El mercado mundial de seguros cibernéticos tendrá un valor de US$20.000mn en 2025, según investigadores de Statista. Eso es un aumento de poco menos de $ 8 mil millones en 2020.
El seguro cibernético es ahora una forma muy común para que las empresas, especialmente las organizaciones más grandes, se protejan contra los ataques cibernéticos. Como dice un experto, “todo el mundo lo tiene”, al menos entre las grandes empresas. Y los planes de seguro cibernético dedicados también se están volviendo más comunes entre las pequeñas y medianas empresas (PYME).
La publicidad en torno a los ataques cibernéticos, en particular el ransomware, ha generado interés en los seguros cibernéticos. Pero si bien los CISO y los CIO ven cada vez más los seguros como parte de su marco de seguridad cibernética, esto no está exento de problemas. Las primas aumentan, las aseguradoras excluyen más riesgos, incluidos actos de guerra y ransomware, y los asegurados pueden verse obligados a adoptar medidas de control onerosas para obtener la cobertura que necesitan.
Heidi Shey, analista principal de Forrester, dice que ha habido un “endurecimiento del mercado” recientemente, y algunas aseguradoras, como AXA France, se niegan a cubrir el ransomware.
Al mismo tiempo, hay informes de que los grupos de ransomware persiguen activamente a las empresas con seguros cibernéticos e incluso presentan sus demandas justo por debajo de los límites máximos en cualquier póliza.
“La principal tendencia que hemos visto en los últimos 12 meses es una reducción en el límite de indemnización (la cantidad máxima que pagará una aseguradora en virtud de una póliza) y el aumento del costo del seguro cibernético debido a las pérdidas de ransomware que afectan la cartera de seguros cibernéticos de casi todas las aseguradoras”, dice Simon Gilbert de los corredores de seguros Elmore. Todo esto puede dificultar la obtención de la cubierta adecuada.
¿Qué es un ciberseguro?
El seguro cibernético viene en dos formas principales: una póliza independiente, o como cobertura dentro de la interrupción del negocio, o incluso, para empresas más pequeñas, un seguro general.
En el nivel más básico, el seguro cibernético paga una suma acordada para ayudar a las empresas a emprender acciones correctivas y restaurar los servicios. Pero el mercado es complejo. Algunas políticas, por ejemplo, excluyen la pérdida de dinero a través del compromiso del correo electrónico comercial. La cobertura por pérdida de datos del cliente o reclamos de compensación también varía ampliamente, como lo señala el Centro Nacional de Seguridad Cibernética (NCSC) en su guía de seguros cibernéticos.
“Los seguros cibernéticos existen desde hace unos 20 años y, al principio, la atención se centró en las filtraciones de datos y el robo de datos”, dice Matthew Martindale, socio especializado en seguridad cibernética y el sector financiero de la consultora KPMG. “Pero en los últimos tiempos, ha habido un enfoque masivo en el ransomware. Eso ha impulsado cambios en la cobertura, con un mayor enfoque en la interrupción del negocio”.
Esto ha llevado a que los seguros cibernéticos proporcionen más que pagos en efectivo. Las aseguradoras ofrecen una variedad de servicios de gestión de incidentes y respuesta a incidentes, desde comunicaciones y asistencia legal hasta análisis forense digital. Esto puede extenderse para ayudar a lidiar con las consecuencias de una violación de datos o investigaciones de fraude.
Algunas aseguradoras también ofrecen consultoría en ciberseguridad y asesoramiento en gestión de riesgos durante el periodo de cobertura. Estos servicios pueden ser muy útiles, especialmente para empresas con capacidades de seguridad cibernética limitadas o nulas. Sin embargo, para organizaciones más grandes o más maduras, esto podría simplemente duplicar o incluso complicar los planes de respuesta a incidentes existentes.
Desafíos de seguros
Aunque se espera que crezca el mercado de seguros cibernéticos, cada vez es más difícil para las organizaciones contratar la cobertura adecuada.
El principal de los desafíos es el costo. Las primas están aumentando y la cobertura es más restringida. Además, las aseguradoras pueden buscar medidas de seguridad y cumplimiento que algunas empresas no pueden pagar.
