Una buena higiene cibernética y una sólida cultura de gestión de riesgos es el enfoque obvio a seguir si quiere tratar de evitar ser una de esas noticias de “la empresa X acaba de ser pirateada” que vemos cada vez más. Pero incluso si usted es una de las organizaciones afortunadas que toma todas las medidas proactivas correctas, y perdone mi pesimismo, estoy convencido de que la mayoría, si no todos, los líderes de seguridad estarán hablando de cuando – y no si – su organización se enfrentará a un incidente durante algún tiempo.
Con eso en mente, muchas organizaciones están recurriendo a los seguros cibernéticos para transferir parte de su riesgo y obtener un acceso rápido al soporte especializado en caso de que suceda lo peor. ¿Es este un uso efectivo de su escaso presupuesto? O un caso de tirar el edredón sobre tu cabeza porque escuchaste un ruido abajo (porque, por supuesto, estás muy seguro debajo de ese edredón!)?
El mercado de seguros cibernéticos tenía un valor aproximado de $ 7 mil millones en 2020. Se espera que esto se triplique a más de $ 20 mil millones para 2025. A pesar del crecimiento proyectado, el mercado aún carece de madurez y los suscriptores se han visto expuestos a pérdidas por falta de conocimiento.
Determinar la probabilidad de que una organización sufra un ataque y su posible impacto está plagado de incertidumbre y especulaciones, a diferencia de los métodos más maduros para determinar la probabilidad de que un conductor de automóvil sufra un accidente, por ejemplo. El delito cibernético ha aumentado a niveles vertiginosos, con el 66% de las organizaciones encuestadas sufriendo un ataque de ransomware en 2021, un aumento del 78% en el transcurso de un año. La desestabilización geopolítica, una pandemia y una crisis del costo de vida son solo algunas de las razones del aumento. Si una organización tiene que presentar un reclamo sobre su póliza, se ha observado que la liquidación promedio de reclamos es de alrededor de $ 5 millones, según un análisis realizado en 2020, lo que resulta en que algunas pólizas tempranas se conviertan en pérdidas para sus suscriptores.
Esto ha llevado a la volatilidad tanto del costo de la prima y cobertura ofrecida. Las primas del año pasado experimentaron un aumento interanual del 92 % solo en EE. UU., según el Wall Street Journal (lo que explica en parte el crecimiento esperado en el mercado como se mencionó anteriormente). Abundan las condiciones más estrictas de elegibilidad y cobertura entre los suscriptores que buscan administrar pérdidas potenciales.
Las organizaciones que no pueden demostrar los niveles más básicos de control ahora se ven rechazadas o enfrentan primas que son simplemente demasiado altas. Los cuestionarios y evaluaciones previas que forman parte de la aplicación de la política se han vuelto más granulares que nunca, con un miembro de la ISF describiendo el proceso como una “auditoría absoluta”.
Si bien las aseguradoras están creando importantes cachés de datos que describen el mercado, todavía no hemos visto reducciones de costos a gran escala u optimizaciones de productos que se transmitan al consumidor. Las aseguradoras también están aprovechando las herramientas de descubrimiento automatizado que proporcionan una “tarjeta de puntuación” que describe la postura de seguridad de una organización, las mismas herramientas que se utilizan para gestionar el riesgo de la cadena de suministro. Muchos proveedores trabajan arduamente para garantizar que sus cuadros de mando estén en orden. Debe tener en cuenta que estos detalles iniciales de su organización también podrían influir en su prima. Puede ser útil asegurarse de que este resumen sea continuamente preciso, tanto en términos de puntuación como de contexto.
El nivel de cobertura proporcionado puede variar de una póliza a otra. En términos generales, se brinda cobertura para pérdidas propias, costos incurridos directamente por el tomador de la póliza y pérdidas de terceros, para administrar los costos de terceros debido al incidente en sí. Esto nos lleva al tema de la letra pequeña.
Ha habido algunos problemas de crecimiento en lo que respecta a la interpretación de la redacción de la póliza, en particular con respecto a las limitaciones y las excepciones de cobertura definidas. Uno de los ejemplos más notables de esto es Merck & Co vs Ace American Insurance, una disputa sobre el uso de una limitación de “acto de guerra” para repudiar un reclamo de seguro luego del incidente NotPetya de 2017, que se atribuyó a la inteligencia militar rusa como parte de su conflicto en curso con Ucrania.
Una larga disputa legal terminó a favor de Merck, y el tribunal dictaminó que las exclusiones de guerra, que han existido durante mucho tiempo en los productos de seguros más tradicionales, estaban destinadas a aplicarse solo a los conflictos armados. Un caso similar presentado por Mondelez International aún está en curso en los tribunales estadounidenses. Se ha emitido un conjunto de cláusulas modelo de Lloyd’s Market Association para brindar claridad a las políticas futuras, y podemos esperar ver ejemplos de más desafíos legales y, con suerte, una mayor estandarización de las cláusulas en el futuro.
En los últimos años, las pólizas han comenzado a incluir servicios complementarios para ayudar a las organizaciones a administrar de manera proactiva su riesgo cibernético, lo que enriquece el valor de tener una póliza más allá de la protección contra pérdidas. Los servicios pueden incluir, por ejemplo, soporte con planificación de respuesta a incidentes, informes de referencia y evaluaciones de madurez, y servicios de consultoría.
Si bien el uso de estos servicios queda a discreción del titular de la póliza, las aseguradoras están demostrando un deseo de comprometerse con los titulares de pólizas a un nivel más profundo y proactivo, con la idea de que una relación progresiva que apoye la noción de prevención en lugar de cura demostrará ser más beneficioso tanto para el asegurado como para el suscriptor a largo plazo. Esto tiene sentido, pero tomará tiempo construir los cimientos de confianza mutua y transparencia para que este enfoque prospere.
Lo he dicho antes y lo diré de nuevo: siempre es mejor prevenir que curar cuando se trata de cibernética. Los servicios complementarios que se agregan a los productos de seguros cibernéticos hacen que la propuesta total sea cada vez más atractiva, y es prometedor ver que el mercado está comenzando a estandarizar los términos y ofrecer una gama más diversa de productos para satisfacer las diferentes necesidades comerciales, pero todo sigue siendo un costo considerable.
Debe haber una gestión de expectativas concreta al respaldar cualquier decisión de invertir o no en una póliza de seguro cibernético. No hay sustituto para la gestión proactiva del riesgo de seguridad cibernética, y si decide invertir, el seguro cibernético ciertamente debería ser su último recurso: no es su primera y única respuesta a cómo administrar las amenazas de nivel de extinción para su negocio.
