Siete razones para evitar los ciberseguros
La creciente complejidad del mercado de los ciberseguros está planteando dudas sobre su viabilidad como gasto empresarial. He aquí algunas razones para evitar o retrasar la inversión en seguros.
Con el aumento alarmante de los ciberataques en todo el mundo, el ciberseguro se ha convertido en una capa de protección cada vez más popular para las empresas de todos los sectores. Sin embargo, a pesar de su claro atractivo para apoyar y aumentar la gestión del riesgo cibernético, el seguro puede no ser el más adecuado para todas las empresas en todas las circunstancias. De hecho, hay razones de peso por las que se podría aconsejar a algunas que eviten, retrasen o, al menos, reconsideren seriamente la compra o renovación de una póliza: el aumento de los costes, los estrictos requisitos, las limitaciones de la cobertura y las complejidades generales son solo algunas de ellas.
En diciembre de 2022, el consejero delegado de Zurich, Mario Greco, afirmó que los ciberataques se están convirtiendo en "no asegurables", declarando al Financial Times que los gobiernos necesitan "establecer esquemas público-privados para gestionar los ciberriesgos sistémicos que no pueden cuantificarse, similares a los que existen en algunas jurisdicciones para terremotos o ataques terroristas". Esta observación debe tomarse con pinzas, ya que ni Greco ni Zurich están especializados en ciberriesgos, pero ejemplifica la creciente incertidumbre que rodea al ciberseguro y su viabilidad para algunas empresas.
"A veces, cuando los temas del sector realmente despegan y acaparan mucha atención, pueden acabar siendo muy comentados sin ser muy comprendidos; es el caso del ciberseguro", afirma Manoj Bhatt, responsable de ciberseguridad y redes de Telstra Purple y miembro del consejo asesor del ClubCISO. "Mientras los vectores de amenaza aumentan y se desarrollan, las ofertas de ciberseguros también están sujetas a muchos cambios. Esto significa que, tanto desde el punto de vista empresarial como desde el de la seguridad, es importante tomarse el tiempo necesario para sopesar plenamente el valor que una determinada póliza de ciberseguro aportará a su organización, así como la rapidez con la que la cobertura puede envejecer”.
He aquí 7 razones por las que quizá quiera evitar o retrasar la inversión en un seguro cibernético.
La remediación de incidentes puede ser más barata que las primas de seguro
Mick Reynolds, director de Inteligencia de SecAlliance, explica a CSO dos aspectos que las empresas deberían tener en cuenta desde el principio a la hora de plantearse una póliza de seguros: el coste y el beneficio para la empresa. "Si nos fijamos en el coste, la reciente oleada de ataques de ransomware en todo el mundo ha provocado grandes aumentos en las primas para las empresas que desean incluir la cobertura de este tipo de sucesos. En algunos casos, los presupuestos de renovación han pasado de 120.000 dólares a más de 1,8 millones de dólares. Tales incrementos en las primas, sin aumentos percibidos en la cobertura, están empezando ahora a ser cuestionados por los comités de riesgo en cuanto al valor global que proporcionan, con algunos decidiendo ahora que aceptar la exposición a grandes eventos cibernéticos como el ransomware es preferible al coste de la póliza asociada”.
En cuanto a los beneficios para el negocio, el seguro se contrata principalmente para cubrir las pérdidas incurridas durante un ciberevento importante, y el 99% de las veces estas pérdidas son cuantificables y se relacionan predominantemente con los costos de respuesta y recuperación, dice Reynolds. “Dado que un alto porcentaje de los incidentes cibernéticos pueden remediarse por un coste inferior a las elevadas primas que se cobran actualmente por los seguros cibernéticos, es comprensible que las empresas se cuestionen ahora el valor de tales inversiones. Mientras que los ataques de ransomware siguen ocurriendo con frecuencia, las funciones de resiliencia operativa están aumentando la capacidad de las empresas para sobrevivir a un evento de este tipo relativamente indemne".
