Entrevista realizada por José Ramón Moratalla, Redacción del apartado Derecho TIC del portal www.elderecho.com

Juan Manuel Quintana Zuazúa: "Una aseguradora sólo puede ofrecer el seguro de ciberriesgos al mercado si realmente lo comprende"

Entrevista
Juan M. Quintana Zuazúa

Entrevistamos a Juan Manuel Quintana Zuazúa, Abogado y Director de Risk & Insurance Advisory de Howden, bróker de seguros.

1º Para aquellos lectores que no conozcan Howden. ¿Podrías presentárnosla brevemente?

Howden es un bróker de seguros multinacional, de origen británico, con una amplia trayectoria tanto a nivel mundial como nacional.
A nivel global, Howden se compone de más de 15.000 profesionales. Una de sus señas de identidad es la independencia, ya que el grupo está en manos de sus propios empleados

En cuanto a Howden Iberia, contamos con 30 oficinas. En 2023 hemos superado los 100 millones de euros de ingresos por comisiones y los 700 millones de euros en primas intermediadas.

 

2º Recientemente has sido promovido al cargo de Director de Risk & Insurance Advisory.
¿Qué cometidos de índole jurídica desempeñas en esta posición dentro de Howden?

Para mí, este nombramiento, supone un desafío emocionante y motivador a todos los niveles.
Diría que, funcionalmente, el puesto es una mezcla entre coordinador interdepartamental, asesor jurídico, consultor, planificador, analista, negociador y “apagafuegos en general.

Mi trabajo está orientado, por un lado, a nivel externo, a dar un asesoramiento especializado a los asegurados en los temas más complejos y delicados relacionados con sus seguros y que tengan implicaciones jurídicas.

Por otra parte, a nivel interno, doy soporte a nivel jurídico al resto de equipos y departamentos que así lo requieran en las necesidades que tengan con respecto a los asegurados.
En definitiva, mi trabajo es definir la estrategia que vamos a seguir para defender los intereses del asegurado en los temas más complicados a nivel de aseguramiento, coordinando a todos los intervinientes en la resolución de la situación, sea cual sea.

Es una posición desde la que se adquiere una perspectiva muy global de todo lo que atañe a este sector, porque se trata cada asunto con muchos intervinientes distintos y requiere mucha autonomía de gestión y una visión resolutiva en la toma de decisiones.

 

3º ¿Cuál es el objetivo y enfoque desde el que planteas estas funciones?

La idea es que sea un refuerzo significativo a la aportación de valor que un bróker de seguros debe aportar a los asegurados.

El nombramiento responde a una necesidad que hemos detectado en nuestros clientes y a la que ya veníamos dando respuesta con éxito, pero que era necesario organizar y oficializar.

En nuestra experiencia, hemos podido apreciar que la actividad de los asegurados se ha ido volviendo cada vez más compleja, al haber más factores a considerar en su operativa y riesgos, por lo que, de manera bastante exponencial, han ido requiriendo programas de seguros cada vez más sofisticados. A su vez, los siniestros de los distintos ramos han ido aumentando en cuanto a su grado de complicación e implicaciones en todos los aspectos.
Este escenario, requiere una coordinación muy precisa entre los distintos departamentos intervinientes, desde los departamentos comerciales a los equipos de siniestros y un apoyo transversal que pueda analizar, asesorar y determinar la estrategia a seguir en cada caso para obtener las soluciones más satisfactorias en cada situación concreta.

A nivel personal, lo que más me gusta de mi trabajo diario, es tener que afrontar constantemente desafíos impredecibles, escenarios complejos que son un reto intelectual y que requieren la búsqueda de la mejor forma de resolverlos. Encontrar una solución a cada problema es siempre una tarea interesante que abordar.

 

4º Para las funciones de asesoramiento jurídico en el ámbito corporativo. ¿Consideras necesaria la formación en nuevas tecnologías emergentes?

En términos de aseguramiento y de riesgos en general, nos encontramos en un escenario de cambios a un ritmo trepidante en este sector. Probablemente los riesgos cibernéticos, sean el campo donde más se puede apreciar.
Hasta hace no muchos años, hablando a grandes rasgos, los riesgos que podría tener que valorar una empresa, no habían cambiado significativamente en décadas… ¡o incluso siglos!

