Seguro de ciberseguridad: por qué rara vez basta
Seguro de ciberseguridad: por qué rara vez basta
Escribe Helen Yu*
Si el titular le hace preguntarse si me he vuelto pesimista (¡nunca!), la cuestión más importante es que la ciberseguridad moderna no es algo que se pueda marcar con un simple clic.
Al igual que cualquier póliza de seguro que podamos adquirir para proteger nuestra casa o nuestro coche, transferir el riesgo es una tentadora estrategia de confianza.
Seguro de ciberseguridad: por qué rara vez basta. Helen Yu, CEO de @Tigon Advisory Corp.
En ese sentido, una póliza de seguro cibernético puede parecer algo que se hace una sola vez, pero no es así.
Los actores maliciosos tienen muchos canales para comunicarse entre sí. No están simplemente “ahí fuera”.
Podrían estar sentados a su lado en la próxima gran conferencia sobre ciberseguridad.
- Seguro de ciberseguridad: por qué rara vez basta
Según la Interpol, hay un aumento “sin precedentes” de los delitos cibernéticos, con un ataque cada 39 segundos. Las amenazas evolucionan constantemente, lo que hace que la ciberseguridad sea un problema complejo de resolver en cualquier momento. ¿A qué se debe esto?
Porque la tecnología también evoluciona.
- Tecnologías emergentes y seguros de ciberseguridad
Las tecnologías emergentes han cambiado desde hace mucho tiempo la forma en que trabajamos y nos divertimos. Son, sencillamente, la próxima novedad: el automóvil en lugar de un carruaje tirado por caballos o la electricidad en lugar de la iluminación a gas.
Las tecnologías emergentes, si bien son innegablemente útiles, agregan nuevos riesgos junto con recompensas. Las tecnologías emergentes actuales no son una excepción.
Por ejemplo, la computación cuántica plantea una amenaza a las metodologías de cifrado de uso común.
La IA generativa (GenAI) agrega más complejidad y permite que los actores maliciosos actúen más rápido debido al aumento de las superficies de ataque.
Las redes 5G, si bien manejan hábilmente más dispositivos y datos, también presentan más riesgos potenciales de seguridad.
¿Qué tienen que ver las tecnologías emergentes con el seguro cibernético? Existen 17 categorías de seguridad, desde seguridad de red hasta API, con muchos subgrupos debajo de cada una.
Una empresa debe preguntarse:
- ¿La póliza cubre las 17 categorías?
- ¿Qué está calificado para la cobertura?
- ¿Qué brechas de ciberseguridad existen?
- ¿Cuál es la higiene básica de nuestra empresa?
- ¿Qué debemos hacer antes de contratar un seguro?
Existen muchos matices. La necesidad de un seguro cibernético está creciendo junto con los ataques digitales actuales.
Swiss Re, una compañía de reaseguros con sede en Zúrich, Suiza, ha publicado un blog completo sobre el seguro cibernético titulado “Reality Check on the Future of the Cyber Insurance Market” (Control de la realidad sobre el futuro del mercado de seguros cibernéticos).
Sus hallazgos se basan en el lago de datos cibernéticos de Swiss Re, que representa alrededor del 70% del mercado mundial de seguros cibernéticos.
Según una investigación del equipo de ciberseguridad de Swiss Re, el mercado cibernético creció un 32 % anual entre 2017 y 2022 (el mismo año en el que escribí por primera vez sobre Swiss Re), con aumentos de tarifas de dos dígitos en los seguros cibernéticos en 2020 (recuerde que los ataques de ransomware aumentaron a principios de esta década).
Sin embargo, el crecimiento de los seguros cibernéticos se ha estabilizado y los expertos en ciberseguridad de Swiss Re analizan por qué y qué significa esto para las compañías de seguros en el futuro.
Los gráficos detallados muestran el crecimiento desglosado por crecimiento orgánico de la exposición y crecimiento de las tarifas entre 2017 y 2024.
- La perspectiva de la junta directiva sobre la ciberseguridad: ¿de quién es el problema?
Desde la perspectiva de la junta directiva, el seguro cibernético es una forma de transferir el riesgo. Incluso si se subcontrata a una agencia de gestión de riesgos externa, alguien internamente debe guiar a la empresa. El punto de decisión aquí es quién es esa persona.