Esta creciente madurez de la ciberseguridad significa que la cobertura de este tipo de eventos sólo es necesaria para cubrir el riesgo de costes indirectos, como multas regulatorias, pérdida de posición en el mercado y reparaciones a los clientes, añade Reynolds. Aunque estos costes indirectos pueden tener un enorme impacto en la liquidez de una empresa en caso de no estar cubiertos por el seguro cibernético, dada la baja probabilidad de que se manifiesten, probablemente se considerarán sucesos esporádicos que no justifican necesariamente primas elevadas, afirma Reynolds. "En una época en la que las empresas se ven obligadas a hacer recortes en sus presupuestos, proporcionar cobertura a un coste enorme para eventos percibidos como de baja frecuencia es difícil de justificar".
También hay ocasiones en las que la póliza superará el coste de hacer la reclamación y, por lo tanto, puede ser más fácil considerar la posibilidad de hacer frente al ataque fuera del proceso de seguro, añade Bhatt.
La cobertura del ransomware se reduce cada vez más
Los ataques de ransomware son una de las mayores ciberamenazas a las que se enfrentan las empresas, dada su prevalencia, creciente sofisticación y potencial para causar daños generalizados. El aumento de los riesgos planteados por los ataques de ransomware en los últimos años ha hecho que el seguro cibernético sea aún más atractivo. Sin embargo, la mayoría de las aseguradoras ya no cubren todas las pérdidas potenciales de los ataques de ransomware, afirma Jon Miller, cofundador de Halcyon. Esto significa que invertir en un seguro cibernético específicamente para la protección contra el ransomware podría ser un error costoso.
"Con tantas variables en un ataque de ransomware, a los proveedores de seguros les resulta difícil cuantificar el riesgo real de ransomware para establecer con precisión las primas. En el caso de las pólizas de ciberseguros que sí ofrecen cobertura contra el ransomware, la mayoría ya no cubren el pago del rescate (pueden variar demasiado, por lo que es demasiado difícil definirlo). Sólo después de que un ataque de ransomware golpea a una organización se encuentran con que la póliza sólo cubrirá una fracción de los costes de reparación y recuperación”.
Exclusiones de ataques de Estado nación y retos de atribución
Las exclusiones relacionadas con ataques estatales también están enturbiando las aguas del ciberseguro y podrían hacer que las empresas se cuestionen la viabilidad de las pólizas. El año pasado, el mercado de seguros Lloyd's de Londres anunció exclusiones en la cobertura de ciberseguros para ataques "catastróficos" respaldados por Estados a partir de 2023. En un boletín de mercado publicado el 16 de agosto de 2022, Lloyd's declaró que, aunque "sigue apoyando firmemente la suscripción de coberturas contra ciberataques", reconoce que "los negocios relacionados con la cibernética siguen siendo un riesgo en evolución". Por ello, la compañía exigirá a todos sus grupos aseguradores que apliquen una cláusula adecuada que excluya la responsabilidad por pérdidas derivadas de cualquier ciberataque respaldado por un Estado, de acuerdo con varios requisitos.
Uno de los retos para las organizaciones es establecer la atribución del ataque a un Estado nación, afirma Jonathan Armstrong, abogado y socio de la firma de cumplimiento Cordery. "Aunque con la ayuda de especialistas a menudo se puede decir que hay indicadores de la participación de un Estado nación, sabemos que es difícil estar seguros. Son estas dificultades las que probablemente lleven a litigios, ya que las aseguradoras pueden pensar que hay implicación de un Estado nación, pero el asegurado puede pensar que no es así".
En un análisis de la decisión de Lloyd’s de excluir de la cobertura los ataques de Estados nación en agosto de 2022, la consultora de ciberseguridad de Red Goat Lisa Forte señala que las aseguradoras pueden decidir unilateralmente qué son y qué no son ataques de Estados nación. "Se ha afirmado en el mar de análisis sobre esta decisión que el ataque no necesitará necesariamente una atribución oficial para ser excluido de la cobertura de la póliza", escribe Forte. "Así, la aseguradora podría alegar que el ataque está excluido porque es 'razonable' atribuirlo a un Estado nación. No es la claridad que quizás queríamos".
