguros cibernéticos independientes (pólizas cibernéticas). Uno de los eventos importantes en los seguros cibernéticos en los últimos años fue la incorporación de un seguro por interrupción del negocio más significativo para eventos relacionados con la cibernética. Es común ver una cobertura cibernética independiente que combina la cobertura por interrupción del negocio de la primera parte con la responsabilidad por violación de datos o que incluye solo la interrupción del negocio de la primera parte. En general, cubre la interrupción parcial o total del negocio después de un ciberataque o una falla técnica.
Este documento aborda los problemas comunes e importantes de la medición de la BI más, y la importancia de una evaluación técnica del incidente.
Al igual que con las pérdidas por incendio, agua y otros daños físicos, es necesario realizar una evaluación técnica del incidente y cualquier equipo comprometido para comprender el alcance de los daños, el impacto y el período de recuperación, e identificar cualquier actualización o mejora incluida en las presentaciones de reclamos.
¿Por qué es importante la evaluación técnica de un reclamo cibernético para la evaluación de la BI?
Es imprescindible que esta información se recopile al inicio de una evaluación de una pérdida para que las aseguradoras puedan comprender cómo se aplica la pérdida a sus pólizas, además de comprender la exposición total. La evaluación técnica y la BI pueden analizarse simultáneamente con los respectivos expertos.
En este documento, la interrupción del negocio se considera igual a la pérdida del ingreso neto más el costo continuo no ganado. La cobertura cibernética, relacionada con el riesgo cibernético, disponible en el mercado está lejos de ser estándar. Existe una amplia gama de productos cibernéticos, cada uno con sus propios términos y condiciones, que pueden variar drásticamente entre una aseguradora y otra, e incluso según entre una póliza y otra, aunque estén suscritas por la misma aseguradora.
Hay muchos tipos de incidentes y escenarios que se clasifican como reclamos cibernéticos. Estos pueden incluir:
Con los reclamos cibernéticos, es imprescindible comprender la importante medición de la BI y los problemas de cómputo. Según nuestra investigación de una muestra de más de 2,500 pérdidas por interrupción del negocio, los tres problemas principales de medición de la BI entre lo reclamado y lo calculado, por problemas en orden de frecuencia, son:
El primer paso para un contador forense en un cálculo de la BI es determinar cuáles habrían sido las ventas si no hubiera ocurrido el evento. Si no hubiera ocurrido el evento, las ventas habrían sido "X". La redacción de la póliza es similar en muchas pólizas cibernéticas en comparación con las pólizas de propiedad, pero no idéntica. La redacción común en las pólizas cibernéticas incluye:
"Se tendrá debidamente en cuenta la experiencia previa del negocio y el negocio asegurado antes del comienzo de la falla de seguridad y el negocio probable que un asegurado podría haber realizado si no hubiera ocurrido una falla de seguridad".
La póliza establece que el asegurado no se beneficiará de las condiciones comerciales favorables causadas por el evento (parafraseado).
Con las proyecciones de ventas relacionadas con los reclamos cibernéticos, los contadores forenses evaluarán a toda la compañía, en lugar de solo una ubicación o región en particular, lo cual generalmente ocurre en caso de incendio o huracán. Un ejemplo de por qué esto es importante puede entenderse comparando los diferentes márgenes de una empresa de comercio electrónico y una tienda física. Para ser más precisos, las ventas y los márgenes deben analizarse individualmente por grupo empresarial.
El punto focal para determinar el período de indemnización (POI) suele ser los expertos técnicos cibernéticos que trabajan con el asegurado y el ajustador de reclamos que determina el POI. Los contadores pueden tener un rol auxiliar, pero no son los líderes del proyecto.
El POI indica el período de tiempo por el cual se paga una indemnización o compensación en virtud de una póliza por interrupción del negocio. El POI es uno de los componentes más críticos para cuantificar la pérdida por interrupción del negocio.
Una evaluación técnica realizada por un experto técnico cibernético es clave para comprender cómo influirá el incidente en el POI. Todas las situaciones son únicas y requieren experiencia técnica para su evaluación. Algunas preguntas que deben responderse son:
Después de un evento cibernético, es común que se realicen actualizaciones o cambios en los sistemas y la infraestructura para evitar un incidente futuro. La identificación de estos costos y alcances es importante porque pueden aumentar el valor del reclamo y el período de recuperación. Por lo tanto, es posible que sea necesario ajustarlos. Esto puede incluir:
En pérdidas por BI de la primera parte, es común medir el POI en función de un período teórico de restauración. Esto es necesario cuando un asegurado decide hacer mejoras y no reconstruir. Las pérdidas cibernéticas presentan un escenario similar. Con frecuencia, el asegurado elegirá mejorar su red de seguridad después de una vulneración. El "refuerzo" de la red puede llevar un tiempo adicional, el cual generalmente no se puede recuperar durante el período de BI. Esta es una oportunidad para una posible diferencia de opinión entre varios expertos/profesionales en cuanto al tiempo que habría llevado una "reconstrucción" para volver a la condición anterior.
