Una amenaza creciente

Las previsiones indican que en 2024 aumentarán los ciber ataques y el negocio de asegurar este riesgo

En 2023, el mundo se enfrentó a una situación geopolítica compleja, con varias guerras y una incertidumbre económica global. En este contexto, el sector de la ciberseguridad creció exponencialmente más rápido que la economía global en general e incluso superando el crecimiento del sector tecnológico.

El año pasado hubo varias razones para explicar este gran crecimiento: las defciencias y malas confguraciones de la nube han aumentado las reclamaciones de seguros; las aseguradoras están favoreciendo a las organizaciones que demuestran tener soluciones antipirateo; las empresas ya son conscientes de la prioridad que representa tener defensas anti pirateo; y, al menos en Europa, la implementación de servicios de seguridad se están convirtiendo en un requisito previo para el seguro cibernético.

¿Cuáles serán las grandes tendencias que afectarán los requisitos de seguros cibernéticos en el próximo año? De cara al futuro, ¿cuáles serán las grandes tendencias que afectarán los requisitos de seguros cibernéticos en 2024?

La nueva reglamentación europea tendrá un impacto importante, ya que obliga a las empresas que cotizan en bolsa a revelar incidentes con prontitud e informar anualmente sobre la gestión, la estrategia y la gobernanza de los riesgos de ciberseguridad. La regla surge en un momento en que la cobertura del seguro cibernético se está expandiendo, los costes han bajado ligeramente en algunos países y las aseguradoras están reconociendo los esfuerzos de las organizaciones para fortalecer sus controles de ciberseguridad, según un reciente estudio de The Wall Street Journal.

GESTIÓN EFICIENTE

Las empresas ya han adquirido conciencia de la necesidad de establecer medidas de seguridad cibernética. Las aseguradoras demandan una gestión efciente en este terreno por parte de sus clientes. Las pólizas son cada vez más precisas, pero se espera una contrapartida por pate de los clientes que deben fortalecer sus parámetros de seguridad en un panorama de aumento del número de ataques.

Hasta ahora, la segurida de las empresas tendía a ser fragmentaria, centrándose sólo en una parte del entorno tecnológico empresarial y proporcionando únicamente evaluaciones de riesgos puntuales. Actualmente, la seguridad moderna está integrada y basada en plataformas, lo que proporciona visibilidad total en tiempo real en todos los dispositivos, cuentas y aplicaciones, tanto en las instalaciones como en la nube. Además, evalúa el riesgo de forma continua y no periódica. Esto proporciona una superfcie de ataque constante y aumenta enormemente la capacidad de los equipos de seguridad para detectar amenazas a tiempo.

SEGURIDAD PROACTIVA

La defensa actual también aporta mayor inteligencia a su análisis, teniendo en cuenta la probabilidad de ataque, los impactos potenciales y la categoriación de los activos, entre otros. Esto hace que sea más fácil priorizar los riesgos de manera efectiva y acelera el descubrimiento de los ataques. En defnitiva, las empresas ahora son proactivas en su estrategia de ciberseguridad.

A medida que pase el tiempo, probAblmente las compañías aseguradoras empezarán a solicitar alguna certifcación que valide la política de seguridad digital. Las organizaciones no podrán simplemente decir que tienen una plataforma capaz de gestionar un ciberataque: tendrán que demostrar que todas las piezas de su estrategia de seguridad están verdaderamente integradas y querrán asegurarse de que la plataforma elegida pueda proporcionar esa confrmación a través de una evaluación continua de riesgos. Será obligado demostrar que se está preparado.

A medida que los clientes de las compañías de seguros que tienen productos cibernéticos continúen profundizando en su análisis y comprensión de las vulnerabilidades propias que pueden aumentar el riesgo de ser atacado, se concentrarán en aquellas que consideran más críticas después de realizar sus evaluaciones de riesgos.

PRIORIZAR LAS DEBILIDADES

Eso signifca que las empresas necesitarán ser capaces de identifcar y priorizar las vulnerabilidades por sí mismas y demostrar a sus proveedores de seguros que tienen medidas de seguridad muy efectivas. También querrán que sus herramientas les permitan corregir rápidamente esaas vulnerabilidades críticas. Con el tiempo, las compañías de seguros pueden incluso intentar realizar “evaluaciones puntuales” aleatorias y remotas para garantizar que se estén tomando las precauciones necesarias (de forma similar a la forma en que las compañías de seguros de automóviles tienen aplicaciones que monitorean el comportamiento del conductor en tiempo real). No está claro que las organizaciones estén abiertas a este nivel de observación, aunque con las herramientas de priorización de riesgos integradas en sus plataformas, los datos de monitoreo continuo estarán cada vez más disponibles para su comprobación.

MÁS CONTROL

Es innegable que el riesgo de ser víctima de un ataque ha aumentado. La digitalización ha contribuido a tener más fancos vulnerables y ya se ha acabado la época en la que era fácil estar a salvo de daños cibernéticos. Es comprensible que este mayor riesgo haya llevado a la mayor parte de empresas a recurrir al seguro cibernético para protegerse contra pérdidas. Sin embargo, es posible que las aseguradoras no paguen los daños sufridos por las organizaciones que no demuestren un nivel de control preventivo.

Esto afecta a todos los sectores de la economía y se ha revelado primordial incrementar las medidas de defensa porque los ataques a cierts empresas e instituciones clave pueden tener efectos negativos no solo en ellas y pueden afectar al global de la economía. En situaciones extremas, especialmente si varios fabricantes se vieran afectados a la vez, las aseguradoras podrían considerar los ataques como actos de guerra en lugar de delitos cibernéticos, y los actos de guerra quedarían excluidos totalmente de la cobertura.

En este panorama, es absolutamente fundamental que las empresas establezcan estrategias de seguridad integrales para sus entornos digitales, además de contar lógicamente con un seguro cibernético.

PLAN DE RESPUESTA

Las empresas que cuentan con un ciberseguro deberán tener cada vez más un plan detallado de respuesta a incidentes. Las pólizas de seguro cibernético no detallan el qué, el cómo y el cuándo de ste tipo de planes, lo que deja lagunas críticas en caso de que se produzca una infracción. Las compañías de seguros lo saben y es probable que pongan fn a esta práctica haciendo que los planes de respuesta documentados y probados sean un requisito obligatorio del seguro de ciberseguridad. En 2024, como en años anteriores, las estrategias cibernéticas empresariales también pueden cambiar debido a que los entornos de seguridad son extremadamente dinámicos, lo que signifca que las políticas de prevención pueden quedar desfasadas en el transcurso de un año.

EVOLUCIÓN CONTINUA

Las aseguradoras de seguros cibernéticos entienden que algunas cosas simplemente están fuera del control de una organización. Es imposible protegerse contra todas y cada una de las amenazas potenciales. Pero ahora, los reguladores europeos piensan que las empresas pueden y deben ser totalmente responsables. Sus exigencias llegarán incluso a exigir la presencia de expertos en ciberseguridad en los comités directivos. Las organizaciones empresariales que adopten una actitud moderna basada en plataformas con monitorización continua de riesgos estarán en mejor posición para adaptarse a medida que cambien los requisitos.