Su empresa ya está autoasegurada frente a los riesgos cibernéticos
Algunas empresas pueden querer evitar pagar un ciberseguro porque ya se benefician de ciertos tipos de cobertura que las protegen desde la perspectiva del riesgo cibernético, afirma Philip D. Harris, director de Investigación, Riesgo, Asesoramiento, Gestión y Privacidad de IDC. "Algunas grandes organizaciones e incluso algunos gobiernos locales más pequeños pueden recurrir a una reserva de fondos ya establecida para este tipo de eventos", explica a CSO. "Las grandes organizaciones que disponen de grandes cantidades de efectivo pueden reservar estos fondos en caso de que la organización tenga que hacer frente a grandes eventos. Del mismo modo, los gobiernos locales más pequeños que no pueden permitirse un seguro cibernético [directamente] pueden haberse encargado de reunir un consorcio de gobiernos locales más pequeños que financian cada uno un fondo común de dólares que se utilizan en caso de grandes eventos cibernéticos".
Su inversión en ciberseguros se basa en un cuestionario de la aseguradora
Harris también advierte a las empresas contra tirar el dinero en ciberseguro si su decisión de invertir se basa únicamente en la realización de un cuestionario de una aseguradora cibernética para determinar su postura de seguridad. "Las ciberseguradoras que obligan a sus clientes a rellenar un cuestionario de ciberseguridad sólo obtienen, en última instancia, una visión limitada y puntual de la postura de seguridad del asegurado", afirma. "Las empresas que no han hecho que un proveedor profesional de servicios de ciberseguridad complete una evaluación detallada para tener una imagen completa de las deficiencias, los planes para remediarlas y una hoja de ruta continua para la mejora se están haciendo un flaco favor al depender de un cuestionario de seguridad algo generalizado".
En su opinión, las aseguradoras deberían limitarse a los seguros y dejar que los proveedores de servicios de ciberseguridad cualificados se encarguen de la evaluación de la postura de ciberseguridad del asegurado. "Armado con esta evaluación detallada, el asegurador puede entonces tomar una mirada seria al cliente y potencialmente ofrecer mejores primas que tengan sentido".
No se pueden cumplir los requisitos de la póliza
Para que una póliza de seguro cibernético esté en vigor y sea válida, una organización necesita tener una contabilidad exhaustiva de su programa de seguridad, dice Miller. "Si la organización está fuera de cumplimiento cuando llega el momento de presentar una reclamación -por ejemplo, si no aplicó parches de manera oportuna o si configuró mal las aplicaciones de seguridad- rápidamente descubrirá que la cobertura de su póliza es inútil". Pete Bowers, COO de NormCyber, está de acuerdo. "Las organizaciones deben poner en marcha un programa integral, que abarque controles de personas, procesos y tecnología, para apuntalar sus ciberdefensas generales. Hasta que no lo hagan, el ciberseguro, como único mecanismo para transferir y mitigar el riesgo, no es la opción adecuada".
La inversión se gasta mejor en mejorar su postura de seguridad
Un último factor decisivo a la hora de optar por no invertir en ciberseguros es sencillamente que el dinero podría emplearse mejor en aumentar la postura general de seguridad y la resistencia cibernética de una organización. "No tener cobertura puede ser desalentador, pero la eliminación de la percepción de una red de seguridad que proporciona el seguro puede ser exactamente lo que las organizaciones necesitan: una llamada de atención para hacer su negocio más seguro", escribe Sean Moran, director de ofertas de JUMPSEC, en una entrada de blog. "No marcando casillas de cumplimiento para satisfacer a las aseguradoras, o confiando en pruebas estándar mínimas anuales, sino implementando controles que harán que su organización sea más resistente a los ataques".
Las organizaciones que optan contra el seguro cibernético para 2023 deben reinvertir en sus capacidades holísticas de defensa cibernética, asegurando que el impacto potencial de una brecha pueda minimizarse, agregó. Esto incluye pruebas de copias de seguridad, identidad efectiva, gestión de acceso y segmentación de la red, un plan de recuperación bien establecido, evaluar qué componentes del negocio tienen más probabilidades de ser atacados por un atacante, y controles específicos de prevención, detección y respuesta, agrega Moran.
