Con el aumento de los ciberataques, los seguros cibernéticos tienden a volverse más accesibles para organizaciones de todo tamaño y sector
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.
En la actualidad, existen aseguradoras que ofrecen seguros contra ciberataques como una parte activa y creciente de este sector. Estas pólizas, conocidas como seguros cibernéticos o de seguridad cibernética, están diseñadas para ayudar a las empresas y organizaciones a mitigar los riesgos y los costos asociados con incidentes de ciberseguridad, como ataques de ransomware, violaciones de datos y otros tipos de ciberataques.
En este sentido, un seguro cibernético debería ser una prioridad en este panorama empresarial, sin embargo, con demasiada frecuencia es una excepción. No hay otro producto de seguro en el que tan pocos tengan cobertura pero tantos la necesiten.
De acuerdo con un análisis de la unidad de investigación de SILIKN, el mercado global de seguros cibernéticos fue de $16.28 mil millones en 2022 y se proyecta que crecerá a $94.13 mil millones para 2030. Muchas empresas no están seguras de cuánto seguro cibernético necesitan y, lo que es más crítico, las aseguradoras no están seguras de cómo se ve el panorama de riesgos para una empresa individual que busca cobertura.
Este cálculo incorrecto del riesgo ha provocado enormes pérdidas y ha cambiado el panorama del mercado de seguros cibernéticos. Pero, la cobertura de seguro no es necesariamente difícil de obtener: una empresa con una postura de seguridad madura probablemente pueda obtener múltiples cotizaciones sin problemas. Sin embargo, sectores específicos con posturas de seguridad históricamente deficientes, como la educación, o sectores altamente dirigidos, como los desarrolladores de software, pueden tener algunos obstáculos por solucionar.
¿Cuál es la situación en este momento?
El mercado de seguros cibernéticos ha pasado rápidamente de un ciclo suave, caracterizado por primas más bajas y límites más altos, a un ciclo duro. Este cambio resultó en un aumento exorbitante de las primas de seguro.
Algunas empresas se sorprendieron cuando sus pólizas aumentaron drásticamente a pesar de que nada cambió en su extremo. Pero la mayoría de las compañías de seguros vieron más demanda que oferta, y el riesgo aumentó a medida que se presentaron más reclamos. De acuerdo con datos del sector, el ransomware representó aproximadamente el 17.9% de las brechas en 2020 y aumentó al 34.6% en 2022 y al 48.1% en 2023. Las aseguradoras aumentaron las tarifas en consecuencia.
Esas tarifas finalmente disminuyeron un 12.5% en el tercer trimestre de 2023, en parte porque las compañías de seguros exigieron a sus clientes que implementaran mejores protecciones. Las compañías de seguros deben destacar en la gestión de riesgos para ofrecer tarifas competitivas. Esto permite a la aseguradora aceptar el riesgo y garantizar que los precios no tengan que aumentar a un punto que haga que la empresa no sea competitiva.
Cuando el mercado comenzó hace menos de una década, solo las grandes empresas buscaban cobertura. Los aseguradores quieren estabilidad, contabilidad equilibrada, con unos pocos riesgos grandes y muchos pequeños, pero el mercado demandaba más de la mitad de eso. Las empresas de gran tamaño buscaban cobertura, mientras que las pequeñas y medianas empresas (PyMEs) estaban rezagadas.
Las empresas tecnológicas de gran tamaño tenían procesos de gestión de riesgos a nivel de junta directiva que les exigían buscar seguros cibernéticos. Las PyMEs no conocían sus amenazas, y sus riesgos no se consideraban inminentes. La dinámica cambió cuando el panorama de amenazas cambió y el seguro cibernético se volvió más accesible con ofertas que tenían sentido para las PyMEs. De acuerdo con estudios del sector, las grandes empresas representaron solo el 3.04% de los reclamos cibernéticos de 2017 a 2022, pero esos reclamos representaron el 64.8% de los costos totales de incidentes.
En la actualidad, las grandes empresas exigen a sus socios más pequeños que tengan seguro cibernético, y los brokers y agentes pueden ser demandados por negligencia si no lo ofrecen a sus clientes. Algunos brokers y agentes hacen que sus clientes firmen una renuncia si no compran la póliza, diciendo que al menos la ofrecieron.
Con estas fuerzas impulsando el mercado, vemos que cada vez más pequeñas empresas recurren al seguro cibernético.
Ahora, cuando las compañías de seguros tienen una capacidad limitada, eligen clientes con menor riesgo. Las empresas de bajo riesgo toman medidas para minimizar su exposición. Tradicionalmente, ha sido difícil demostrar dónde están esas exposiciones, y mucho menos si se han mitigado.
La tecnología está cambiando esto. Las empresas ahora tienen mejores formas de entender dónde fortalecer su postura de seguridad, y las compañías de seguros tienen nuevos métodos para determinar cuán riesgoso es su posible cliente.
Estos datos capacitan a los aseguradores para mitigar el riesgo que afectaría a las pólizas y ofrecen estrategias de mitigación para las empresas que buscan cobertura. Estos esfuerzos promueven una postura de seguridad endurecida, lo que significa un menor riesgo para las compañías de seguros para que puedan ofrecer primas competitivas. Esto se traduce finalmente en índices de pérdidas más bajos y una mayor rentabilidad para toda la industria. Esto, a su vez, permite tasas más asequibles para las empresas.
En poco tiempo, el seguro cibernético ha pasado de ser un producto de nicho a una industria multimillonaria. Al utilizar datos para la suscripción de pólizas, las compañías de seguros cibernéticos pueden ofrecer la cobertura que muchos desean sin un precio que los aleje.
El punto es que dado el aumento en los ciberataques y la creciente conciencia de los riesgos cibernéticos, muchas empresas están optando por adquirir seguros cibernéticos como parte de su estrategia de gestión de riesgos. Sin embargo, es importante que las organizaciones comprendan los términos y las limitaciones de su póliza, así como la importancia de mantener prácticas sólidas de seguridad cibernética como complemento de la cobertura del seguro.
Para más información, visite: https://www.silikn.com/