Riesgo cibernético - ¿comprar seguro o autoasegurarse?
Marzo 7, 2022
Marzo 7, 2022
A medida que el riesgo cibernético se eleva rápidamente en la agenda de la sala de juntas, el 91% de los CEO del Reino Unido ven las amenazas cibernéticas como una de las principales preocupaciones, según nuestra 24a Encuesta Anual de Presidentes, también lo ha hecho el seguro cibernético como una forma de financiar y mitigar este riesgo. Pero las condiciones desafiantes del mercado de seguros están dificultando más que nunca asegurar una cobertura apropiada y asequible, y algunas organizaciones están eligiendo considerar opciones alternativas como el auto seguro.
Sin embargo, la decisión sobre si comprar un seguro cibernético o autoasegurarse es desafiante y debe tomarse con conocimiento de los pros y los contras de cada opción.
El seguro cibernético proporciona protección financiera frente a pérdidas o daños causados por ataques cibernéticos y violaciones de datos. Pero también puede proporcionar un valioso y práctico apoyo especializado necesario para responder y tratar un incidente o una crisis.
El mercado mundial de seguros cibernéticos escribe aproximadamente $7-8 mil millones en primas por año y se espera que crezca significativamente en los próximos 5-10 años. Sin embargo, este crecimiento puede moderarse si continúa la tendencia actual de algunas aseguradoras a retirar capacidad o aplicar términos de política más onerosas.
Hay historias de muchas organizaciones que se enfrentan a aumentos de dos, tres e incluso seis veces con respecto a las cotizaciones anteriores de las primas de seguros cibernéticos. Pero las aseguradoras no sólo están revisando las primas, sino que a veces buscan cambiar los términos o exclusiones de la póliza, o aplicar una combinación de deducibles más altos, límites más bajos y uso de sublimitas y coaseguros.
Desde el punto de vista de la aseguradora, la frecuencia cada vez mayor de ataques de ransomware (y los crecientes impactos asociados y demandas de rescate) y las reclamaciones por interrupción del negocio han dado lugar a que el ciberespacio se haya convertido en un área de seguros menos rentable en los últimos tiempos. Las primeras pólizas de seguros cibernéticos no predijeron los niveles actuales de ataques de ransomware e incidentes de interrupción del negocio, por lo que ha habido un cambio significativo de pérdidas relacionadas con la privacidad a pérdidas relacionadas con los ingresos empresariales.
Esto ha llevado al cambio de la barra de suscripción; es común que las aseguradoras ahora exijan que las organizaciones tengan fuertes niveles de autenticación multifactor (MFA) y detección y respuesta de puntos finales (EDR) para obtener acceso a una cotización. Los sistemas hardware sin soporte también pueden impedir que proporcionen cobertura. En esencia, con una menor capacidad y oferta de seguros cibernéticos en el mercado, las aseguradoras pueden ser selectivas en relación con los riesgos que están asumiendo; a menudo buscan sólo el “mejor” riesgo.
Los movimientos en los precios y la provisión más amplios de las pólizas de seguros cibernéticos a lo largo del tiempo están fuera del control de los compradores de seguros corporativos, pero puede haber beneficios significativos al estar al frente de las discusiones con el mercado de seguros para contar de forma proactiva la historia del viaje de riesgo cibernético de la organización.
Esto significa que los compradores de seguros comprenden y articulan claramente su enfoque más amplio de la gestión de riesgos cibernéticos, así como sus fortalezas y debilidades clave, pueden marcar toda la diferencia cuando se trata de negociar con éxito una póliza de seguros cibernéticos.
El seguro cibernético es sólo una forma de financiar y reducir el riesgo cibernético. Es posible que el seguro no proporcione cobertura para el monto total en riesgo de ataques cibernéticos e incidentes, o simplemente no esté disponible.
Esto ha llevado a una tendencia creciente para que las organizaciones consideren utilizar el auto seguro o un seguro cautivo para cubrir las capas principales de seguro cibernético o para llenar las brechas de las políticas tradicionales de seguro cibernético. Esto también puede beneficiar las negociaciones futuras con los aseguradores si hay elementos del riesgo que se van a transferir externamente en el futuro.
Un elemento de este enfoque de auto seguro que a menudo falta es el proceso de cuantificar el riesgo, al menos en un nivel alto, en términos financieros. Si no se compra el seguro, el riesgo sigue ahí y reside en el balance general.
La cuantificación de los riesgos cibernéticos y/o los escenarios cibernéticos clave permite a una organización tomar decisiones deliberadas e informadas de retención de riesgos y comprender cuánto del balance podría estar expuesto. El auto seguro no significa simplemente ignorar el riesgo. No cuantificar de ninguna manera el riesgo cibernético puede ser equivalente a correr un riesgo desconocido y potencialmente significativo a través del balance general.
Las organizaciones que se auto aseguran también deben asegurar que tengan acceso a servicios especializados clave donde sea necesario, como respuesta a incidentes, investigación forense, temas jurídicos, comunicaciones, apoyo a crisis y negociadores.
Para algunas organizaciones, un enfoque mixto de seguros y autoseguros será óptimo. De cualquier manera, es imperativo estar al frente en la identificación y consideración de alternativas, y para tomar decisiones deliberadas e informadas.
Un buen punto de partida es a menudo una evaluación de la madurez del proceso a través del cual se busca comprar seguros y/o financiar el riesgo cibernético usando un enfoque alternativo (tal como el auto seguro o el uso de un seguro cautivo).
Algunas preguntas importantes que debe hacerse son:
¿Está creando suficiente tensión competitiva durante las negociaciones de seguros cibernéticos?
¿Está obteniendo valor de su agente de seguros?
¿Está articulando su enfoque más amplio del riesgo cibernético para los agentes y las aseguradoras de modo que lo perciban como un riesgo bueno/maduro?
¿Está autoasegurado de una manera clara y deliberada?
Las respuestas a estas preguntas pueden ser clave para desbloquear las decisiones óptimas en relación con la transferencia de riesgos cibernéticos y la retención de riesgos, e informarán sobre algunas de las medidas prácticas que se pueden tomar.