Los costos de los seguros cibernéticos aumentan, las coberturas se reducen: informe

Las tarifas de las pólizas de seguro cibernético siguen aumentando mientras que un número creciente de exclusiones reducen lo que cubren, según un informe publicado el martes por una empresa de ciberseguridad.

Casi cuatro de cada cinco (79%) de las más de 300 organizaciones en los Estados Unidos encuestadas por Censuswide para el proveedor de gestión de acceso privilegiado Delinea vieron aumentar sus costos de seguro, mientras que más de dos tercios (67%) notaron que sus primas de seguro cibernético habían aumentado. aumentó entre un 50% y un 100% cuando solicitaron o renovaron sus pólizas este año.

"Durante el año pasado, se hizo evidente que las aseguradoras cibernéticas están aprendiendo de sus datos y ahora están madurando", dijo Joseph Carson, científico jefe de seguridad y asesor CISO de Delinea, en un comunicado.

Explicó que en los primeros días del seguro cibernético, las aseguradoras simplemente intentaban satisfacer una enorme demanda, pero ahora se dan cuenta de que deben reducir su exposición a circunstancias tanto evitables como incontrolables.

"Los resultados de nuestra encuesta revelan que la mayoría de las organizaciones no abordan el seguro cibernético con la misma diligencia: simplemente buscan obtener cobertura", continuó. "Lo que no están comprobando es si la póliza que tenían el año pasado es la que necesitan ahora o si su póliza cambió en el momento de la renovación".

"Esta 'brecha de seguro cibernético' podría poner a muchas organizaciones en una situación difícil cuando ocurre un incidente de seguridad cibernética y desean utilizar esta red de seguridad financiera", agregó.

La evaluación de riesgos y el seguro cibernético siempre estarán en constante cambio, de la misma manera que evolucionan los vectores de amenazas, explicó Bud Broomhead, director ejecutivo de Viakoo, un proveedor de ciberhigiene automatizada de IoT en Mountain View, California.

“Los cambios recientes, como el cambio de actores de amenazas que explotan dispositivos IoT/OT vulnerables y más vulnerabilidades de código abierto, están impulsando a las aseguradoras a adaptar sus modelos de riesgo y también a imponer condiciones a los asegurados, como exigir ciberhigiene automatizada para dispositivos que no son de TI y sistemas”, dijo a TechNewsWorld.

Explosión de exclusión

Una forma en que las aseguradoras están reduciendo su exposición al suscribir pólizas de seguro cibernético es limitando sus coberturas mediante exclusiones. El informe de Delinea encontró que la lista de exclusiones que anulan la cobertura en una póliza cibernética está creciendo.

La principal razón dada por los encuestados para excluir la cobertura de una póliza fue la falta de protocolos de seguridad establecidos (43%), seguida del error humano (38%), actos de guerra (33%) y no seguir los procedimientos de cumplimiento adecuados. (33%).

Las exclusiones pueden reducir el valor de tener un seguro cibernético a los ojos de una organización. "Cualquier exclusión que excluya las estafas de ingeniería social o el error humano esencialmente mata esa política, porque la mayoría de los ciberataques están relacionados con esas dos causas fundamentales", sostuvo Roger Grimes, evangelista de defensa en KnowBe4, un proveedor de capacitación en concientización sobre seguridad en Clearwater, Florida.

"Entre el 70 y el 90 por ciento de todos los ciberataques exitosos implican ingeniería social", dijo a TechNewsWorld. "Cualquier exclusión que excluya la ingeniería social básicamente no le da casi ninguna posibilidad de obtener un reembolso".

Las exclusiones reducen el valor general de una póliza porque reducen el verdadero alcance de la cobertura, agregó Jason Dettbarn, fundador y director ejecutivo de Addigy, fabricante de una plataforma de administración de dispositivos Apple en Miami”.

"Sin embargo, lo más importante es que muy pocas empresas cumplen con los requisitos básicos de suscripción", dijo a TechNewsWorld. "No cuentan internamente con las herramientas o procesos de gestión cibernética y de TI adecuados".

Responsabilidad de las víctimas

Carson dijo a TechNewsWorld que la creciente lista de exclusiones y limitaciones significa que las organizaciones deben comprender la letra pequeña de las políticas para garantizar que su reclamo sea aprobado.

“Si las organizaciones no siguen el procedimiento de reclamación de la póliza, podrían encontrarse con ciertos costos de incidentes o violaciones de datos que podrían no estar cubiertos como parte del reclamo, por lo que es fundamental conocer el procedimiento correcto antes de tener que utilizarlo en en medio de un ciberataque”, dijo.

“La gran pregunta será cuántas de esas exclusiones se mantendrán en los tribunales después del caso judicial clave a principios de este año en el que Merck ganó respecto a que la cláusula de exclusión de 'acción hostil/bélica' no debería aplicarse a un ataque cibernético a una entidad no militar. empresa, incluso si se originó en un gobierno”, añadió.

Darren Williams, director ejecutivo y fundador de BlackFog, desarrollador de una tecnología antiexfiltración de datos en el dispositivo en Cheyenne, Wyoming, afirmó que los costos crecientes del seguro cibernético están pasando factura a todas las empresas a nivel mundial.

"Estamos viendo que muchas pequeñas empresas optan por ya no tener cobertura debido a la cantidad de exclusiones, sino que invierten en soluciones preventivas de ciberseguridad", dijo a TechNewsWorld.

"Como lo indica esta investigación", dijo, "el error humano es inevitable y una de las principales causas de los ataques de ransomware, y los actos de guerra pueden interpretarse de manera muy amplia si así lo desean las aseguradoras".

"Además", continuó, "las exclusiones combinadas con anuncios recientes de estados que prohíben los pagos de ransomware hacen que el seguro tenga un valor limitado".

"En última instancia, la responsabilidad de evitar la filtración de datos recae en la víctima y, por lo tanto, el riesgo para el negocio debe sopesarse cuidadosamente", añadió.

Necesidad operativa

Sin embargo, las organizaciones que evitan el seguro cibernético lo hacen bajo su propia responsabilidad. "La ciberseguridad es casi obligatoria para cualquier empresa que tenga datos de clientes y esté en riesgo de sufrir una filtración de datos o un ataque de ransomware", observó Dettbarn.

"Hoy en día, el seguro cibernético es muy recomendable", afirmó Theresa Le, directora de reclamaciones de Cowbell, un proveedor de seguros cibernéticos impulsados ​​por inteligencia artificial para PYMES en Pleasanton, California.

"Incluso con los mejores esfuerzos de ciberseguridad, las empresas aún enfrentan riesgos cibernéticos residuales debido a configuraciones incorrectas del sistema, errores de los empleados u otras brechas de seguridad no intencionales", dijo a TechNewsWorld. “Cada vez es más común que se exija cobertura cibernética en los acuerdos contractuales”.

Carson señaló que una de las estadísticas más sorprendentes del informe es el aumento de organizaciones que utilizaron su seguro de ciberseguridad más de una vez, del 41% en 2022 al 47% en 2023.

"Esto demuestra una vez más que el seguro cibernético no significa necesariamente una mejor seguridad, y es una red de seguridad financiera cuando ocurren incidentes de seguridad", dijo.

"En el lado positivo", continuó, "los proveedores de seguros están madurando con datos mejorados y conocimientos sobre lo que se requiere para hacer que las empresas sean más resilientes contra los ataques cibernéticos, y sus políticas ahora exigen mejores prácticas de seguridad de las empresas antes de que puedan siquiera ser asegurables". .”