Las pólizas de seguro de ciberseguridad fueron rentables en algún momento, pero las pérdidas derivadas de estas pólizas están aumentando constantemente para las compañías de seguros. Lloyds de Londres hizo recientemente un anuncio que especula sobre el futuro de seguro de ciberseguridad. La compañía anunció en noviembre pasado que el modelo actual de seguro cibernético ya no es sostenible y, como resultado, estaba disuadiendo a su sindicato de emprender nuevos negocios cibernéticos en 2022.
¿Qué incluye el seguro cibernético?
Las pólizas típicas cubren los siguientes costos:
Análisis forense para identificar el origen del ataque.
Costos para recuperar el acceso o restaurar sus datos a partir de copias de seguridad u otras fuentes
Notificación a clientes y/u organismos reguladores
Servicios de seguimiento de crédito para personas afectadas
Demandas de ransomware y especialistas para gestionar las negociaciones de rescate
Costos legales y servicios de relaciones públicas.
Dependiendo del tipo de incidente, la compañía de seguros puede proporcionar expertos para ayudar a afrontar la situación en cuestión para asesorar al cliente e identificar formas de reducir el costo de la restauración.
Costos crecientes y demandas crecientes
En 2021 estos precios continuaron creciendo. La prima promedio aumentó 25,5% durante el segundo trimestre de 2021 según encuesta del Consejo de Agentes y Corredores de Seguros (CIAB). Esto se suma a un aumento del 17% en el primer trimestre del año. Se estima que los precios de los seguros cibernéticos están aumentando un 50 % año tras año y que las empresas deberían esperar que esa tendencia continúe en el futuro.
Los crecientes costos traen consigo pérdidas crecientes
Aumento de ataques = Aumento de reclamaciones. Los reclamos más populares involucran phishing y ransomware por correo electrónico. En 2020, el monto total del rescate pagado por las víctimas fue de casi 350 millones de dólares, CNBC informó un aumento del 311% con respecto al año anterior. Sin embargo, el rescate representa una parte del costo real para la organización violada. El costo promedio de la remediación aumentó a $1,85 millones en 2021 en comparación con $700.000 en 2020.
Las frecuentes reclamaciones de ransomware junto con sus crecientes pagos es lo que está impulsando las pérdidas de las compañías de seguros. Según un informe de S&P Global, los índices de siniestralidad aumentaron por tercer año consecutivo en 2020. Techtarget revisó estos costos a lo largo del tiempo:
2016: 43 centavos de cada dólar pagado en primas de seguros cibernéticos se gastaron en pagar reclamaciones de seguros o costos relacionados.
Antes de 2019: el índice de siniestralidad nunca superó los 48 centavos.
2020: se disparó a 73 centavos
¿Qué pueden hacer los asegurados?
Cindy Kaplan, directora de HALOCK Security Labs, indica que las compañías de seguros exigen controles a sus asegurados con respecto a sus prácticas de seguridad. “Las compañías de seguros están analizando su postura de riesgo, necesitan saber si sus clientes o clientes potenciales están preparados para un ciberataque. Es un proceso esencial evaluar continuamente el riesgo para que las empresas puedan identificar de manera proactiva las amenazas, contenerlas y remediar los ciberataques”. Las compañías de seguros están incentivando buenas estrategias de ciberseguridad por parte de sus clientes. Por ejemplo, las renovaciones de políticas para algunas empresas se basan en la habilitación de la autenticación multifactor (MFA) para el acceso remoto. MFA es uno de los requisitos más populares de las compañías de seguros.
Socio principal de HALOCK, Terry Kurzynski habló en la Midwest Cyber Security Alliance (MCSA) presentando “Preparación para el seguro cibernético: preparación para su próxima renovación”. Terry identificó áreas clave para fortalecer al prepararse para el proceso de suscripción. Las áreas clave que sugirió incluyen:
Autorización multifactor (MFA)
Programa de copia de seguridad y gestión de datos
Implementar el principio de privilegio mínimo (PoLP)
Programa de minimización de datos
Aplicación inmediata de parches
Detección y respuesta de terminales (EDR)
Seguridad y configuración del correo electrónico
Gestión de dispositivos móviles (MDM)
Capacitación cibernética de rutina
Documentación de Políticas y Procedimientos
Plan de respuesta a incidentes (IRP)
Pruebas de penetración y escaneo de vulnerabilidades
Cumplimiento: HIPAA, PCI DSS, CCPA
Riesgo de proveedores externos
Cortafuegos de aplicaciones web (WAF)
Las compañías de seguros realizan revisiones del historial cibernético. Las compañías de seguros exploran la frecuencia de los incidentes reportados por un cliente potencial y aprenden cómo una empresa manejó ataques anteriores. Algunas compañías de seguros están trabajando con los clientes para fortalecer sus estrategias de gestión de riesgos existentes con el fin de reducir sus factores de riesgo. Un enfoque clave cuando se trata de seguros es garantizar que los clientes hayan cumplido con su debida diligencia o su “deber de diligencia”. Practicar el deber de diligencia muestra a las partes interesadas, como clientes, litigantes y reguladores, que una empresa violada estaba practicando una “seguridad razonable” como lo exige la ley. El análisis de riesgos del deber de diligencia (DoCRA) proporciona la metodología en la que una organización construye un programa de seguridad evaluando su riesgo, la probabilidad de ese riesgo, el daño que ese riesgo podría causar y los controles implementados para protegerse contra él. Al colaborar a través de DoCRA, las primas se reducen para el cliente y al mismo tiempo se minimiza la exposición al riesgo para la aseguradora y se protege a otros de daños.
Comprender los requisitos de su perfil de riesgo y seguridad específico es importante para obtener la cobertura adecuada. Revise su entorno empresarial y establezca seguridad razonable para su red. Inicie el proceso para lograr un seguro y una ciberseguridad eficaces con estas consideraciones principales al contratar un seguro cibernético.
ACERCA DE HALOCK
HALOCK es una consultora de gestión de riesgos y seguridad de la información con sede en EE. UU., de propiedad privada y operada desde su sede en Schaumburg, Illinois. Desde empresas medianas hasta Fortune 100, nuestros clientes abarcan una variedad de industrias que incluyen servicios financieros, atención médica, legal, manufactura, cadenas de suministro, educación, energía, SaaS/nube, comercio minorista empresarial y muchas otras. Como autores principales de Método de evaluación de riesgos CIS (RAM) y miembros de la junta directiva del Consejo de Análisis de Riesgos del Deber de Cuidado (DoCRA), HALOCK ofrece una visión única para ayudar a las organizaciones a definir su nivel aceptable de riesgo y establecer un “deber de cuidado” para la ciberseguridad. A través de este método de evaluación de riesgos, las empresas pueden evaluar el riesgo cibernético de manera clara para las autoridades legales, reguladores, ejecutivos, personas no profesionales y profesionales de la seguridad. Servicios: Gestión de seguridad, Evaluaciones de riesgos CIS RAM y DoCRA, Validación de cumplimiento, Pen Testing, Gestión de riesgos de terceros, Fuerza laboral, ISO 27001, Respuesta a incidentes, Ingeniería de seguridad.
ⓒ 2023 . .
Etiquetas: