Por: Liberty Mutual Insurance | 2 de octubre de 2023
Patrick Thielen, Director Global de Cibernética, Liberty Mutual Insurance
El mercado de seguros cibernéticos puede alcanzar cerca de $ 100 mil millones para 2030. La creciente dependencia de la tecnología y la creciente industria de ciberdelincuentes son los factores determinantes.
En un futuro cercano, la industria de seguros podría ver cómo la abreviatura "P&C" se convierte en "PC&C" (propiedad, accidentes y cibernética, por sus siglas en inglés).
Los expertos predicen que el mercado se duplicará de 15.000 millones de dólares a más de 30.000 millones de dólares en los próximos cinco años, y podría alcanzar cerca de 100.000 millones de dólares en 2030. Los seguros cibernéticos, que antes eran adquiridos principalmente por grandes empresas de Estados Unidos y Europa, se están convirtiendo en una inversión imprescindible para empresas de todos los tamaños.
"Cada vez es más común que todas las empresas, en todas las industrias, continentes y tamaños, incluso las empresas unipersonales y los tipos de negocios tradicionales, compren seguros cibernéticos", dijo Patrick Thielen, director global de ciberseguridad de Liberty Mutual Insurance.
A medida que los riesgos cibernéticos continúen evolucionando, las empresas recurrirán al mercado para satisfacer sus necesidades de seguros cibernéticos y ofrecer soluciones proactivas de gestión de riesgos. Las aseguradoras cibernéticas se asocian con los clientes para ofrecer una amplia gama de capacidades de gestión de riesgos cibernéticos, suscripción y respuesta a incidentes.
De filtraciones de datos a una empresa criminal de un billón de dólares
El mercado cibernético ha experimentado un crecimiento tan explosivo en parte debido al hecho de que las exposiciones digitales son más omnipresentes que nunca. Hace unos veinte años, hacia el final de la era de las puntocom, el mercado de los seguros cibernéticos creció porque los líderes de la industria bancaria y tecnológica pedían a sus corredores y aseguradoras coberturas de "riesgo digital" a medida, normalmente adjuntas a pólizas más tradicionales como propiedad, D&O o E&O. Ahora, es un riesgo con el que todas las empresas se enfrentan. Además, el riesgo cibernético sigue a los empleados desde el trabajo hasta sus hogares y se filtra en nuestra vida privada.
"La mayoría de la gente conoce a alguien que ha tenido un incidente cibernético. Ya sea que se trate de un robo de identidad o un incidente de ransomware, se han visto personalmente afectados por el riesgo cibernético", dijo Thielen.
En los últimos 20 años, las exposiciones han evolucionado rápidamente. Primero, hubo violaciones de datos, luego el ransomware y el compromiso del correo electrónico empresarial se convirtieron en algo común. Ahora, además de esas continuas amenazas, las empresas se enfrentan a regulaciones de privacidad de datos como el Reglamento General de Protección de Datos de la UE o la Ley de Privacidad del Consumidor de California. Estas regulaciones gubernamentales están convirtiendo la exposición cibernética de una preocupación puntual después de las violaciones de datos, a un riesgo operativo constante que se refiere a muchas dimensiones de cómo las empresas recopilan, usan y administran los datos de otros dentro de sus negocios.
Los ciberdelincuentes son muy conscientes de lo críticas que se están volviendo las tecnologías digitales en el mundo de los negocios y están listos para explotar cualquier vulnerabilidad. Los piratas informáticos están formando grupos organizados y especializados, utilizando la digitalización, la automatización y cadenas de suministro sofisticadas con estructuras no muy diferentes a las de las empresas que están atacando.
"La gente puede ver a un hacker como un solitario, sentado en su sótano, con una sudadera con capucha, haciendo un ataque ellos mismos", dijo Thielen. "Probablemente sea más exacto pensar en los hackers como empresarios serios, que suelen operar en países donde esa es su mejor oportunidad económica".
Varios países se han convertido en puertos seguros para estas empresas delictivas, lo que les permite crecer aún más y atacar a más empresas. "A las organizaciones de delitos cibernéticos se les ha dado impunidad de facto para operar sin temor a la aplicación de la ley en muchos países del mundo", dijo Thielen.
Si bien existe un consenso sobre lo que está en juego en la industria de los seguros, también ha habido una notable falta de un verdadero evento CAT cibernético, un solo ataque que afecta a una amplia franja de asegurados con un impacto severo en las pérdidas. Un informe de 2023 de Conning encontró que una pérdida cibernética asegurada de $ 30 mil millones podría resultar en una pérdida en toda la industria de alrededor del 210% de la prima anual.
"Modelar cualquier riesgo puede ser un desafío, pero el riesgo cibernético es particularmente difícil debido a su naturaleza en constante evolución. El peligro son los seres humanos, con motivaciones diversas y cambiantes, herramientas, capacidades y creatividad. Su objetivo también es una superficie de ataque en constante evolución y expansión, lo que significa la colección global de empresas, redes, tecnologías y vulnerabilidades potencialmente atacables", dijo Thielen.
