Las empresas del mercado medio se enfrentan a retos únicos en un entorno cibernético en constante cambio, lo que requiere soluciones de seguros integrales y una mayor preparación para gestionar los riesgos que podrían afectar a la rentabilidad.
Principales ideas
- Es posible que algunas empresas del mercado medio no contraten un seguro ciber o no inviertan en ciberseguridad en la medida necesaria para defenderse de los ciberriesgos en evolución.
- Aunque las tendencias de compra de ciberseguros del mercado medio están cambiando, es necesaria una mayor educación sobre las soluciones de transferencia de riesgos disponibles y un plan de preparación cibernética bien redondeado.
- Los socios de broking en el ámbito de los ciberriesgos pueden ayudar a las organizaciones del mercado medio a navegar por el mercado de los seguros para encontrar soluciones competitivas.
Los ciberataques y las violaciones de la seguridad de los datos siguen siendo la principal amenaza mundial a la que se enfrentan las empresas hoy en día, una amenaza ejemplificada por sucesos como la interrupción mundial de CrowdStrike, que puso a prueba los planes de respuesta a incidentes de las empresas y demostró que incluso los incidentes cibernéticos no malintencionados pueden tener graves repercusiones.
Las organizaciones del mercado medio están especialmente expuestas a este entorno de riesgo en evolución debido a las tendencias históricas de infraseguro y a los planes de preparación cibernética que no están alineados con el crecimiento de la empresa. Al comprender y mitigar su exposición a las ciberamenazas, estas organizaciones pueden reforzar su ciberresiliencia y protegerse contra las consecuencias financieras de los incidentes cibernéticos.
Más artículos similares
- Resumen de la capacidad: Ciberresiliencia
- Producto / Servicio: Análisis del impacto cibernético
- Resumen de la capacidad: Soluciones a medida para su empresa
4 mitos que afectan a la preparación cibernética del mercado medio
Las medianas empresas se enfrentan a un conjunto único de retos que aumentan los ciberriesgos. A medida que una empresa crece, también crece la importancia de comprender estos riesgos para garantizar un camino claro hacia la ciberresiliencia. Sin embargo, hay que tener cuidado con muchos mitos que pueden interferir en la preparación cibernética de una empresa:
Mito nº 1: las empresas del mercado medio no son objetivo de los actores maliciosos en la misma medida que las grandes organizaciones.
Los ciberataques pueden afectar a todas las áreas de una organización. Son independientes del sector y del tamaño. Los organismos reguladores también están endureciendo los requisitos de ciberseguridad, lo que podría afectar a la exposición al riesgo de las empresas del mercado medio si no están preparadas para cumplir las normas. Además, las empresas del mercado medio manejan a menudo cantidades significativas de datos valiosos, como información personal de clientes, registros financieros y propiedad intelectual, lo que las convierte en un objetivo prioritario para los actores maliciosos.
176%
Los ataques de ransomware se dispararon un 176% en el primer semestre de 2023, mientras que el precio de una sola violación de la seguridad de datos empresariales se elevó a un máximo histórico de casi 4,5 millones de dólares.
Fuente: Encuesta Global de Gestión de Riesgos de Aon
Mito nº 2: las medianas empresas no necesitan invertir en ciberseguridad.
Esta tendencia está cambiando a medida que las empresas del mercado medio se centran más en la ciberseguridad. No obstante, los actores maliciosos buscan los objetivos fáciles, independientemente de su tamaño. Si un cliente de tamaño mediano deja la puerta abierta a dichos actores, van a extraer lo que puedan de esa organización. «La tecnología y los ciberriesgos han evolucionado mucho más rápidamente que la capacidad de las empresas del mercado medio para gestionar sus exposiciones y contratar seguros para transferir los ciberriesgos», declara Brent Reith, head of cyber solutions de Aon en Norteamérica.
Mito nº 3: las ciberpólizas son inasequibles y difíciles de obtener para los no compradores.
Mientras que el mercado duro de hace unos años podría haber hecho que esto fuera cierto para algunas empresas, el actual mercado blando de ciberseguros es competitivo para los compradores primerizos que podrían estar aún en proceso de implantar controles de seguridad.
«La creciente madurez de la ciberseguridad en todo el mundo se presta a un mercado más favorable a los compradores», afirma David Molony, head of cyber solutions para Europa, Oriente Medio y África. «Además, el mercado de los ciberseguros se está abriendo para estar mucho más al alcance de los primeros compradores».
Mito nº 4: la cobertura cibernética está incluida en otras pólizas que contratan las empresas del mercado medio.
