¿Por qué están subiendo las primas de las ciberpólizas?

Las ciberpólias están encontrando una mayor demanda y su precio está aumentando, pero no es un efecto de la demanda, pero las razones tienen más que ver con la dificultad de establecer criterios claros para determinar el ciberriesgo.
En una reciente conversación con la directora de ciber-riesgos de un broker de seguros, me comentó que las primas para la contratación de las ciber-pólizas están experimentando un considerable incremento. Y la verdad es que no me resultó muy sorprendente.
Hasta el momento, las compañías aseguradoras han venido estableciendo el importe de las primas sin disponer de datos actuariales suficientes. Las más adelantadas en este terreno, han asumido unos riesgos no demasiado elevados debido a la escasa cantidad de organizaciones que contrataban estas coberturas, fijando unas primas de pequeña cuantía en contrapartida para hacerse con estos primeros clientes, de los que no contaban con información sobre su nivel de exposición.
Los únicos datos con que se contaba para determinar el nivel de exposición han sido cuestionarios contestados por los clientes y -quizás- algún tipo de exploración realizada en base a sistemas de monitorización externa que evalúan el grado de exposición de la organización asegurada sobre la superficie que la misma ofrece en Internet. Pero esto, como ya hemos dicho en alguna ocasión, es equivalente a realizar un seguro de incendios de un edificio en base a una fotografía tomada desde un dron, resultando obvia su insuficiencia a la hora de cuantificar una póliza de cobertura de ciber riesgos.
El resultado está comenzando a verse, y las potenciales indemnizaciones para cubrir las cuantiosas sanciones a las que se exponen las compañías tras la entrada en vigor del Reglamento de Protección de Datos, además de las pérdidas que pueden derivarse de los problemas operativos y de continuidad de negocio causados por un ciber-ataque, ponen muy nerviosas a las compañías aseguradoras ante la creciente demanda de este tipo de coberturas. Y las consecuencias son obvias: no cabe más remedio que aumentar el importe de las primas.
No es algo que nos sorprenda. En LEET Security llevamos varios años evaluando y calificando el nivel de seguridad con el que se prestan todo tipo de servicios en muy variados estilos de compañías, y siempre hemos argumentado que ni los cuestionarios ni la monitorización desde el exterior permiten determinar el riesgo (y mucho menos la cuantía) de que una organización sufra las consecuencias de un ataque. De hecho, hemos podido contrastar el contenido de varios de estos cuestionarios, y la verdad es que ninguno abarca, ni siquiera remotamente, todos aquellos aspectos que deben ser tomados en consideración para determinar con ciertas garantías el posicionamiento en ciberseguridad de una organización.
Somos conscientes de que nuestro marco de controles es muy amplio y resulta complejo de cumplimentar y de evaluar. Pero todo lo que está presente tiene una razón de ser: comenzando por un sistema de gestión, con sus políticas y procedimientos formalmente establecidos, unos presupuestos en los que la ciberseguridad sea tomada en consideración, un personal formado y concienciado, una operación en la que realmente se apliquen las medidas de seguridad que se han plasmado en los procedimientos, y unos sistemas que minimicen el impacto y posibiliten la rápida recuperación en caso de un incidente (porque lo vamos a acabar teniendo, si no ha ocurrido ya).
Todo ello resulta muy pesado de implantar y de verificar. Pero esto es lo que hace la calificación, y por eso nos lleva varios días de trabajo.  Y con sus resultados conocemos con certeza en qué medida la organización mitiga los riesgos a que está sometida, algo que nunca podrá evaluarse con el tipo de cuestionarios que estamos acostumbrados a ver, ni tampoco con esa fotografía aérea que proporcionan los “ratings” digitales que se utilizan con frecuencia, por lo cómodos que resultan, pero que realmente tienen una aportación muy limitada respecto al nivel real de seguridad y resiliencia ofrecidos por la organización.
Las sanciones y pérdidas que puede sufrir una compañía a causa de un incidente de ciber-seguridad pueden ser enormemente cuantiosas, y por ello, la contratación de un seguro es un recurso al que cada vez se recurre con mayor frecuencia. No obstante, y como dijo el CIO de Maersk tras sufrir el incidente con NotPetya, el seguro nunca resulta suficiente. Tanto y más que el seguro, la preparación es importante, y la calificación puede permitir conocer cuan preparados estamos y mostrar cómo protegernos mejor. Para las aseguradoras resulta de mayor utilidad en la determinación del riesgo -posiblemente el mejor sistema del mundo- que cualquiera de sus cuestionarios.
Una muestra es el descuento ofrecido por la aseguradora Hiscox a aquellas compañías que cuenten con servicios calificados. Quizás sea el momento de que el resto de aseguradoras se planteen que podrían utilizar este mismo sistema para conocer de verdad el riesgo de sus asegurados y poner unos precios adecuados a la potencial siniestralidad.
De verdad, All you need is LEET!

Recibe nuestras notificaciones desde este enlace