La Autoridad Europea de Seguros y Pensiones de Jubilación (EIOPA) publicó en julio de 2023 un documento de principios metodológicos para la aplicación de pruebas de resistencia de riesgos cibernéticos en entidades aseguradoras. El documento se compone de un conjunto de normas teóricas y prácticas, directrices y enfoques, y surge como apoyo para el diseño de futuras pruebas de resistencia de seguros centradas en el riesgo de resiliencia cibernética y de suscripción cibernética.
Stress test de los riesgos cibernéticos en aseguradoras
Resumen ejecutivo
La EIOPA ha publicado un documento de principios metodológicos para la aplicación de pruebas de resistencia de riesgos cibernéticos en entidades aseguradoras. Con esta publicación, la EIOPA pretende sentar las bases para la evaluación de la resiliencia de las entidades en escenarios de incidentes cibernéticos graves, centrándose en las consecuencias financieras de dichos escenarios. Los principios metodológicos se desarrollan a partir de la definición de dos tipos de riesgo cibernético: el riesgo de resiliencia cibernética y el riesgo de suscripción cibernética.
Contenido principal
A partir de la definición de los riesgos el documento define diferentes escenarios de incidentes cibernéticos para cada tipo de riesgo. Esta diferenciación permite detallar posteriormente los tipos de impactos que sufrirá la entidad ante la materialización del escenario.
- El riesgo de resiliencia cibernética se caracteriza por un ataque directo a la entidad. El impacto de un ciberataque derivado del riesgo de resiliencia cibernética puede traducirse en un aumento de los costes operativos, de detección y de recuperación. Los posibles escenarios que podrían dar lugar a este tipo de riesgo son un apagón eléctrico, ransomware, un fallo en la nube, una denegación del servicio y una fuga de información. Existen métricas operativas y financieras que permiten evaluar y medir el grado de resiliencia cibernética y de su impacto en la compañía aseguradora. No obstante, estas métricas son todavía incipientes y se espera un mayor desarrollo en el futuro. El documento expone también las principales aplicaciones prácticas de los impactos del riesgo de resiliencia cibernética.
- El riesgo de suscripción cibernética ejemplifica la reclamación a la entidad por parte de un cliente sobre un incidente cibernético materializado. El impacto de un ciberataque derivado de este tipo de riesgo puede ser un aumento en la frecuencia de las reclamaciones a la compañía, así como unos costes más elevados. Los posibles escenarios que pueden dar lugar a este riesgo son un apagón eléctrico, un fallo en la nube y ransomware. Existen métricas que permiten proporcionar una visión global de los principales impulsores del impacto de los escenarios descritos sobre el balance, los fondos propios y el ratio de capital de solvencia obligatorio (SCR). El documento incluye también las aplicaciones prácticas de los impactos derivados del riesgo de suscripción cibernética.
Accede a la nota técnica de Stress test de los riesgos cibernéticos en aseguradoras (solo disponible en inglés).