"Con la aceleración de los riesgos en todos los lados del panorama cibernético, las empresas deben mantener el ritmo. Mucha gente piensa en la defensa cibernética como tecnología, y eso es parte de ello, pero una forma aún más importante de pensar sobre el riesgo cibernético es en torno a la filosofía cibernética de una organización. Es decir, formación y recursos. Eso significa alianzas y planificación. Significa redundancias operativas y resiliencia organizativa. En resumen, significa tomárselo en serio a nivel de la junta directiva y respetar la gestión del riesgo cibernético como una fuente crítica de valor".
Cada vez es más común que todas las empresas, en todas las industrias, continentes y tamaños, incluso las empresas unipersonales y los negocios comunes compren seguros cibernéticos". — Patrick Thielen, Director Global de Cibernética, Liberty Mutual Insurance
Expansión del control de riesgos en el ciberespacio
Las empresas están mejorando en la realización de copias de seguridad de sus datos, preparándose para eventos cibernéticos mediante la realización de simulacros de simulación y capacitando a los directores de seguridad de la información (CISO) para ayudar a guiar sus negocios a través de estrategias de prevención de pérdidas.
"Las empresas están haciendo un mejor trabajo, en general, al respaldar sus sistemas críticos", dijo Thielen. "Hace cinco o 10 años, era muy común que las empresas pagaran si los ciberdelincuentes cifraban sus sistemas críticos".
Y, sin embargo, cuando las empresas mejoran sus defensas, los ciberdelincuentes desarrollan nuevas estrategias. "Muchas de las mismas herramientas que son utilizadas por los buenos para realizar actividades defensivas son utilizadas por los malos para aplicar ingeniería inversa a las defensas o usar esas mismas herramientas para la ofensiva", dijo Thielen. Un ejemplo: cuando las empresas comenzaron a hacer copias de seguridad de sus datos, los piratas informáticos no se limitaron a cifrarlos y bloquear los sistemas. Comenzaron a amenazar con filtrar los datos, atacar a los clientes de una empresa o perseguir a sus ejecutivos, tácticas conocidas como doble y triple extorsión.
El error humano también sigue siendo un punto débil y sigue siendo el principal impulsor de pérdidas en la industria. "Puedes tener los mejores controles y el mejor programa de ciberseguridad del mundo, pero si tienes seres humanos trabajando para ti, entonces hay formas para que los atacantes entren", dijo Thielen. "Es por eso que el phishing, el vishing, el smishing, la ingeniería social y muchas otras formas de engaño han seguido siendo estrategias muy comunes para que los atacantes obtengan acceso inicial a una red específica".
"Este es el beneficio de la experiencia. En Liberty Mutual, hemos estado escribiendo este negocio durante más de 15 años, originalmente como Ironshore, por lo que entendemos este tipo de eventos de pérdida y qué tipo de protocolos tienen sentido. Si bien los detalles de la tecnología pueden cambiar, los temas y protocolos pueden seguir siendo notablemente similares.
"Veo que muchas organizaciones se asustan mucho cuando empiezas a hablar de riesgos cibernéticos y eso es justo porque hay mucho en juego porque prácticamente todo es digital. Pero creo que se sienten muy reconfortados al hablar con nosotros porque podemos ayudarlos a planificar y capacitar de manera proactiva. Sabemos dónde los pequeños cambios pueden tener el mayor impacto, y sabemos qué hacer en caso de una pérdida, porque probablemente hemos visto incidentes similares en el pasado".
Las estrategias de gestión de riesgos cibernéticos pueden ayudar a mitigar la probabilidad de ser víctima de un ataque; pero también pueden ser una forma de defensa legal después de un ataque: "Es más difícil argumentar que su empresa fue negligente solo porque sufrió un evento. Si implementara las mismas mejores prácticas que sus pares en la industria, eso podría cumplir con ese umbral de razonabilidad desde una perspectiva de gestión de riesgos", dijo Thielen.
Compañías de seguros cibernéticos: una fuente crítica de conocimiento
Los simulacros de mesa, los CISO, la formación en ciberseguridad de los empleados y otras prácticas de control de riesgos son importantes para las empresas que buscan estar al tanto de la evolución de las exposiciones digitales.
"Sabemos que este es un punto débil para muchos clientes y continuamos invirtiendo en nuestras capacidades cibernéticas para ayudarlos a administrar este riesgo que cambia rápidamente", ya sea que eso signifique proporcionar recursos de control de riesgos, empaquetar pólizas cibernéticas con otras líneas de seguros u ofrecer cobertura primaria y de exceso independiente a través de canales minoristas y mayoristas.
El creciente equipo cibernético de la empresa incluye ingenieros de riesgos, actuarios cibernéticos y otros expertos.
"Estoy entusiasmado con el futuro de los seguros cibernéticos en Liberty Mutual. Estamos comprometidos a aportar todas las capacidades organizativas de la empresa y seguir siendo un líder de la industria en este espacio", dijo Thielen. "Tenemos un historial de asegurar el riesgo cibernético, y también somos una de las compañías de seguros generales más grandes del mundo. Tenemos oficinas en 29 países. Seguimos invirtiendo directamente en nuestras capacidades de riesgo cibernético. Tenemos un conjunto muy amplio de productos y servicios para satisfacer las necesidades actuales y futuras de nuestros asegurados".