Las empresas medianas pueden creer erróneamente que tienen cobertura cibernética como parte de sus otras pólizas de seguros. Sin embargo, las pólizas de seguros comerciales tradicionales pueden no estar diseñadas para abordar explícitamente las pérdidas relacionadas con el aspecto cibernético. Si una póliza no concede o excluye explícitamente la cobertura cibernética, se denomina «cibernética silenciosa» y no hay garantía de que cubra un siniestro.
Al adquirir una cobertura de ciberseguro independiente, las organizaciones del mercado medio pueden contrarrestar el riesgo de una cobertura insuficiente frente a las crecientes ciberamenazas.
Los ciberriesgos a los que se enfrenta el mercado medio
El 70% de las organizaciones afirman estar preparadas para hacer frente a los nuevos riesgos, pero sólo el 36% afirma contar con medidas de seguridad adecuadas para las aplicaciones. Concretamente, en el mercado medio, las organizaciones suelen retener más riesgos. Muchas siguen sin contratar un ciberseguro y, si lo hacen, no lo hacen con el nivel de cobertura o los límites que necesitan.
La ciberresiliencia del mercado medio y la compra de seguros varía según la región:
- Norteamérica
- Europa, Oriente Medio y África
-8%
Las primas cibernéticas medias de Norteamérica en el mercado primario disminuyeron un 8% en el primer semestre de 2024.
Fuente: Aumentar la resiliencia en un mercado cibernético y de E&O favorable a los compradores
Cómo las empresas del mercado medio pueden lograr la ciberresiliencia
Las organizaciones del mercado medio están sometidas a una gran presión, no sólo para bloquear y combatir continuamente a los actores maliciosos, parchear los sistemas vulnerables y comprender los puntos de conexión entre pilas tecnológicas muy integradas, sino también para mantenerse al tanto de las posibles repercusiones de las amenazas emergentes y los cambios normativos.
Como resultado, los equipos de seguridad y de tecnología del mercado medio deben evaluar constantemente su preparación para las amenazas en evolución y proporcionar pruebas cuantificables de la eficacia de los controles actuales a las aseguradoras y al mercado.
Las empresas medianas pueden crear una ciberresiliencia sostenida gestionando el ciclo de vida cibernético completo a través de los cuatro puntos de evaluar, mitigar, transferir y recuperarse:
- Evaluar: comprender la postura de seguridad de la organización y su nivel actual de ciberresiliencia. Utilizar los análisis para comparar la resiliencia de la ciberseguridad con la de los homólogos en el mercado e identificar los puntos débiles para tomar mejores decisiones sobre la gestión de riesgos y las soluciones de ciberseguros.
- Mitigar: ser proactivo para ayudar a minimizar el impacto de las ciberamenazas, utilizando herramientas que puedan ayudar a defenderse de las amenazas activas, al tiempo que se planifica la respuesta a incidentes y se ensaya esa respuesta con simulaciones de ataques.
- Transferir: recurrir a soluciones de transferencia de riesgos y trabajar con un socio que pueda proporcionar acceso a una mejor asegurabilidad, precio y alcance de la cobertura. Las organizaciones pueden navegar mejor por el proceso de compra de seguros identificando las deficiencias de control y priorizando las mejoras antes de dirigirse a las aseguradoras para minimizar las preguntas y respuestas y ser vistas como un riesgo más atractivo para las aseguradoras.
- Recuperarse: Cuando se produce un ciberataque, las empresas del mercado medio necesitan disponer de procesos para responder eficazmente en tiempo real. Investigar las causas del incidente y tomar medidas concretas para ser más resiliente frente a futuros ataques.
Para ejecutar con éxito una estrategia de ciberresiliencia, las organizaciones deben centrarse en el acceso a soluciones de transferencia de riesgos respaldadas por precios competitivos y amplias condiciones de cobertura, una sólida defensa de las reclamaciones de los clientes, una consultoría proactiva de ciberseguridad, una planificación eficaz de incidentes de respuesta y una modelización de escenarios de pérdidas respaldada por análisis.
Las empresas del mercado medio pueden elaborar un relato sobre su trayectoria en materia de ciberseguridad y demostrar a las aseguradoras que están avanzando en la dirección correcta.»
Greg Sparacio
National Middle Market Leader, Cyber Solutions, Broking, EE.UU.
Estudio de caso
Ciberresiliencia basada en datos: empoderar al mercado medio
Una empresa mediana de servicios financieros estadounidense quería reforzar su ciberresiliencia y acceder a una cobertura cibernética competitiva en un mercado difícil.
Aon trabajó con la empresa para comparar sus capacidades de ciberseguridad con las de sus homólogos utilizando la plataforma CyQu, así como para abordar las lagunas en las prácticas de seguridad para dirigirse a las aseguradoras con confianza. Aon también utilizó simulaciones de adversarios para ayudar al cliente a comprender cómo actuarían los controles en un ataque real y puso a la empresa en contacto con proveedores para ayudar a minimizar las consecuencias de un ciberataque.
