Seguridad empresarial Por qué las organizaciones de todos los tamaños e industrias deberían explorar sus opciones de seguro cibernético como un componente crucial de sus estrategias de mitigación de riesgos 26 de junio de 2024 • , 5 min. leer Compensar el riesgo empresarial con seguros no es algo nuevo. Los primeros marineros que transportaban sus mercancías por todo el mundo hace cientos de años se enfrentaban a importantes riesgos de sufrir daños, robos y amenazas a sus vidas. Lloyd’s, el mercado de seguros que aún existe hoy, comenzó como una cafetería en Londres, popular entre marineros, armadores y comerciantes. Aquí podían adquirir seguros para cubrir sus barcos y cargamentos contra los peligros del mar. Para las empresas modernas, el riesgo puede, en la mayoría de los casos, ser menos físico, pero el impacto devastador de un incidente cibernético, por ejemplo, podría ser suficiente para obligar a una empresa a cerrar sus puertas y dejar de operar. Un incidente cibernético podría deberse a problemas imprevistos, como un corte de energía o de Internet, lo que resultaría en la interrupción de las operaciones comerciales normales, o podría deberse a un ataque cibernético. Mitigar los riesgos cibernéticos actuales requiere una inversión significativa en tecnología y recursos, y un elemento suele ser una póliza de seguro contra riesgos cibernéticos. Tener un seguro cibernético protege a una organización contra importantes finanzas en caso de que ocurra un incidente cibernético importante, como el ransomware. Seguros cibernéticos y ransomware El número de ataques cibernéticos está aumentando, a pesar de la intensificación de la legislación y la actividad policial. Un informe de NetDiligence revela que el ransomware representó el 85% de las reclamaciones de seguros cibernéticos entre 2018 y 2022. Y datos de Coalition, una aseguradora estadounidense, afirman que en 2023, el 40% de las empresas que reclamaron en su póliza de seguro de riesgos cibernéticos pagaron la demanda de extorsión. Las organizaciones están dispuestas a pagar el rescate para mitigar daños mayores. Y, a menudo, pagar el rescate resulta más rentable para la aseguradora, ya que los costos de recuperación suelen ser más altos que el costo del rescate. Sin embargo, dado que los ciberdelincuentes logran su objetivo principal de recibir pagos financieros, los ataques futuros son más probables y frecuentes. Cuando la póliza de seguro cibernético cubre a las empresas en los casos en que un reclamo resulta en pagos de extorsión a los ciberdelincuentes, existe el argumento de que las aseguradoras que cubren el costo del rescate podrían potencialmente financiar el próximo ciberataque. Como se indicó anteriormente, esto aumenta el riesgo, lo que a su vez obliga a aumentar las primas. Hasta donde yo sé, no existe otro tipo de seguro en el que la aseguradora financie el pago a quienes causan el reclamo y los reclamos futuros, pagando al pirómano, por así decirlo. ¿Qué determina la asegurabilidad de una organización? El mercado de seguros se basa en los datos y el conocimiento del riesgo que se está asegurando. En la mayoría de los mercados de seguros, existe un historial significativo disponible para que un asegurador tome una decisión informada sobre la probabilidad de que un incidente resulte en un reclamo. Si bien el seguro contra riesgos cibernéticos no es nuevo, las aseguradoras carecen de los datos necesarios para comprender completamente el riesgo. Esto ha dado lugar a que se presenten importantes reclamaciones y a que las aseguradoras tengan pérdidas o alcancen el punto de equilibrio durante varios años. Sólo en los últimos años las aseguradoras han obtenido ganancias de las pólizas de riesgo cibernético. Este cambio ha tenido un coste para los asegurados, tanto en aumento de primas como en los requisitos de las pólizas. El mercado de seguros cibernéticos ahora requiere que las empresas mitiguen el riesgo mediante la implementación proactiva de tecnologías de ciberseguridad para minimizar el riesgo de ataque. A su vez, esto minimiza el riesgo de