El miedo a un incendio que podría tener un empresario de los años 80, no difería del mismo miedo al fuego que podría sentir el señor de un castillo medieval, o un patricio en su villa de la antigua Roma.

Sin embargo, los riesgos cibernéticos, en muy pocos años, han pasado de ser “eso de los ordenadores, que si se estropean compramos otros”, a ser un riesgo al mismo nivel de gravedad, o incluso superior, que cualquier amenaza que tradicionalmente haya podido atemorizar a un asegurado.

Un incendio te puede paralizar una planta, pero un ransomware te puede paralizar repentinamente una multinacional completa en todos los países en los que opera, incluyendo todas sus sedes y centros de producción.

La tecnología está avanzando de manera tan rápida y exponencial, que es imprescindible una formación técnica continua para poder dar un buen asesoramiento jurídico en los riesgos derivados de estas cuestiones. No basta con conocer el Derecho, que también es muy cambiante, sino que hay que conocer a qué realidad se aplica.
Y la realidad, en lo cibernético, es compleja de entender por su propia naturaleza. Cuando en un siniestro hay que analizar si un ransomware ha vulnerado el firewall de los sistemas de un asegurado sin ser detectado por su EDR, por poner un ejemplo, es clave saber situar el punto donde se origina el siniestro, porque va a resultar fundamental para determinar la actuación y alcance de las coberturas de la póliza.

Un informe pericial o forense en esta materia se va a ceñir a lo puramente técnico, por lo que saber interpretar jurídicamente los datos técnicos que contiene es indispensable para poder dar una solución y asesoramiento correcto y preciso al asegurado.

Hay que saber lo que buscar, cómo analizarlo, qué implicaciones legales tiene y, en mi caso, ponerlo en relación con los términos del condicionado de la póliza destinada a cubrir ese riesgo.

 

5º ¿Dirías que la formación especializada en el ámbito asegurador se manifiesta en una mejor resolución de los incidentes cibernéticos?

Sin duda. No sólo para lo que es un trabajo de análisis previo. Lo veo especialmente importante el aspecto de la coordinación. Hay que entender el lenguaje de aquellas personas con las que tienes que coordinar la gestión de un incidente.

En un gran incidente cibernético multinacional, como muchos en los que he intervenido en los últimos años, de repente te encuentras que hay un centenar de profesionales involucrados, o más, trabajando cada uno en sus tareas concretas, entre el personal propio, el de la aseguradora, el del asegurado (la Gerencia de Riesgos, el DPO, el CISO…), el gabinete pericial designado, los despachos de abogados de protección de datos en todos y cada uno de los países afectados, el despacho asesor de la aseguradora, el despacho asesor del asegurado, la consultora técnica, el equipo de IT externo del asegurado, el equipo de respuesta a incidentes, el equipo forense…

Estamos hablando de perfiles jurídicos, de ingeniería, técnicos de sistemas, especialistas en distintas materias, con distintos idiomas, distintos términos técnicos, en distintos países, con distintas legislaciones…todos trabajando a la vez, pidiendo información, aportando datos y planteando distintos aspectos del incidente.

Esa coordinación y el flujo de información debe centralizarse y canalizarse adecuadamente, ya que, en lo relativo a su aseguramiento, a quien se va a dirigir el asegurado afectado es a su bróker de seguros, que es el mediador de sus pólizas.

Por tanto, como persona que coordina estos incidentes en el bróker, tienes que saber de lo que estás hablando, tienes que entender el lenguaje técnico de todos los intervinientes, y esto implica tener conocimientos jurídicos y también de estas tecnologías y sistemas, para poder entender la información que se traslada, analizarla debidamente y poder ir desenmarañando todo para tener el mapa completo de la situación y, con ello, ofrecer soluciones claras que se puedan trasladar al asegurado.

El asegurado no va a aceptar respuestas genéricas, desordenadas, abstractas o inconcluyentes, necesita que se le trasladen conclusiones y líneas de actuación concretas para resolver y cubrir su incidente.

 

6º Una brecha en ciberseguridad a nivel corporativo puede tener muchas implicaciones legales. En términos de seguros ¿Consideras necesario que las empresas e instituciones realicen auditorías de ciberseguridad?