“Diría que las primas están aumentando, y creo que esa tendencia llegó para quedarse porque el panorama técnico y legal se está volviendo cada vez más complejo”, dice Ilia Kolochenko, fundadora de la firma de seguridad Immuniweb. Señala el aumento de las multas en virtud de las leyes de protección de datos como un riesgo cada vez mayor, con algunas aseguradoras que se niegan a suscribir nuevos negocios.
Aconseja a los CISO que tengan mucho cuidado con la forma en que se redactan los contratos de seguro cibernético, ya que la falta de atención a los detalles puede hacer que las empresas no tengan la cobertura que pensaban que habían comprado.
“Los errores más frecuentes que observamos es que tiene demasiadas exclusiones o que la política usa un lenguaje demasiado amplio”, dice Kolochenko. Esto lleva a que las aseguradoras se nieguen a pagar.
Y, como señala el NCSC, las amenazas cibernéticas cambian rápidamente. Los CISO deben verificar si la cobertura se aplica a amenazas nuevas o emergentes. Si no es así, la política podría tener un uso más limitado.
Otro problema es la necesidad de que las organizaciones implementen medidas específicas de seguridad cibernética antes de que puedan comprar cobertura. Muchas de estas medidas son pasos que las empresas responsables tomarán de todos modos, pero otras son demasiado onerosas, costosas o de valor práctico discutible.
Este es un desafío particular para las empresas más pequeñas, dice Muttukrishnan Rajarajan, miembro del Chartered Institute of Information Security y profesor de ingeniería de seguridad en City, University of London.
“Los errores más frecuentes que observamos es que tiene demasiadas exclusiones o que la política utiliza un lenguaje demasiado amplio”
Ilia Kolochenko, Immuniweb
“Incluso cuando las pymes conocen los seguros, el mayor desafío que veo al interactuar con ellas es que se ven obligadas a perfeccionar su higiene cibernética y una certificación segura como Cyber Essentials Plus incluso antes de intentar obtener un seguro cibernético”, dice Rajarajan.
“En muchos casos, simplemente no tienen los recursos o el presupuesto para abordar los desafíos e implementar controles, lo que los deja sin seguro, ya sea por una falta de voluntad para asegurarse o por primas prohibitivamente altas”.
Las empresas más grandes se enfrentan a sus propias dificultades. “Hoy en día, es un desafío obtener un seguro cibernético ya que las aseguradoras traen un equipo rojo o evaluadores de penetración para evaluar los programas de seguridad del cliente potencial para garantizar que cumplan con un nivel de estándares de seguridad cibernética”, dice James McQuiggan, defensor de la conciencia de seguridad en KnowBe4.
Estas pruebas se realizarán antes de acordar cualquier póliza. Incluso entonces, es probable que la cobertura de la póliza sea más baja que en 2019, dice McQuiggan. Señala que las políticas aumentaron en aproximadamente un 50 % de 2018 a 2019, y las empresas ahora están viendo “entre un 5 % y un 18 % de aumento cada trimestre, debido a los ataques de ransomware”.
Otros observadores de la industria están viendo problemas similares. “Las inclusiones poco realistas o innecesarias en las listas de verificación de seguros cibernéticos son un desafío para los CISO”, dice Rob Demain, director ejecutivo de la firma de seguridad e2e-assure. “Por ejemplo, una lista de verificación podría preguntar si una empresa aplica parches de seguridad dentro de los 30 días posteriores al lanzamiento. No todas las empresas necesitarán todos los parches y es posible que no puedan aplicarlos en un plazo de 30 días. Otra lista de verificación podría decir que la empresa necesita tener un SIEM [security information and event management] monitoreado 24/7 por un SOC [security operations centre]. La compra, puesta en marcha y gestión de un SIEM, así como la implementación de una respuesta 24/7, podría suponer un gasto de 250 000 libras esterlinas para el que las organizaciones simplemente no tienen presupuesto”.