Los costos ahorrados (evitados) deben calcularse para determinar el ingreso neto perdido. Con frecuencia, la decisión más importante tomada por el propietario de un negocio es si continuar pagando a los empleados no productivos durante el período de interrupción o despedirlos. La cobertura cibernética por BI puede o no cubrir el costo de estos empleados. En la cobertura tradicional, la nómina ordinaria se identifica como nómina no esencial. Esto fue adoptado en gran medida por el mercado de seguros para referirse a la nómina por hora.
Completar un análisis técnico y de la BI relacionado con una pérdida cibernética es una combinación de ciencia y arte.
Este proceso incluye:
Tan simple como puede parecer, cada reclamo cibernético probablemente tendrá un giro único que no es comparable con eventos anteriores. Por lo tanto, es importante recordar estos tres puntos clave:
Es clave buscar la ayuda de expertos técnicos cibernéticos y un contador de buena reputación con conocimiento y experiencia en reclamos cibernéticos. Juntos, estos expertos harán que la mecánica del cálculo de la BI sea más fácil para todas las partes.
La cobertura cibernética representa un nuevo mercado de seguros. Al igual que las calderas y la maquinaria, además del seguro de responsabilidad civil para prácticas laborales, las pólizas cibernéticas llegaron para quedarse. Si bien la BI no es un concepto nuevo, la cobertura por BI dentro de una póliza cibernética independiente sí lo es.
Nos gustaría agradecer a Peter Hagen y Troy S. Bates por proporcionar información y experiencia que fueron de gran ayuda para esta investigación.
Peter Hagen es vicepresidente ejecutivo de la práctica de Contabilidad Forense - Servicios de Seguros de J.S. Held. Se especializa en la medición de daños financieros y sus principales clientes han sido compañías de seguros y abogados. Las compañías de seguros lo contratan principalmente para medir y brindar consultoría sobre la razonabilidad de grandes reclamos por interrupción de negocios. Para los abogados, es contratado como experto para brindar su opinión en daños financieros. Peter ha actuado como perito para empresas en el rol de demandante y demandado, principalmente en las industrias de energía, telecomunicaciones, atención médica y aerolíneas comerciales. Antes de unirse a J.S. Held, Peter fue director ejecutivo y socio principal de la firma de contabilidad forense HSNO (Hagen, Streiff, Newton & Oshiro).
Puede comunicarse con Peter enviando un correo electrónico a [email protected] o llamando al +1 972 980 5063.
Troy Bates es vicepresidente ejecutivo en la práctica de Consultoría de Equipos de J.S. Held. Troy tiene más de 31 años de experiencia en consultoría de pérdida de equipos y se especializa en evaluación de daños, viabilidad de reparación y comparación con el reemplazo, análisis/estimaciones de reemplazo comparables, estimaciones de valor efectivo real, resolución de impacto en la producción y evaluación de reclamos. Ha evaluado una gran variedad de equipos y sistemas tales como tecnologías de informática, electrónica, equipos médicos, telecomunicaciones y demás equipos especializados. Exdirector de Werlinger & Associates (adquirida por J.S. Held en 2019), Troy ha brindado servicios de consultoría técnica para reclamos de seguros de propiedad comercial a operadores en América del Norte, Europa, Asia y Medio Oriente.
Puede comunicarse con Troy escribiendo a [email protected] o llamando al +1 714 660 9171.
¹ 100 AIG Stories. The First to Tackle Cyber Risk. (2019) https://www.100.aig/stories/first-tackle-cyber-risk
² Statisca.com 2020 Estimated Value of Cyber Insurance Premiums Written Worldwide from 2014 to 2020. https://www.statista.com/statistics/533314/estimated-cyber-insurance-premiums/
Ya sea un techo comercial con grandes extensiones que cubran acres de área o una estructura residencial unifamiliar con dos pendientes de techo, la combinación de experiencia con tecnología de vanguardia respalda mejor el análisis científico de los asuntos relacionados con sistemas de techos...
La tecnología de las estaciones de combustible está evolucionando rápidamente. Los surtidores de combustible, los sistemas subterráneos de monitoreo de tanques de almacenamiento y los sistemas de puntos de venta están estrechamente integrados y dependen unos de otros para que la gasolinera funcione. Si un componente de...