Se trata de algo fundamental, en todos los aspectos.

Desde la perspectiva del aseguramiento de estos riesgos, el asegurado debe conocerse a sí mismo, debe tener una clara imagen de qué riesgo propio está asegurando, para que se le pueda asesorar debidamente sobre cómo debe ser el programa de seguro que se construya para él. No sólo estamos hablando de reducir las posibilidades de sufrir un siniestro, adoptando medidas de prevención adecuadas, sino también, de reducir cualquier posible complicación para la cobertura del siniestro que pueda sufrir. Cuantas más medidas de seguridad hayan tomado el asegurado y más información proporcione, más ajustado a sus necesidades será su programa de seguros y menos conflictiva será la resolución de los siniestros con las aseguradoras.

Cuando se produce un incidente de este tipo, lo primero en lo que piensas, es que esperas que el asegurado haya tomado todas las medidas de prevención necesarias, porque eso va a afectar mucho al dimensionamiento del incidente y sus consecuencias. La misma amenaza puede ser neutralizada sin causar grandes perjuicios, o causar cientos de millones de euros en pérdidas, dependiendo del grado de prevención del asegurado y de sus medidas de seguridad, si bien hay que resaltar que no hay sistema de seguridad invencible, porque si la seguridad fuese infalible, no habría riesgo que cubrir.

Las auditorías de ciberseguridad, también proporcionan la información necesaria para que el programa de seguros esté debidamente ajustado a cubrir el riesgo, de ahí la importancia de contar con el mejor talento en esta materia tan compleja, porque si un seguro de ciberriesgos no es adecuado al riesgo que cubre, puede llegar a ser lo mismo que no tenerlo.

De especial importancia, además del autoconocimiento del asegurado, es también crear una concienciación en su personal sobre buenas prácticas en materia de ciberseguridad, ya que muchos incidentes se producen por descuidos totalmente cotidianos, que saben aprovechar los ciberdelincuentes.

 

7º Veo que centras mucho el foco en la importancia de los siniestros. ¿Qué nos puedes decir desde la perspectiva de un bróker de seguros?

Actualmente el siniestro “de trámite” es prácticamente inexistente, en especial en ciberriesgos. La figura del “tramitador” de siniestros en un bróker de seguros es un perfil que, contrariamente a la percepción errónea que, lamentablemente, aún pueda persistir, no es una especie de teleoperador que se dedique simplemente a reenviar la información del asegurado a la aseguradora y viceversa. Se requieren perfiles técnicos, altamente especializados para cada ramo, con una buena formación de base y a los que se les debe proporcionar formación continua para estar siempre actualizados. El siniestro debe analizarse y estudiarse, se debe valorar las mejores opciones disponibles, dar respuestas y asesoramiento al asegurado, gestionarlo con la aseguradora y defender los intereses del asegurado desde el punto de vista técnico. Esto dista mucho de poderse calificar de mero trámite.

El siniestro o, más bien, su gestión y manejo, es el producto que tanto un bróker como una aseguradora, venden a sus clientes. El precio, la prima del seguro, sea más alta o más baja, es irrelevante si el manejo de los siniestros no está a la altura.

Pensemos, por ejemplo, en un siniestro de D&O, la Responsabilidad Civil de Administradores y Directivos. Si el directivo de la empresa asegurada recibe una querella y queda descontento con cómo le has ayudado, en tan difícil y delicada situación personal, no hay prima o gestión comercial que valga, le habrás perdido sin remedio, a él y a la empresa que dirige.

Por ese motivo, es necesario atraer el mejor talento, cuidarlo y que estos profesionales se coordinen. Un buen diseño de programa de seguros, con una gestión profesional de sus siniestros, es la receta ganadora. Son los dos ejes principales y hay que potenciarlos siempre.

 

8º ¿Cómo ves el sector asegurador en este momento con respecto a los seguros de ciberriesgos?

El sector ha “madurado” mucho y muy rápido en ese sentido, tras momentos bastante convulsos. Pienso que la pandemia del Covid-19 ha sido un punto de inflexión para ello y marcado, en gran medida, un antes y un después.

En general el mercado asegurador se ha endurecido considerablemente. Las primas son más altas, quizás por una mayor conciencia del grado de riesgo que las amenazas cibernéticas suponen, aprendido a base de grandes siniestros.

