La cantidad de organizaciones que no podrán pagar un seguro cibernético, terminarán con una cobertura insuficiente o se les negará una póliza por completo parece que se duplicará en los próximos 12 a 18 meses, como una combinación de una regulación global más estricta y una amenaza creciente. los volúmenes pasan factura.
Esto es según Huntsman Security, especialista en monitoreo y gestión de riesgos con sede en Australia, que hoy advierte que esto significa que las organizaciones ya no podrán confiar en las pólizas de seguro cibernético como una bala de plata en caso de un incidente grave.
El CEO de Huntsman, Peter Woollacott, dijo que los cambios regulatorios recientes y futuros, como las nuevas leyes de la UE, las revisiones del marco cibernético de NIST, las demandas más estrictas de la Autoridad de Conducta Financiera y la nueva guía de la Oficina del Comisionado de Información, significan que el riesgo es cada vez más difícil de cuantificar y probar el cumplimiento es un trabajo cada vez más exigente.
“Factores como la crisis de la cadena de suministro, la inflación y la escasez de habilidades se suman a la dificultad para las organizaciones que intentan ejecutar su estrategia de seguridad cibernética”, dijo. “Al mismo tiempo, los aumentos en las primas de seguros, los límites en la cobertura, el aumento del rigor de suscripción y las limitaciones de capacidad están limitando la accesibilidad de los seguros cibernéticos para muchos.
“Los índices de siniestralidad no mejorarán hasta que los ingresos por primas coincidan mejor con el nivel actual de pagos”, dijo Woollacott. “Con este acceso reducido al seguro junto con el aumento de las amenazas cibernéticas y las regulaciones más estrictas, muchas organizaciones están perdiendo el seguro cibernético como una herramienta importante de gestión de riesgos. Incluso aquellos que aún pueden obtener un seguro están pagando un costo prohibitivamente alto”.
Con al menos un tercio de las empresas del Reino Unido experimentando algún tipo de ataque cibernético cada semana, el seguro cibernético se ha convertido en un elemento crítico de las estrategias generales de gestión de riesgos, como exploró anteriormente Computer Weekly, y si bien es cierto que las aseguradoras buscan mejorar la calidad de la información de riesgo para que las primas reflejen mejor el verdadero costo del riesgo, a menos que las organizaciones puedan demostrar que cuentan con los controles especificados por la aseguradora para administrar dicho riesgo, las aseguradoras seguirán teniendo dificultades para cuantificarlo.
Por lo tanto, dijo Huntsman, las aseguradoras están cambiando la base sobre la que ofrecen sus pólizas para reflejar con mayor precisión el riesgo que se suscribe, y en ese entorno, mejorar y demostrar la eficacia de los controles de seguridad propios será aún más esencial para las organizaciones que desean la mejor oportunidad de obtener una póliza apropiada.
Dichos controles variarán naturalmente entre las políticas, pero es probable que incluyan la implementación de autenticación multifactor, protección de punto final, derechos de administración restringidos, aplicación de parches, capacitación y concientización del personal, copias de seguridad periódicas y resiliencia comercial comprobada y planificación de recuperación ante desastres.
Es probable que esta recalibración también centre el riesgo de terceros que emana de las cadenas de suministro, dijo Woolacott. “Las organizaciones no solo deben protegerse a sí mismas, sino asumir la responsabilidad de garantizar que sus proveedores, socios y partes interesadas hagan lo mismo”, dijo.
“La mejor manera de lograr esto es seguir las mejores prácticas de gestión de riesgos para garantizar que su organización emplee controles de seguridad efectivos para identificar y gestionar rápidamente cualquier riesgo cibernético emergente. Esto brindará a las empresas la mejor oportunidad de identificar posibles puntos débiles de seguridad cibernética y, si sucede lo peor, aún podrán beneficiarse de una póliza de seguro cibernético rentable que financie actividades de contención y recuperación”.
Si otras líneas de seguros sirven de guía, dijo Huntsman, la adopción de controles y gestión de riesgos de seguridad adecuados empujará a las aseguradoras a mejorar sus modelos de fijación de precios de riesgo, recompensando a aquellos que han hecho el esfuerzo con precios más favorables.
“En este momento, el sector de los seguros cibernéticos está impulsando los controles de seguridad en todo el mundo”, dijo Woollacott. “E incluso cuando los legisladores, los reguladores y los tribunales se hayan puesto al día, seguirán siendo las aseguradoras que busquen mejorar la calidad de su información de fijación de precios de riesgo las que establecerán los términos de seguridad.
“Las organizaciones deben asegurarse de que pueden aprovechar cualquier mejora en términos ofrecidos al mejorar sus controles y postura de seguridad”.
