Riesgo cibernético - ¿comprar seguro o autoasegurarse?

A medida que el riesgo cibernético se eleva rápidamente en la agenda de la sala de juntas, el 91% de los CEO del Reino Unido ven las amenazas cibernéticas como una de las principales preocupaciones, según nuestra 24a Encuesta Anual de Presidentes, también lo ha hecho el seguro cibernético como una forma de financiar y mitigar este riesgo. Pero las condiciones desafiantes del mercado de seguros están dificultando más que nunca asegurar una cobertura apropiada y asequible, y algunas organizaciones están eligiendo considerar opciones alternativas como el auto seguro.

Sin embargo, la decisión sobre si comprar un seguro cibernético o autoasegurarse es desafiante y debe tomarse con conocimiento de los pros y los contras de cada opción.

El seguro cibernético proporciona protección financiera frente a pérdidas o daños causados por ataques cibernéticos y violaciones de datos. Pero también puede proporcionar un valioso y práctico apoyo especializado necesario para responder y tratar un incidente o una crisis.

El mercado mundial de seguros cibernéticos escribe aproximadamente $7-8 mil millones en primas por año y se espera que crezca significativamente en los próximos 5-10 años. Sin embargo, este crecimiento puede moderarse si continúa la tendencia actual de algunas aseguradoras a retirar capacidad o aplicar términos de política más onerosas.

Hay historias de muchas organizaciones que se enfrentan a aumentos de dos, tres e incluso seis veces con respecto a las cotizaciones anteriores de las primas de seguros cibernéticos. Pero las aseguradoras no sólo están revisando las primas, sino que a veces buscan cambiar los términos o exclusiones de la póliza, o aplicar una combinación de deducibles más altos, límites más bajos y uso de sublimitas y coaseguros.

Desde el punto de vista de la aseguradora, la frecuencia cada vez mayor de ataques de ransomware (y los crecientes impactos asociados y demandas de rescate) y las reclamaciones por interrupción del negocio han dado lugar a que el ciberespacio se haya convertido en un área de seguros menos rentable en los últimos tiempos. Las primeras pólizas de seguros cibernéticos no predijeron los niveles actuales de ataques de ransomware e incidentes de interrupción del negocio, por lo que ha habido un cambio significativo de pérdidas relacionadas con la privacidad a pérdidas relacionadas con los ingresos empresariales.

Esto ha llevado al cambio de la barra de suscripción; es común que las aseguradoras ahora exijan que las organizaciones tengan fuertes niveles de autenticación multifactor (MFA) y detección y respuesta de puntos finales (EDR) para obtener acceso a una cotización. Los sistemas hardware sin soporte también pueden impedir que proporcionen cobertura. En esencia, con una menor capacidad y oferta de seguros cibernéticos en el mercado, las aseguradoras pueden ser selectivas en relación con los riesgos que están asumiendo; a menudo buscan sólo el “mejor” riesgo.

Los movimientos en los precios y la provisión más amplios de las pólizas de seguros cibernéticos a lo largo del tiempo están fuera del control de los compradores de seguros corporativos, pero puede haber beneficios significativos al estar al frente de las discusiones con el mercado de seguros para contar de forma proactiva la historia del viaje de riesgo cibernético de la organización.

Esto significa que los compradores de seguros comprenden y articulan claramente su enfoque más amplio de la gestión de riesgos cibernéticos, así como sus fortalezas y debilidades clave, pueden marcar toda la diferencia cuando se trata de negociar con éxito una póliza de seguros cibernéticos.

Para algunas organizaciones, un enfoque mixto de seguros y autoseguros será óptimo. De cualquier manera, es imperativo estar al frente en la identificación y consideración de alternativas, y para tomar decisiones deliberadas e informadas.

Un buen punto de partida es a menudo una evaluación de la madurez del proceso a través del cual se busca comprar seguros y/o financiar el riesgo cibernético usando un enfoque alternativo (tal como el auto seguro o el uso de un seguro cautivo).

Algunas preguntas importantes que debe hacerse son:

• ¿Está creando suficiente tensión competitiva durante las negociaciones de seguros cibernéticos?

• ¿Está obteniendo valor de su agente de seguros?

• ¿Está articulando su enfoque más amplio del riesgo cibernético para los agentes y las aseguradoras de modo que lo perciban como un riesgo bueno/maduro?

• ¿Está autoasegurado de una manera clara y deliberada?

Las respuestas a estas preguntas pueden ser clave para desbloquear las decisiones óptimas en relación con la transferencia de riesgos cibernéticos y la retención de riesgos, e informarán sobre algunas de las medidas prácticas que se pueden tomar.