A su vez, los condicionados se han vuelto más restrictivos y los formularios más exigentes. En términos de suscripción, es todo un campo de batalla.

Por otra parte, los siniestros son mucho más conflictivos, muchas veces no tanto por la actitud que pueda tener la aseguradora hacia ellos sino porque, simplemente, son de tal complejidad por su naturaleza que la clave del siniestro y su resolución se encuentra en la determinación de matices técnicos que requieren análisis extremadamente profundos y minuciosos.

Por supuesto, en un escenario así, un bróker tiene que estar a la altura, para conseguir la mejor solución para cada asegurado.

 

9º ¿Crees que esta evolución del mercado es fruto de la experiencia adquirida por las aseguradoras en este ramo?

Es muy interesante ver cómo han evolucionado este tipo de seguros.

Cuando surgieron las pólizas de este tipo, todo el mercado quiso participar de la novedad, y muchas compañías carecían de los elementos de valoración necesarios para evaluar estos riesgos, resultando en pólizas con primas muy bajas, que acabaron cubriendo grandísimos siniestros, incluso otorgando coberturas de ciberriesgos en pólizas ajenas a este ramo, que no estaba previsto que amparasen este tipo de situaciones, pero sus condicionados obligaban a ello.

Esto fue yendo a menos con el tiempo, y la pandemia de Covid-19 terminó de hacer esta criba en el mercado asegurador.

Muchas compañías dejaron de ofrecer este tipo de producto, alejándolo de su apetito de riesgo y, las que lo han mantenido, se han visto obligadas a invertir muy fuertemente en atraer perfiles técnicos especializados y disponer de recursos tecnológicos adecuados para gestionar, tanto la suscripción, como los siniestros de esta tipología.

Es un tipo de seguro, que una aseguradora sólo puede ofrecer al mercado si realmente lo comprende y tiene los medios técnicos y los profesionales necesarios para ello, lo contrario sería una temeridad y, a medio plazo, un desastre.

10º ¿Qué escenario plantean los riesgos cibernéticos, en este momento, o en un horizonte temporal cercano?

Es un escenario tan cambiante, que las amenazas son acumulativas y que, además, se potencian entre sí.

Las mayores amenazas son las diferentes formas de extorsión cibernética, en particular el ramsonware, así como el phishing en todas sus formas y variantes, que se entrelazan con diferentes tipos de amenaza, como las suplantaciones de identidad o el robo de datos personales.

Cada vez es más frecuente ver amenazas híbridas, como un phishing que permite obtener credenciales, que son vendidas en la deep web a ciberdelincuentes que las emplean para llevar a cabo una intrusión en los sistemas de una empresa, entidad o institución y, a partir de ahí, generar toda clase de situaciones, como fraudes suplantando a esas entidades desde sus propios correos, hasta la encriptación de sus servidores y archivos o el sabotaje de sus operaciones.

La legislación en materia de protección de datos es especialmente exigente en Europa y muy dura en términos sancionadores, por lo que un incidente cibernético puede generar muchos problemas, especialmente si se evidencia una falta de la debida diligencia en la salvaguarda de esos datos.

Por otra parte, especial mención a la cuestión de la Inteligencia Artificial que, por sí misma, ya abre todo un abanico gigantesco de nuevos riesgos y, además, potencia los riesgos y amenazas existentes.

Con la inteligencia artificial, un ciberdelincuente puede suplantar muy fácilmente a una persona incluso generando material multimedia (audio, video, fotografías…) de apariencia realista, o automatizar infinidad de formas de envío masivo de correos fraudulentos, con apariencia legítima y adaptados a cada receptor sin necesidad de que el delincuente se esfuerce en ello.

El límite ya no está en la imaginación y creatividad de los delincuentes, sino en la de la propia máquina, virtualmente ilimitada.

Considerando la exponencialidad de todo ello, y el desarrollo de tecnologías emergentes como la computación cuántica, la evaluación y gestión del grado de exposición a los riesgos cibernéticos no puede analizarse como una imagen fija, sino que el análisis de este entorno de riesgo requiere actualización al mismo ritmo vertiginoso que sigue la evolución de las amenazas.

 

Compartir