- Seguro de ciberseguridad: por qué rara vez basta
Según la encuesta de la junta directiva de Gartner de 2022, el 88% de los miembros de la junta reconoció que la ciberseguridad es un riesgo empresarial (el 12% restante lo calificó como un riesgo tecnológico).
Sin embargo, una encuesta de 2021 revela que el director de tecnología (CIO o director de seguridad de la información, por ejemplo) “era responsable de la ciberseguridad en el 85% de las organizaciones”.
Si la ciberseguridad es un riesgo empresarial conocido, pero los altos directivos de la empresa no son responsables, ¿qué dice eso sobre los resultados?
Las grandes corporaciones, guiadas por una junta directiva, pueden reducir el riesgo organizacional al priorizar la ciberseguridad y comprender mejor las brechas de cobertura en función de la exposición al riesgo.
Además, si bien creo que muchas empresas son conscientes de la importancia de la ciberseguridad, también creo que el presupuesto asignado no está alineado con la exposición al riesgo. Lo entiendo. Es difícil justificar la inversión en algo que no se conecta directamente con una palanca de ingresos.
Sin embargo, ese es el problema con cualquier tipo de seguro. Si algo sale mal, su operación podría cerrar, perder ingresos, erosionar la confianza y amenazar la continuidad operativa.
En el sector de las grandes corporaciones, según la investigación de Swiss Re, la oportunidad es el crecimiento orgánico basado en que los clientes compren límites más altos y pólizas personalizadas en relación con la exposición al riesgo.
Creo que cuanto más educados estén los directorios y los líderes empresariales en materia de ciberseguridad, más resilientes serán.
- Oportunidades futuras en el mercado cibernético
Ya mencioné que tener una póliza de seguro de automóvil brinda confianza en caso de que algo salga mal. Sin embargo, esa póliza por sí sola no es suficiente.
En nuestra adolescencia, asistimos a una escuela de manejo. Nos ganamos el privilegio de tener una licencia de conducir. Nos sometemos a pruebas de capacidad y visión para conducir a lo largo de nuestra carrera como conductores. Lo mismo ocurre con la ciberseguridad.
Un enfoque de seguridad multifacético incluye implementar los conceptos básicos, conocer su exposición al riesgo, hacer que la ciberseguridad sea parte de sus operaciones y cultura, responsabilizar a los líderes y asignar presupuesto a las iniciativas de ciberseguridad.
Si la función principal de una póliza de seguro es proteger, entonces la aseguradora también tiene responsabilidad. Si bien los hallazgos de Swiss Re revelan que los aumentos de tarifas a principios de esta década afectaron principalmente a las grandes corporaciones, la verdadera oportunidad y necesidad está en el seguro cibernético para pequeñas y medianas empresas (PYME) a través de la compra de nuevas pólizas por parte de los clientes (las PYME se definen como empresas con menos de $100 millones en ingresos anuales).
El equipo cibernético de Swiss Re encontró una enorme brecha de protección cibernética para las pequeñas y medianas empresas. Este segmento necesitará tanto educación como recursos para descubrir cómo abordar las mejores prácticas de ciberseguridad y la cobertura de seguros.
Además del tamaño de la empresa, uno de los gráficos de datos detallados de Swiss Re muestra el mercado mundial de seguros cibernéticos por región, donde América del Norte ostenta el 70% del mercado de seguros cibernéticos.
Tal vez el director de reaseguros especializados en ciberseguridad de Swiss Re, Dani Tobler, lo resuma mejor.
Dice: “El mercado de seguros cibernéticos sigue presentando una oportunidad de crecimiento convincente, superando a otras líneas de negocio”. Obtenga más información en el artículo del equipo cibernético de Swiss Re.
Aunque es posible que nunca alcancemos los límites máximos de la ciberseguridad (y puede que nunca sea suficiente), imaginemos lo que pasaría si la seguridad fuera menos un riesgo comercial y más un activo comercial. Swiss Re sigue revelando el camino que tenemos por delante. Estaré atento a Swiss Re para ver cómo evoluciona el mercado de seguros cibernéticos.