La dinámica cambiante de los seguros cibernéticos
Hace casi exactamente un año, los profesionales de la ciberseguridad se vieron envueltos en un acalorado debate sobre los seguros. Si bien algunos estaban ansiosos por señalar que el futuro de la industria necesitaría incluir algún tipo de mercado de seguros, otros argumentaron que el seguro cibernético nunca valdría la pena, especialmente dada la naturaleza inherentemente volátil de la seguridad cibernética.
La pandemia ha cambiado todo eso. Según el FBI, los ciberataques han aumentado casi 400% desde el inicio de la pandemia, y el 68% de las empresas han informado que han visto aumentos en el fraude. Además de este nivel de amenaza creciente, también hemos visto ataques a muchas empresas que anteriormente se consideraban de bajo riesgo, especialmente empresas medianas.
Esto ha llevado, como era de esperar, a un mercado en auge en los seguros cibernéticos. En este artículo, veremos cómo ha cambiado el mercado en los últimos 12 meses y hacia dónde irá desde aquí.
Amenazas crecientes
El estado actual de la industria de los ciberseguros se resume en dos informes recientes: uno de KPMG y otro de Allianz.
Ambos informes son una lectura aleccionadora. KPMG descubrió que el 74% de las empresas no tienen ningún tipo de seguro de responsabilidad cibernética. De los que sí la tienen, solo el 48 % creía que su cobertura cubriría el costo real de una infracción. Al mismo tiempo, informe de allianz indica que el nivel de riesgo que enfrenta la empresa promedio ha aumentado dramáticamente en el último año.
Este segundo informe, titulado Gestión del impacto del aumento de la interconectividad: tendencias en el riesgo cibernético, analiza 1736 reclamaciones de seguros relacionadas con la cibernética por valor de 660 millones de euros (770 millones de dólares estadounidenses) que involucran a AGCS y otras aseguradoras entre 2015 y 2020. Encontró un aumento del 70 % en el costo promedio de la ciberdelincuencia para una organización durante cinco años (ahora hasta a $13 millones) y un aumento de más del 60 % en el número promedio de violaciones de seguridad. Lo más revelador es que la cantidad de reclamos de seguros cibernéticos también está aumentando: hubo 809 reclamos de este tipo en 2019, pero en 2020, ya hubo 770 reclamos en los primeros tres trimestres.
Cambio de objetivos
Mire un poco más a fondo estos números y también verá que el objetivo «típico» de los piratas informáticos malintencionados, si es que se puede decir que tal cosa existe, está cambiando. Hace apenas unos años, la mayoría de los ciberdelincuentes se concentraban en violar las defensas de las grandes corporaciones que podían pagar grandes rescates por la devolución de sus datos. Esto condujo a una carrera armamentista entre empresas y delincuentes (a veces patrocinados por el estado), con grandes corporaciones expandiendo rápidamente su infraestructura de ciberseguridad.
Por ahora, parece que esto ha funcionado, pero son malas noticias para las empresas más pequeñas. Con las grandes empresas implementando sofisticados sistemas de ciberseguridad, los piratas informáticos malintencionados han centrado su atención en empresas más pequeñas y menos protegidas. como forbes reportado recientemente esto significa que las medianas empresas están bajo una amenaza mucho mayor en un momento en que muchas carecen de los recursos y la experiencia de seguridad necesarios.
Estas tácticas cambiantes se pueden ver en el trabajo de diferentes maneras. Amenazas como el siempre popular ransomware, que puede ser particularmente peligroso para las medianas empresas, son en aumento. Del mismo modo, el fenómeno del trabajo desde el hogar inspirado en Covid ha convertido las infraestructuras de apoyo, a veces improvisadas, en objetivos de alto riesgo.
Mientras que el uso de algunos herramientas defensivas ha aumentado a la prominencia en un intento de adelantarse a los ataques, la realidad es que todas las herramientas del mundo no ayudan mucho cuando los empleados no saben nada sobre cómo proteger su entorno de trabajo en el hogar contra los ciberdelincuentes, dejando que los equipos de TI de la empresa gasten todos los días luchando para apagar una procesión interminable de emergencias de seguridad.
El auge de los ciberseguros
Como era de esperar, las transformaciones que acabamos de mencionar han llevado a un mercado en auge para los proveedores de seguros cibernéticos. Naturalmente, un mayor nivel de amenaza impulsa la inversión en la industria, pero el mercado también se ha beneficiado del aumento de los ataques contra las empresas medianas. Estas empresas son más conscientes que nunca de los peligros del delito cibernético, en particular del impacto financiero que esto puede tener. Con recursos escasos, reclutar y contratar personal nuevo para los departamentos de seguridad cibernética a menudo no es un comienzo.
Todo esto ha llevado a un número cada vez mayor de organizaciones a cubrir el riesgo de ciberdelincuencia en un mundo post-Covid recurriendo a los seguros. Como resultado, actualmente se estima que el mercado global de seguros cibernéticos tiene un valor de $ 7 mil millones, según Munich RE pero está creciendo rápidamente.
Esa es una gran noticia para las compañías de seguros, por supuesto, pero puede no serlo tanto para las empresas que buscan protegerse de los piratas informáticos malintencionados. Subcontratar la ciberseguridad es una forma natural para muchas pequeñas y medianas empresas de garantizar la protección, pero las empresas de este tipo también deben ser conscientes de que los seguros cibernéticos no son una panacea cuando se trata de protección contra delincuentes.
Esto se debe a que el mercado aún es relativamente joven y las políticas aún no se han estandarizado lo suficiente como para que las personas ajenas a la industria de la ciberseguridad las entiendan fácilmente.
Hay preocupaciones planteadas por los ingenieros de seguridad cibernética sobre lo que están cubiertos en estas pólizas y lo que no, incluido el hecho de que la causa más común de las infracciones cibernéticas, el error de los empleados, parece estar explícitamente excluida como base para un reclamo en muchas pólizas. Del mismo modo, no parece que un pago único de una póliza de seguro sea suficiente para que las empresas sufraguen el costo de un incidente cibernético porque el impacto de la pérdida de datos del cliente puede durar años y es difícil de calcular.
Conclusiones
Dicho esto, el seguro cibernético puede ser una forma extremadamente efectiva para que las pequeñas empresas compensen el riesgo de la pandemia, incluso si no se puede mitigar por completo. No es probable que cambie la necesidad de tener empleados que trabajen desde casa, al menos en el corto o mediano plazo. Siempre que tanto el asegurado como la aseguradora puedan acordar un perfil de amenaza razonable, así como acordar explícitamente qué nivel de cobertura se requiere, no hay razón para evitar contratar este tipo de protección.
Y puede ser que, mirando hacia el futuro inmediato, la pandemia resulte ser un período positivo para la industria de seguros cibernéticos; a medida que aumenta la demanda, esto impulsará la competencia en un mercado que, hasta hace poco, era visto con escepticismo por muchos en la industria de la tecnología.