Con la ayuda de Aon, el cliente puede mantenerse informado sobre la cambiante dinámica del mercado de los ciberseguros y, a su vez, acceder a una cobertura adecuada y a costes de seguro competitivos. En la actualidad, la herramienta CyQu ayuda al cliente a situarse en el cuartil superior entre sus homólogos del sector en evaluaciones de ciberseguridad. Aon ha ayudado a la organización a asegurarse una sólida política cibernética y a comprender la evolución del mercado.
El futuro del ciberriesgo: lecciones aprendidas de la interrupción de CrowdStrike
La interrupción de CrowdStrike puso de relieve el grado de ciberriesgos a los que se enfrentan actualmente las empresas del mercado medio y cómo los seguros pueden transferir las exposiciones. Algunas organizaciones que no tenían ciberseguro pueden haber pensado que la interrupción de CrowdStrike no habría estado cubierta por una póliza porque estaba relacionada con un sistema causado por un proveedor externo. Sin embargo, este riesgo encaja perfectamente entre las cuatro paredes de una póliza de seguro ciber estándar, y así ha sido durante mucho tiempo.
Otras enseñanzas de la interrupción
- Vulnerabilidades tecnológicas
La interrupción de CrowdStrike reveló que las actualizaciones de software, los fallos del sistema y los parches pueden tener un impacto significativo en una empresa. Abrió los ojos de las organizaciones al hecho de que tienen puntos críticos de fallo de los que no eran conscientes.
«Es posible que los líderes empresariales se hayan centrado anteriormente en establecer controles de seguridad en torno a sus activos de misión crítica, pero la interrupción demostró que es posible que un fragmento de código de un programa alojado en otro sistema provoque un fallo operativo material e involuntario en todo el mundo», explica Molony. - La amenaza del riesgo de terceros
La interrupción también puso de relieve la importancia de comprender y mitigar el riesgo de terceros. «Todas las empresas son conscientes de que existen riesgos de terceros, pero quizá no se hayan percatado necesariamente de la magnitud de los mismos en su entorno y del tipo de impacto que podrían tener los riesgos», indica Matt Chmel, chief broking officer of cyber solutions de Aon en Norteamérica. «Incluso si esos terceros tienen controles de ciberseguridad, la cantidad de acceso que se está dando a estas entidades crea un riesgo empresarial». - La necesidad de un ciberseguro holístico
La interrupción también demostró las ventajas de una póliza de ciberseguro independiente adaptada a las organizaciones del mercado medio. Es posible que las pólizas de responsabilidad civil general o las pólizas combinadas no cubran las pérdidas por interrupción del negocio derivadas de este tipo de sucesos. Contar con una póliza de ciberseguro independiente orientada a un comprador del mercado medio ayudará a asegurarse de que se dispone de la cobertura adecuada, en concreto la interrupción del negocio por fallos del sistema, que cubre las interrupciones no planificadas.
Hemos visto que los suscriptores comienzan a hacer preguntas en torno a cómo las organizaciones se vieron afectadas por la interrupción de CrowdStrike, por lo que será interesante ver cómo dicha interrupción podría afectar al mercado en el futuro.»
Samantha Billy
Growth Leader, Cyber Solutions, Norteamérica
En vista de la evolución del panorama de los ciberriesgos, las organizaciones del mercado medio deben esforzarse por asociarse con un corredor que conozca cómo evolucionan los ciberriesgos, que aporte experiencia en seguros y reaseguros, y que pueda anticiparse a los cambios en el mercado minorista de ciberseguros antes de que se produzcan incidentes.
Obtenga más información sobre cómo las organizaciones del mercado medio pueden crear una ciberresiliencia sostenida.
Referentes de Aon
- Carlos Bereciartua, Head of Cyber Consulting de Aon España
- Samantha Billy: Growth Leader, Cyber Solutions, Norteamérica
- Matthew Chmel: Chief Broking Officer, Cyber Solutions, Norteamérica
- Aileen Eaves: Strategy & Execution Leader, Cyber Solutions, Norteamérica
- David Molony: Head of Cyber Solutions, Europa, Oriente Medio y África
- Brent Rieth: Head of Cyber Solutions, Norteamérica
- Greg Sparacio: National Middle Market Leader, Cyber Solutions, Broking, EE.UU.
1The Canadian Cyber Insurance Market 2024 | Insurance Bureau of Canada
2Assessing the State of Cybersecurity for Mid-Sized Businesses in 2023 | Huntress
