Autora: Allison (Allie) Pan ,
Senior Vice President, Emerging Risks, Marsh Advisory
04/24/2024
El mundo actual depende en gran medida de la tecnología digital y está expuesto a constantes amenazas cibernéticas. Al mismo tiempo, las condiciones macroeconómicas pueden ejercer una gran presión sobre los líderes empresariales para reducir el riesgo mientras administran presupuestos limitados. Esto puede llevar a los líderes a considerar si invertir en controles de ciberseguridad o adquirir cobertura cibernética..
En lugar de elegir entre una opción u otra, las organizaciones deben buscar un equilibrio a través de un enfoque de doble vía para lograr una resiliencia cibernética financieramente prudente.Esto implica invertir en controles de ciberseguridad y adquirir un seguro que se ajuste a la tolerancia al riesgo para cubrir las pérdidas en caso de un posible incidente cibernético.
El costo promedio de una violación de datos a nivel mundial fue de USD$4.45 millones en 2023, lo que representa un aumento del 15% en un período de tres años. El costo promedio de una violación de datos en los Estados Unidos fue más del doble, alcanzando los USD$9.48 millones.
Fuente: IBM’s Informe de IBM sobre el costo de una violación de datos.
Dado que los riesgos cibernéticos se consideran uno de los principales desafíos, como se describe en el Informe de Riesgos Globales, es fundamental que las organizaciones tomen medidas que les ayuden a mitigar y gestionar su riesgo cibernético, así como a mejorar su capacidad para recuperarse de manera efectiva en caso de ser afectadas por un evento cibernético.
Pero, ¿qué medidas pueden tomar las organizaciones? Las acciones necesarias se dividen en tres categorías principales que conforman la base de la gestión del riesgo. Haga clic a continuación para obtener más información sobre cada principio.
Los programas de ciberseguridad ayudan a las organizaciones a reducir su superficie de ataque, defenderse contra amenazas, asegurar y encriptar datos, segmentar o aislar sistemas críticos y limitar el acceso privilegiado, entre otros. Los programas de ciberseguridad sólidos, y su gobernanza, son fundamentales y, para las empresas públicas, ya no son opcionales. Sin embargo, los presupuestos de ciberseguridad a menudo son insuficientes para cubrir los costos considerables relacionados con la tecnología y que necesarios para responder y recuperarse de un incidente cibernético. Además, implementar nuevos o mejores controles de ciberseguridad puede llevar años, lo que significa que las inversiones en ciberseguridad pueden no generar beneficios inmediatos de reducción de riesgos, dejando un vacío que el seguro podría ayudar a cubrir.
El seguro de errores y omisiones cibernéticas y tecnológicas puede proporcionar protección financiera posterior al incidente, transfiriendo los numerosos costos asociados con fallas del sistema o violaciones de seguridad fuera del balance de una organización. Es crucial destacar que estos programas de seguro pueden cubrir costos no relacionados con la tecnología, incluyendo posibles responsabilidades legales ante terceros, costos regulatorios, pérdida de ingresos, costos de marketing adicionales para frenar la pérdida de clientes y costos para cumplir con las leyes de notificación de violaciones. Transferir estas pérdidas, ayuda a proteger el balance y preservar la salud financiera.
Finalmente, las organizaciones deben evaluar, idealmente de manera cuantitativa, sus riesgos cibernéticos o tecnológicos significativos. Este análisis debe evaluar cómo los controles existentes o ampliados podrían disminuir ese riesgo implícito, qué programas de transferencia son óptimos en términos de cobertura y eficiencia, y finalmente cuantificar el riesgo residual que pueden asumir en sus balances.
Un enfoque equilibrado es especialmente importante en medio del reconocimiento creciente de que incluso los controles de seguridad más avanzados pueden no detener a todos los actores malintencionados o mitigar todos los errores humanos. En pocas palabras, los mejores controles pueden no ser suficientes. Los programas sólidos de ciberseguridad pueden reducir la probabilidad o el impacto de un evento cibernético, pero nunca son a prueba de eventos. Cuando ocurren pérdidas, un programa de seguro cibernético adecuado proporciona otra capa de resiliencia para ayudar a las organizaciones a responder y recuperarse.