Algunas grandes aseguradoras aprueban solo el 5% de los solicitantes, dice Demain. “Ese pequeño porcentaje también debe cumplir con las normas durante todo el año, lo cual es difícil de lograr con una evaluación continua y estricta”, agrega. Sin embargo, esto no significa que el seguro cibernético no tenga valor.
Cómo hacer que el seguro cibernético funcione
El mercado de seguros cibernéticos ciertamente sufre debido a su complejidad, y tanto las aseguradoras como sus clientes han dificultado las cosas al usar pólizas para pagar las demandas de ransomware.
“La buena noticia es que, en la mayoría de los casos, las aseguradoras están dispuestas a cubrir el límite total de la interrupción del negocio por ataques de ransomware”, dice el corredor Simon Gilbert. “Son las demandas reales de rescate las que más se han retrasado”.
Pero incluso cuando las pólizas son más caras y más restrictivas, siguen siendo valiosas. Las empresas necesitarían una actitud muy fría frente al riesgo cibernético para no tener ningún tipo de seguro.
Sin embargo, los CISO y los oficiales de riesgo deben ser realistas con sus directorios sobre lo que las políticas pueden y no pueden hacer. A pesar de todas las pruebas y consejos previos al contrato, el seguro cibernético no detendrá los ataques. Tampoco puede evitar la pérdida de negocios o el daño a la reputación.
Como dice un experto en seguros, una póliza cibernética es un “respaldo”. Debe prevenir una pérdida que amenace la existencia del negocio. Las juntas pueden ajustar el nivel de cobertura que necesitan y las primas que pagarán, de acuerdo con su propio apetito por el riesgo.
“Tener un seguro cibernético no detendrá un ataque cibernético, pero ayudará a que una empresa se recupere más rápido y, en la mayoría de los casos, evitará fallas catastróficas”, dice Gilbert.
“Muchas organizaciones usaban el seguro como una especie de muleta, que les permitía avanzar cojeando y evitar hacer algunos cambios tecnológicos difíciles”
Matt Middleton-Leal, Qualys
Y las empresas pueden hacer mucho para poner sus propias casas en orden. En los últimos años, ciertamente antes de la pandemia, algunas organizaciones confiaron demasiado en los seguros cibernéticos para cubrir los riesgos que podrían, y posiblemente deberían, haber mitigado por sí mismos.
En parte, esto se debió a la falta de recursos y habilidades, dice Matt Middleton-Leal, director gerente para Europa, Medio Oriente y África (EMEA) norte del proveedor Qualys. “Creo que el desafío es que muchas organizaciones usaban los seguros como una especie de muleta, que les permitía avanzar cojeando y evitar hacer algunos cambios tecnológicos difíciles”, dice.
“Hay alrededor de 185.000 vulnerabilidades en el mundo en este momento. Pero si lo reduce en términos de los riesgos asociados, se reduce probablemente a 30, 40 o 50, que son cosas que las organizaciones deben corregir, y que evitarán que ocurran infracciones en todos, obviamente, pero en un enorme numero de casos.”
Middleton-Leal agrega: “La reducción del riesgo general al hacerlo, en comparación con la compra de un seguro, es mucho mayor. Pero las organizaciones no lo han estado haciendo porque no han podido obtener esos datos y asociarlos con el riesgo correspondiente”.
Esta es un área en la que las aseguradoras y los CISO podrían trabajar más estrechamente. Las aseguradoras quieren suscribir pólizas que sean rentables, al menos a medio y largo plazo. Las empresas necesitan una cobertura que las proteja de las peores consecuencias de los ataques cibernéticos y que permita a los directorios compensar los riesgos que no pueden asumir o mitigar internamente.
En última instancia, el seguro cibernético se trata tanto de la gestión de riesgos de una organización como de la protección de sus sistemas o datos.
“Según mi experiencia, los asegurados aún tienen más trabajo por hacer para que entiendan y expresen su riesgo cibernético a sus comités ejecutivos y juntas”, dice Martindale de KPMG. “¿Cuál es el riesgo que asumimos, cuál es el riesgo al que creemos que podemos llegar y cuál es nuestra tolerancia al riesgo?”
Responder esas preguntas ayudará a los CISO a aprovechar al máximo cualquier cobertura cibernética.
