COBERTURA #67Destacados

La evolución del riesgo impulsa el mercado de los ciberseguros

Los suscriptores cambian su enfoque hacia los controles y la resiliencia

Por Brian Robb, Vicepresidente Senior, Jefe de Ciber/MPL/Tecnología, Berkshire Hathaway Specialty Insurance.

El mercado de seguros cibernéticos se ha corregido luego de algunos años.  Las organizaciones, sin importar su tamaño, que necesiten una cobertura se encuentran ahora obligadas a brindar más detalles sobre sus exposiciones y a responder a preguntas que los suscriptores no hubieran siquiera formulado en el pasado. Para entender por qué ha cambiado el mercado de seguros cibernéticos, se debe reconocer la enorme evolución del riesgo cibernético en sí mismo.

En 2015, el riesgo cibernético no estaba en mente de la mayor parte de las organizaciones, pero en los años posteriores, eso ha cambiado. El ciberriesgo se encuentra presente en la agenda de los consejos de administración y de la alta dirección de prácticamente todos los sectores. Hace 10 años, la mayor parte de los siniestros cibernéticos implicaba violaciones de datos, mientras que ahora el ransomware es responsable de la creciente frecuencia y gravedad de las pérdidas cibernéticas. Es importante tener en cuenta que el entorno de los ciberriesgos sufre cambios cada seis o doce meses, y el sector de seguros también debe cambiar para acompañar estos cambios. El mercado de ciberseguros se ha endurecido a causa del ransomware, y ha llevado a un reajuste de lo exigido por las aseguradoras desde el punto de vista del control.

Según el Estudio de Siniestros Cibernéticos de NetDiligence de 202, en los últimos 5 años y, basándose en el número de siniestros, las cinco principales causas de pérdidas para las PyMes, fueron las siguientes:

  •         Ransomware
  •         Hackers
  •         Compromiso del correo electrónico empresarial
  •         Errores del personal
  •         Phishing

NetDiligence descubrió también que estas cinco causas de pérdida representaban el 70% de los siniestros cibernéticos y el 80% de los costos totales del incidente.

El aumento de los ataques de ransomware desde 2016, ha puesto el foco de los suscriptores en la ciberseguridad y en los controles existentes, de manera de mitigar el impacto de los eventos cibernéticos. Aunque ninguna solución es perfecta ni puede eliminar el 100% del riesgo cibernético, las aseguradoras han comenzado a aplicar requisitos mínimos sobre los controles de riesgo. Por ejemplo, la autenticación multifactorial, la protección de los end-points y los firewalls son los requisitos mínimos a la hora de obtener una cobertura cibernética. Si una organización asegurada puede demostrar mayores recursos de mitigación, mejor.

La aplicación futura de la norma

Todos los estados de Estados Unidos han promulgado leyes de notificación de violaciones de datos, y otros estatutos, normas y leyes estatales, federales, locales y extranjeros relacionados con el riesgo cibernético y la privacidad de los datos que ya han entrado en vigencia o están a punto de hacerlo. Entre ellas se encuentran: el Reglamento General de Protección de Datos (RGPD) de la Unión Europea; la Ley de Privacidad del Consumidor de California (CCPA); y la Ley de Privacidad de la Información Biométrica (BIPA), que Illinois promulgó en 2008 y está inspirando leyes similares en otros estados. Estas leyes aumentan la posibilidad de que las autoridades reguladoras se centren en acciones aplicables en un futuro próximo. Algunos de estos estatutos, normas y leyes se han redactado pensando en las grandes empresas tecnológicas, sin embargo, pueden ser aplicables de igual manera a las PyMes. La aplicabilidad de la norma, incluidas multas y sanciones, suele desencadenar litigios privados, por lo que se espera que el riesgo de responsabilidad cibernética siga aumentando.

Prevención y resiliencia

Las herramientas y los datos disponibles para conocer el perfil de seguridad de una organización han mejorado mucho en los últimos años, lo que ha aumentado la probabilidad de que los suscriptores de ciberriesgos vean con buenos ojos el cumplimiento de las normas vigentes en el sector. Los profesionales del riesgo, cuyas organizaciones cumplen con los marcos de seguridad, como el Instituto Nacional de Normas y Tecnología (NIST) o la norma ISO 27001 para la gestión de la seguridad de la información, se encuentran mejor posicionados para su defensa ante las acciones de ejecución y los litigios, en caso de violación de datos.

Los gerentes de riesgo deben enfocarse, principalmente, en la prevención y la resiliencia, dado el aumento de ciber incidentes y el endurecimiento de los requisitos de suscripción presentados por las aseguradoras. Controlar los incidentes cibernéticos y minimizar su impacto es esencial para prevenir los trastornos y garantizar una rápida recuperación.

Periódicamente, los gerentes de riesgo deben reunirse con sus brokers para realizar una evaluación de situaciones de riesgo hipotéticas. Por ejemplo, ¿qué podría ocurrir si un mensaje de ransomware aparece en la pantalla de un usuario a las 10 de la noche? ¿Qué deben esperar los asegurados de la aseguradora? ¿Cuáles son los pasos a seguir ante un evento cibernético? Aquellas empresas que cuenten con estas respuestas de antemano, tendrán una mayor resiliencia y confianza en sus socios de riesgo.

FUENTE: info.businessinsurance.com