Casi tres cuartas partes de las violaciones de datos incluyen un elemento humano. Los seres humanos son falibles y algún grado de riesgo cibernético es inevitable, lo que subraya la idea de que el riesgo nunca puede ser completamente mitigado.
Fuente: Informe de Investigaciones sobre Violaciones de Datos (DBIR) de Verizon 2023
Una organización de atención médica invirtió 7 millones de dólares estadounidenses para mejorar los controles y prácticas de ciberseguridad, elevando con éxito su nivel de madurez según los estándares del Instituto Nacional de Estándares y Tecnología (NIST). La reducción de riesgos lograda se calculó en aproximadamente 25 millones de dólares estadounidenses y era necesaria para cumplir con los requisitos de las aseguradoras, que parecen evaluar cada vez más las medidas de ciberseguridad de las organizaciones antes de proporcionar una cotización.
Los líderes de la organización reconocieron que no era posible eliminar todas las amenazas cibernéticas y que el riesgo residual seguiría existiendo, a pesar de las inversiones en ciberseguridad. Decidieron complementar los esfuerzos de seguridad invirtiendo 1,3 millones de dólares estadounidenses en un seguro cibernético, que también era requerido desde una perspectiva de cumplimiento.
La decisión de adquirir un límite bastante alto permitió a la organización transferir 56 millones de dólares estadounidenses en riesgo cibernético potencial fuera de su balance, una reducción de costos que no se podría lograr invirtiendo la misma cantidad en controles cibernéticos. Consciente de los beneficios potenciales del seguro cibernético, el director de seguridad de la información (CISO) abogó por un aumento de 10 millones de dólares estadounidenses en el límite, lo que proporcionó fondos de emergencia que podrían utilizarse en caso de un incidente cibernético.
Tener un programa de seguro cibernético permitió a la organización continuar con su estrategia de inversión a largo plazo para mejorar sus procesos de ciberseguridad ya completos.
Teniendo en cuenta lo que está en juego, ¿cómo pueden las organizaciones tomar decisiones informadas y financieramente prudentes sobre la gestión del riesgo cibernético, especialmente cuando los expertos en seguridad y los profesionales de gestión de riesgos pueden no estar de acuerdo sobre cómo asignar un presupuesto limitado entre soluciones de seguridad y productos de transferencia de riesgos? Para tomar decisiones objetivas e informadas, los líderes empresariales deben considerar las siguientes preguntas.
Un evento cibernético a menudo es un gasto imprevisto para las organizaciones, con ramificaciones financieras a medida que las organizaciones trabajan para identificar y detener la amenaza, y también para recuperarse del evento. Considere no solo los costos tecnológicos, sino también otros gastos de remediación, incluidos posibles costos legales y responsabilidad ante terceros. ¿La organización sería capaz de financiar estos costos sin un impacto material en sus resultados financieros o la necesidad de asegurar financiamiento adicional?
Trabaje con su asesor de riesgos para aclarar cualquier malentendido sobre el seguro cibernético y obtener una comprensión clara de lo que generalmente se cubre. Su asesor debería poder aclarar los servicios que el seguro cibernético generalmente paga después de una violación, como los costos incurridos para notificar a clientes o reguladores, y que deberían ser absorbidos por su organización en ausencia de cobertura. Es importante tener en cuenta que la mayoría de las aseguradoras siguen brindando una cobertura sólida que responde bien a los ciberataques.
A menudo existen conceptos erróneos asociados con el costo de límites de seguro cibernético suficientes. Si bien el seguro puede parecer costoso, adquirir un programa con límites adecuados para cubrir los gastos posteriores a una violación, a menudo representa una fracción de los costos asociados con la recuperación. Además, tenga en cuenta que los ahorros de costos al obtener una cobertura menor pueden no ser suficientes para permitir que una organización realice mejoras significativas y rápidas en su postura de ciberseguridad.
Si bien las solicitudes de seguro cibernético pueden llevar tiempo completar, la información detallada que generalmente se requiere a menudo ya está disponible. Las solicitudes de seguro cibernético suelen ser proporcionales a otras solicitudes de datos de clientes, prestamistas u otros. Además, aunque puede ser laborioso recopilar los datos la primera vez, esto suele ser más fácil en renovaciones posteriores. Su asesor de seguros puede guiarlo para responder las preguntas y proporcionar a las aseguradoras toda la información relevante para facilitar el proceso de solicitud.