reclamaciones contra la aseguradora. Los requisitos varían de una póliza a otra, y cuanto más sólida sea la postura de ciberseguridad, menor será la prima y más favorables serán las opciones de cobertura. ¿Qué buscan las ciberaseguradoras? Las tecnologías que buscan las ciberaseguradoras incluyen prácticas estándar de ciberseguridad, como procedimientos de copia de seguridad y restauración, así como capacitación regular en ciberseguridad para los empleados. Cuando se trata de lo que hace que un cliente potencial sea más asegurable, es la adopción de tecnologías avanzadas como la gestión de parches y vulnerabilidades, la segmentación de la red en consonancia con los principios de confianza cero, la detección y respuesta de terminales (EDR) y el uso de una solución de gestión de eventos de información de seguridad. (SIEM). Para entornos donde las empresas no tienen las habilidades internas necesarias para gestionar soluciones avanzadas de ciberseguridad, invertir en servicios gestionados como la detección y respuesta gestionadas (MDR) es un enfoque eficaz para reducir significativamente el riesgo. Por lo tanto, esto los hace más atractivos para los proveedores de seguros cibernéticos. Escuche nuestro nuevo podcast en el que el galardonado periodista de investigación, escritor y locutor Peter Warren conversa con Tony sobre por qué el seguro cibernético debería ser la nueva normalidad para las organizaciones. La necesidad de hacer que los seguros sean accesibles para todos El camino hacia estar asegurado puede ser complejo y requerir cuestionarios extensos y análisis de la postura en materia de ciberseguridad previos al seguro. Para muchas empresas más pequeñas esto puede ser una barrera, provocando una baja aceptación en el mercado por parte de las mismas empresas que probablemente se beneficiarían más de estar aseguradas. Una reclamación de seguro promedio por un ciberincidente en 2022, según NetDilligence, fue de alrededor de 180.000 dólares, una cantidad lo suficientemente alta como para causar graves daños a las finanzas de una empresa. El gobierno del Reino Unido ha intentado hacer que el seguro cibernético esté disponible incluso para las empresas más pequeñas a través de su esquema Cyber ​​Essentials, donde una empresa puede adoptar una postura mínima de seguridad cibernética y recibir la certificación con una póliza de seguro contra riesgos cibernéticos de £25,000. Para las pequeñas y medianas empresas, el problema no es sólo financiero, sino también de recursos. La falta de expertos capacitados en respuesta cibernética para hacer frente a las consecuencias de un ataque cibernético es algo que una póliza de seguro cibernético también puede cubrir. La aseguradora quiere que el negocio esté en funcionamiento lo más rápido posible. Proporcionar equipos de expertos para ayudar con una respuesta y recuperación eficientes minimiza las pérdidas financieras, reduciendo así la magnitud de un posible reclamo. Esta cobertura también puede incluir el acceso a asesoramiento legal, lo que podría reducir las reclamaciones por multas reglamentarias y minimizar las demandas colectivas. Otras partes afectadas por un ciberataque son los clientes de una empresa, ya sean consumidores u otra empresa. Tienen la expectativa de que sus transacciones y los datos compartidos con una empresa sean seguros. Se está volviendo común en los acuerdos y contratos entre empresas encontrar una cláusula de seguro contra riesgos cibernéticos que requiera cobertura de terceros en caso de que se produzca una violación de datos. Sumando una razón más para que las empresas cuenten con un seguro contra riesgos cibernéticos si aún no lo tienen. El seguro contra riesgos cibernéticos debería ser la nueva norma. El paso a un entorno más digital visto a nivel mundial significa que los ciberataques son una realidad en los negocios de hoy. Mantener una buena postura de ciberseguridad y compensar el riesgo con una póliza de seguro contra riesgos cibernéticos es ahora un costo de hacer negocios de la misma manera que las empresas se aseguran contra incendios y robos.