Todos los días leemos historias de violaciones de datos y ataques cibernéticos en sitios web comerciales y gubernamentales y la pérdida resultante de información de identificación personal (PII). La ciberdelincuencia va en aumento y, dada la evolución de los métodos de ataque, es poco probable que existan remedios significativos y medidas fiables contra los ciberdelincuentes en el futuro previsible.
Claramente, las empresas necesitan estar aseguradas contra el robo cibernético, pero sorprendentemente muchas empresas (probablemente la mayoría) no parecen tener ningún seguro cibernético.
Dado que no existe un repositorio centralizado de informes, es difícil determinar la cantidad exacta de empresas que actualmente tienen algún tipo de póliza de seguro cibernético. Sin embargo, PwC estima que solo alrededor del 30% de las empresas tienen seguro de riesgo cibernético o seguro de responsabilidad cibernética (CLIC). Si es correcto, ese número parece sorprendentemente bajo dado el entorno actual.
Tabla de Contenidos
Riesgos específicos de la industria
La mayoría de las empresas claramente no creen que estén en riesgo de que uno de sus activos más valiosos, los datos de los clientes, caiga en manos de los ciberdelincuentes. Cualquiera que lea el Daily News sabe que es una apuesta estúpida. También es común, si no obligatorio, que las corporaciones estadounidenses compren una variedad de pólizas de seguro, incluida la responsabilidad general comercial (CGL), responsabilidad de directores y funcionarios (D&O) y errores y omisiones (E&O).
No todas las políticas de CGL, D&O y E&O son iguales; a menudo son específicas de la industria. Por ejemplo, una empresa que fabrica y vende bicicletas es muy diferente de un minorista de comercio electrónico como Target que recopila PII y datos de tarjetas de crédito (regulado por la industria de tarjetas de pago (PCI)). Es posible que el ciclismo no tenga un riesgo cibernético, pero los fabricantes y vendedores de bicicletas necesitan un seguro contra fallas de diseño; las empresas minoristas de comercio electrónico, por otro lado, definitivamente necesitan un seguro cibernético.
Las nuevas empresas deben tomarse el tiempo para investigar las necesidades de seguros cibernéticos de su industria y comprender el riesgo de ser demandados por los clientes por la pérdida de PII, datos PCI o información de salud personal (PHI).
¿Cómo se establece la prima?
Las compañías de seguros utilizan datos históricos para establecer las primas en función de las categorías comerciales e industriales.En el ejemplo anterior, dada la larga historia de fabricación y venta de bicicletas en los Estados Unidos, no sería problema para la compañía de seguros ofrecer una póliza tradicional al fabricante de bicicletas.
Este no es el caso con la política de CLIC, ya que el delito cibernético es relativamente nuevo y los riesgos cibernéticos cambian con frecuencia. Incluso las empresas más establecidas tienen dificultades para mantenerse al día con el cambio constante y la gran cantidad de riesgo cibernético.
Hoy en día, los ciberdelincuentes están lanzando una nueva forma de ciberdelito una vez que un director de seguridad de la información (CISO) soluciona un posible riesgo de ciberseguridad. Eso hace que el trabajo de los aseguradores de identificar y cuantificar el riesgo sea complicado.
El problema se ve agravado aún más por los datos limitados disponibles para los suscriptores. Los 50 estados ahora requieren algún tipo de informe de intrusiones cibernéticas cuando la PII se ve comprometida, y muchas pólizas de seguro brindan a las personas afectadas protección crediticia durante 12 meses (p. ej., Lifelock). Sin embargo, las organizaciones a menudo no pueden informar el impacto total de una infracción para evitar publicidad negativa que podría dañar la confianza del cliente.
Debido a que cuantificar e identificar amenazas específicas de delitos cibernéticos es tan desafiante, las aseguradoras tienden a centrarse en los tipos de pérdidas, que son de naturaleza más fija (por ejemplo, pérdidas propias y reclamaciones de terceros) al determinar las primas.
Además de la industria de una empresa, las aseguradoras analizan los tipos de servicios que brinda una empresa, los riesgos y las exposiciones de los datos (por ejemplo, ¿la empresa almacena y mantiene PII confidencial del cliente, datos PCI o PHI?), Protocolos de seguridad existentes (si los hay) ), póliza e ingreso bruto anual.
¿Qué sucede después de presentar un reclamo de seguro cibernético?
Las compañías de seguros analizan cada reclamo para ver si hay cobertura, independientemente del tipo de negocio, ya sea un fabricante de bicicletas o un negocio de comercio electrónico. Las aseguradoras generalmente pueden tomar decisiones fácilmente debido a la gran cantidad de datos históricos en la industria de bicicletas.
En el mundo del comercio electrónico, las cosas no son tan simples. A veces, un tipo particular de incidente cibernético nunca ha ocurrido antes, por lo que la compañía de seguros niega el reclamo.
Hoy en día, algunas aseguradoras niegan las reclamaciones de seguros cibernéticos cuando los delincuentes están fuera de los Estados Unidos y afirman que un incidente cibernético es un acto de guerra.
