El seguro de ciberseguridad tiene un gran problema

Hay tendencias preocupantes en la ciberseguridad: los ataques son más sofisticados, los rescates aumentan y la incertidumbre aumenta. Pero si bien las empresas pueden recurrir al ciberseguro para protegerse de estos riesgos crecientes, hay otro problema: puede que no haya suficiente dinero en el sector aún emergente para cubrir sus necesidades. Entonces, ¿qué pueden hacer las empresas? Deberían seguir invirtiendo en cobertura, en parte para ayudar al mercado a crecer, pero también tienen que buscar otras formas de cubrir su posible exposición, incluidos mecanismos de autoseguro que van desde simplemente llevar capital adicional hasta hacer frente a futuros ciberataques hasta la creación de actividades específicas de financiación del riesgo que funcionen como las aseguradoras.

••• En 2020, el mundo aparentemente entró en una nueva era de ciberataques. Aunque ha habido décadas de virus, filtraciones y otras formas de ataque, el año pasado se produjo un aumento de la sofisticación de los malos actores, una propensión a pagar en los casos de ransomware y una amplia franja de incertidumbre geopolítica, condiciones que los piratas informáticos han considerado favorables. La gravedad de las consecuencias financieras ha sido enorme. Los rescates se han disparado de precios de cinco cifras a millones, incluidos 10 millones de dólares según se informa[pagado por Garmin](https://www.theverge.com/2020/8/4/21353842/garmin-ransomware-attack-wearables-wastedlocker-evil-corp). Varias demandas de rescate estaban mucho más altas antes de negociarse a la baja, según clientes míos de todo el mundo. Todo lo cual es una nueva escalada de una tendencia preocupante: un [informe reciente de Hiscox](https://www.hiscox.co.uk/cyberreadiness) muestra pérdidas cibernéticas aseguradas de 1.800 millones de dólares en 2019, un impresionante 50% más que en comparación con el año anterior. Ante la perspectiva de las importantes consecuencias financieras de un ataque, los altos directivos de todo el mundo han recurrido al ciberseguro. Las aseguradoras emiten más pólizas y los importes de protección disponibles van en aumento. En 2020, según datos propiedad del equipo que dirijo, la comunidad mundial de seguros vio el primer programa de ciberseguro que superó los mil millones de dólares, y el segundo. Sin embargo, es posible que el impulso que ha impulsado al sector hasta ahora se esté agotando. Puede que el sector de los ciberseguros aún esté en pañales, pero hay indicios de que se ha estancado (esperemos que sea temporal). Hay algunas causas probables de esta ralentización del crecimiento. Por el lado de la demanda, a pesar de la oleada de ciberataques, algunas empresas compran menos ciberseguros o no compran ninguno, ya que la presión económica provocada por la COVID-19 ha hecho que algunas de ellas consideren el ciberseguro como un lujo. Y si bien más ataques podrían estimular la demanda, también crean un problema de suministro, lo que hace que las aseguradoras desconfíen de ofrecer cobertura y a las reaseguradoras (que ofrecen seguros a los proveedores de seguros) estén menos interesadas en respaldar las ciberresponsabilidades. Además de eso, la falta de datos históricos de pérdidas (como resultado de la corta historia del sector) añade otro nivel de imprevisibilidad para todos los involucrados. Sin embargo, en última instancia, todos estos conductores se reducen a un simple hecho: simplemente no hay suficiente dinero en el ciberseguro. Y ahora mismo es difícil saber si alguna vez la habrá. Este es un momento importante para el futuro del sector. El entorno cibernético es delicado, dada la combinación de la volatilidad de las amenazas, las pérdidas recientes y un compromiso incipiente que las aseguradoras del sector podrían reducir o retirar. Es probable que una ola de ciberataques con enormes implicaciones en el sector de los seguros no represente una amenaza para la solvencia, pero si se produce el peor de los escenarios podría provocar cambios estructurales en la ciberclase de empresas, o incluso en una industria de seguros que esté mucho menos interesada en la ciberseguridad. Eso podría provocar la pérdida de una importante palanca de gestión de riesgos para los altos directivos y los consejos de administración con una exposición significativa a la tecnología, es decir, la mayoría de las principales y medianas empresas. Para las empresas que desean incluir más ciberseguros en sus prácticas de gestión de riesgos (o comprar por primera vez), necesitan un poco de planificación. Al fin y al cabo, estamos ante un entorno en el que las reclamaciones aumentan y las aseguradoras carecen de los datos históricos y la experiencia general para desarrollar los análisis que utilizarían en líneas de negocio más maduras, como la inmobiliaria. Para acumular una cantidad suficiente de ciberseguro, las compras anticipadas de cantidades más pequeñas con aumentos con el tiempo pueden ayudar a preparar el mercado para que crezca con las necesidades de las empresas a las que apoya. ## **Piscinas pequeñas, gran exposición** El problema al que se enfrentan la mayoría de las empresas es determinar cuánto seguro cibernético necesitan. Sin embargo, a