Aon publica el informe Aon’s Cyber Insurance Snapshot EMEA para ayudar a sus clientes a comprender mejor el endurecido del mercado cyber en 2021 y la importancia de un enfoque estratégico de intermediación basado en el riesgo.
Este informe analiza el entorno y tendencias de riesgo en 2021, información de primas e información extraída de nuestra EMEA Cyber Carrier Survey.
En 2021 se espera un año de dinámica de mercado cibernético fluido. Mientras ayudamos a los clientes a navegar a través de un duro ciclo de mercado, reconocemos la necesidad de ser proactivos en las colocaciones con un proceso de suscripción más diligente, así como la necesidad de considerar opciones de cobertura y estructuras de programas creativos para ayudar a cumplir los objetivos de transferencia de los riesgos.
Nuestro objetivo, al ofrecer una instantánea del mercado de ciberseguros de 2021, es apoyar a las organizaciones de EMEA aportando un contexto a estos desafíos -tanto cuantitativos como cualitativos- que las aseguradoras están tratando de gestionar, compartir datos sobre las tendencias del mercado junto con las orientaciones de futuro ofrecidas por las aseguradoras de ciberseguros, y preparar a las organizaciones mientras se acercan al mercado en lo que probablemente será el año más desafiante hasta la fecha en la historia de los seguros de ciber riesgos.
“Según el informe Cyber Insurance Snapshot EMEA de Aon estamos ante el que probablemente será el año más desafiante hasta la fecha en la historia de los seguros de ciber riesgos”.
A lo largo de 2020, las aseguradoras alcanzaron, y en muchos casos superaron, un punto de inflexión a medida que la frecuencia y la gravedad de los siniestros superaban la mejora de la selección de riesgos y el aumento limitado de las primas. El cambio que se ha estado desarrollando desde finales de 2018, y que finalmente inclinó la balanza en 2020, se relaciona con la actividad del ransomware en todos los segmentos de empresas, pero principalmente en el espacio del mercado medio.
Las tendencias clave de 2020
Frecuencia de siniestralidad
Aon’s Cyber Solutions registró durante 2020 una cadencia de 3 nuevos siniestros por día hábil, a nivel mundial. Esto es un incremento de casi el 100% con respecto 2019, y casi todos ellos relacionados con ransomware.
Siniestralidad de impacto
El impacto medio de las pérdidas aumentó cada trimestre de 2020. En muchos casos, las pérdidas relacionadas con ransomware llegaron a ser de ocho cifras. Muchos de estos siniestros todavía siguen ajustándose a lo largo del año, a medida que se revisan las posteriores pérdidas por interrupción de la actividad y se litigan las reclamaciones por responsabilidad.
Primas
Aunque el incremento medio de prima entre 2019 y 2020 fue del 5% – 10%, éstos no han sido suficientes para compensar el aumento de la frecuencia y el impacto de los siniestros.
Selección del riesgo
Los Aseguradores han estado reforzando, durante 2020, las herramientas a su alcance que les ayude en la selección del riesgo. Muchos están utilizando los cyberscan para buscar vulnerabilidades que puedan ser objeto de ciberamenazas, y muchos han incluido nuevos cuestionarios específicos sobre ransomware. Estos esfuerzos se centran en mejorar los controles de los riesgos asegurados, así como en mejorar la selección de riesgos.
Prevemos que estas tendencias se van a mantener a lo largo de 2021 a un ritmo acelerado. Aon’s Cyber Solutions ha recibido, por parte de los principales Aseguradores, orientación de incrementos de prima de entre el 20% y el 50%.
Para mantener un compromiso estable a largo plazo con la capacidad destinada al riesgo cyber, los Aseguradores están revisando las áreas de las carteras en las que se necesita una acción de suscripción, y reevaluando el despliegue de la capacidad, específicamente en lo relacionado con las pérdidas por ransomware.
Tendencias de riesgo a tener en cuenta
Trabajo en remoto
El teletrabajo ha llegado para quedarse, aumentando las vulnerabilidades potenciales dado el software del Remote Desktop Protocol (RDP), la seguridad del acceso remoto, la dependencia de terceros proveedores de servicios de IT y la comunicación digital como el principal medio para compartir información.
Ciber Extorsión
El robo y el uso indebido de información personal identificable ya no es la gallina de los huevos de oro de los cibercriminales.
Los ataques de ransomware han evolucionado para incluir no sólo el cifrado de datos sensibles (incluida la IPP y la información corporativa confidencial) sino también la amenaza de exposición de dichos datos en Internet. Este tipo de ataques puede dar lugar a tiempos de inactividad de la empresa debido a las redes cifradas, así como a posibles consecuencias de responsabilidad en términos de sanciones administrativas o demandas de terceros.
Puede interesarte:
Incumplimiento de la normativa
El entorno normativo sigue creciendo en complejidad. Las recientes multas impuestas en virtud del Reglamento General de Protección de Datos (RGPD) de la Unión Europea demuestran que las organizaciones deben ser conscientes del impacto de una violación de datos.
Más de 160.000 violaciones de datos se han notificado en los 28 países de la Unión Europea más Noruega, Islandia y Liechtenstein desde que el GDPR entró en vigor el 25 de mayo de 2018. Las sanciones aumentaron casi un 40% en 2020, alcanzando la cifra de 158,5 millones de euros, siendo la mayor sanción de 35 millones de euros emitida por el regulador alemán. El regulador italiano impuso más de 60 millones de euros en multas agregadas por el RGPD. La sanción más elevada hasta la fecha sigue siendo la de 50 millones de euros impuesta por el regulador francés.
La evolución en este ámbito podría traer consigo mayores problemas financieros desde el punto de vista de las multas y sanciones. La Ley de Protección de la Información Personal (POPIA) entró en vigor en Sudáfrica el 1 de julio de 2020, para regular el tratamiento de la información personal en consenso con las normas internacionales de privacidad.
Riesgo de proveedores y terceros
A medida que las organizaciones continúan adaptándose al entorno empresarial actual y a las necesidades del mercado asociadas, la dependencia de la tecnología de terceros y de las aplicaciones de back-end son mayores que nunca. Las normas de ciberseguridad de los proveedores son una parte fundamental de esta ecuación.
El compromiso de Solar Winds y las recientes vulnerabilidades de Microsoft Exchange demuestran la complejidad de las relaciones con los proveedores de tecnología y cómo aumenta el riesgo frente a la ciberseguridad.
Tecnología no cubierta
COVID-19 ha acelerado las iniciativas de transformación digital de muchas organizaciones. La aparición de servicios y productos tecnológicos en sectores más tradicionales representa una exposición de IP potencialmente «descubierta» que puede no estar contemplada desde el punto de vista de la responsabilidad y las pérdidas financieras.
Sectores percibidos con mayor riesgo durante 2021
- Los clientes del sector industrial han sido identificados como los de mayor riesgo percibido, según el 48% de los encuestados.
- Agricultura, Silvicultura y Pesca han sido identificados como los de menor riesgo. Sólo el 4% de los encuestados lo eligieron como sector de riesgo clave.
Consideraciones a la cobertura de ciberseguridad en 2021
En respuesta a las tendencias de riesgo y siniestralidad descritas anteriormente, los aseguradores están ajustando su enfoque de suscripción, revisando los términos y condiciones de la cobertura y reevaluando el despliegue de la capacidad. Los siguientes son ejemplos específicos de consideraciones de cobertura que los asegurados tendrán en consideración en 2021.
Cobertura de ransomware:
Los eventos de ransomware y sus pérdidas asociadas son citados por muchas aseguradoras como un factor importante que impacta en sus ratios de siniestralidad. Si no se proporciona la información de suscripción adecuada, o si la información proporcionada se considera desfavorable, las aseguradoras pueden tratar de limitar su cobertura para las pérdidas por eventos de ransomware:
- Varias aseguradoras están adoptando una estrategia de despliegue de límites en la que pueden limitar el agregado que ofrecen a cualquier asegurado a algún factor del límite total de la póliza.
- Se está proponiendo el co-aseguro (con el asegurado), en algunos casos, junto con un sub-límite.
- Se están revisando los periodos de espera para los acuerdos de seguro de interrupción de la actividad empresarial relacionados con eventos de ransomware, que en algunos casos pueden llegar a ser de 24 horas.
- En los casos más extremos, cuando faltan controles críticos, las aseguradoras pueden tratar de incluir exclusiones de «eventos de ransomware» en las pólizas.
Es fundamental tener en cuenta que, aunque las aseguradoras están utilizando estos enfoques para limitar su exposición, estas restricciones de cobertura no están diseñadas para aplicarse únicamente a un acuerdo de seguro de ransomware o ciberextorsión. Más bien, la restricción está redactada de tal manera que se aplica al ransomware como vector de ataque (un «evento de ransomware»), y por lo tanto puede limitar la cobertura de cualquier pérdida que surja de tal ataque.
Puede interesarte:
Interrupción de negocio:
El compromiso de Solar Winds ha hecho que las aseguradoras revisen su exposición global a los riesgos sistémicos, agregados y correlacionados, relacionados con la cadena de suministro de software.
Varias aseguradoras están revisando la amplitud de la cobertura ofrecida para las pérdidas por interrupción de la actividad, con la intención de limitar la exposición financiera a un evento sistémico de las siguientes maneras:
- Reconsideración de los periodos de espera. En muchos casos, los periodos de espera se han negociado entre seis y ocho horas (y en algunos casos se han eliminado por completo).
- El mercado está empezando a presionar para que los periodos de espera se acerquen a las 24 horas, como los que se ven en el mercado inmobiliario.
- Limitación de la exposición al límite agregado. Esto se está consiguiendo mediante la reintroducción de sublímites o la exigencia de coaseguro.
Proveedores de primera respuesta:
A medida que los índices de siniestralidad se deterioran, las aseguradoras están revisando de cerca los costes de los proveedores de terceros en los que se incurre para investigar y responder a los incidentes cibernéticos.
Para reducir (o al menos combatir el aumento de) estos costes, las aseguradoras están demostrando menos flexibilidad en el uso de proveedores no pertenecientes al panel o preacordados.
Además de que hay más desafíos relacionados con el uso de proveedores no pertenecientes a un panel -en particular si no hubo discusión/vigilancia del proveedor antes de su contratación para un incidente- las aseguradoras están haciendo menos excepciones relacionadas con las tarifas de los proveedores.
Cada vez es más frecuente que las aseguradoras sólo reembolsen una cantidad igual a la que la aseguradora habría pagado a un proveedor de panel.
Cómo mejorar el riesgo – Recomendaciones
Con el cambio a un mercado de ciberseguro duro a finales de 2020, es fundamental un enfoque de intermediación estratégico basado en el riesgo. La preparación de la presentación de la suscripción es clave para diferenciar a nuestros compradores de seguros Cyber en el mercado y para mantener el acceso a la capacidad. Comenzar el proceso de colocación (renovación) con antelación, no sólo invirtiendo tiempo en la calidad de la preparación de la presentación de la suscripción, sino también reuniéndose con los suscriptores clave, centrándose en las relaciones existentes con las aseguradoras y determinando el apetito actual (de renovación) puede mitigar las sorpresas.
Descarga el informe Aon´s Cyber Insurance Snapshot en español.