las aseguradoras les resulta difícil entender la demanda cuando los propios compradores todavía están intentando averiguar tanto su exposición como su apetito de compra. Los años en los que el ciberseguro disfrutó de un crecimiento significativo no fueron suficientes para hacerse una idea fiable de la cantidad de protección que deberían comprar realmente las empresas. De hecho, la mayoría o no tiene suficiente seguro cibernético o ninguno. Las empresas con al menos 200 millones de dólares en ciberseguros representan poco más del 20% de lo que se cree que son 5 000 millones de dólares en primas de ciberseguro mundiales, según un estudio interno realizado por PCS, lo que equivale a aproximadamente 1 100 millones de dólares en primas. Dado que alrededor de 250 empresas compran al menos 200 millones de dólares en protección, solo se necesitarían cinco pérdidas aseguradas de un poco más que esa cantidad para acabar con la prima de todo un año. Eso representa que solo el 2% de las empresas del mercado compran esa cantidad de cobertura. Es probable que las aseguradoras tarden décadas en recuperar esas pérdidas. Ahora, piense en las empresas con al menos 500 millones de dólares en protección. Solo hay unos 40, según nuestros datos. Dos pérdidas totales podrían acabar con la prima de un año. Puede que las aseguradoras tengan que esperar medio siglo para ganar una prima suficiente contra esas pérdidas. Incluso para las empresas que compran entre 100 y 199 millones de dólares en primas, la exposición es bastante significativa. Nuestras investigaciones indican que hay aproximadamente 500 compañías que compran esa cantidad y representan otro 25% de la prima de seguro mundial (quizás incluso un poco más que eso). Solo se necesitarían un puñado de pérdidas para acabar con los 1440 millones de dólares en primas que generan. ## **El problema a corto plazo** Las empresas que desean contratar un ciberseguro se enfrentan a un entorno bastante volátil, caracterizado por los bajos precios de la protección y los altos niveles de riesgo que soportan las aseguradoras. Ese es el tipo de fórmula que lleva a las reducciones de la capacidad asignada que estamos viendo ahora mismo. Pero el problema subyacente no va a desaparecer: los ciberriesgos persistirán y evolucionarán, y las empresas deberán gestionar ese riesgo, incluida la protección del seguro. Debido a la inminente y frecuente ciberamenaza y a la falta de experiencia histórica como industria (recuerde que el sector aún está en pañales), no hay una manera fácil de arreglar el mercado. Uno de los obstáculos más difíciles para abordar los desafíos estructurales a los que se enfrenta el sector de los ciberseguros es que las aseguradoras han confiado desproporcionadamente en el reaseguro. El reaseguro —una vez más, considerado casualmente como un seguro para las compañías de seguros— permite a las aseguradoras transferir el riesgo a otra fuente de capital. Por mucho que recurra a su aseguradora cuando tiene una reclamación, las aseguradoras pueden acudir a las reaseguradoras en busca de apoyo. Y en el caso de la ciberseguridad, las aseguradoras ceden aproximadamente el 50% de la prima que cobran al mercado de reaseguros. Por lo tanto, no retienen tanto riesgo como se podría pensar. Como resultado, la concentración de capital entre las reaseguradoras es simplemente sorprendente. Cuatro reaseguradoras representan más del 60% de las primas, y la concentración de esa cohorte podría aumentar como resultado de la volatilidad del mercado el próximo año, a medida que las empresas más pequeñas reevalúen su compromiso con la ciberseguridad. De hecho, más del 75% de las reaseguradoras que emiten ciberreaseguros tienen primas inferiores a 100 millones de dólares y la mayoría de ellas menos de 50 millones de dólares. Dado que es probable que la mayor reaseguradora del mercado reciba más de 500 millones de dólares en primas, es aproximadamente del mismo tamaño que el conjunto de empresas que emiten menos de 100 millones de dólares, según datos conocidos. Entonces, ¿qué significa eso? Bueno, según la dinámica de los mercados de seguros y reaseguros en cuestión, existe la posibilidad de que los aumentos de la demanda a corto y medio plazo superen a la oferta. El pensamiento convencional sugeriría un aumento de los precios, un endurecimiento del mercado de transferencias de riesgos y la consiguiente afluencia de capital. La realidad podría tener más matices: la incertidumbre de los resultados podría hacer que las aseguradoras sean cautelosas a la hora de responder (de nuevo) rápidamente a los aumentos de la demanda, incluso si los precios lo respaldan. Además, la escala podría convertirse en un problema. Satisfacer un rápido repunte de la demanda con un riesgo relativamente nuevo también podría provocar un aumento significativo de las pérdidas. Aceptar ese tipo de riesgo en un nicho de mercado no es lo mismo que hacerlo en términos más generales, lo que, en última instancia, podría provocar escasez de capital (y reducir la disponibilidad en el mercado) para el ciberseguro. ## **¿Qué deben hacer las empresas?** Para los altos directivos y los consejos de administración que siguen preocupados por los ciberriesgos y la disponibilidad de seguros, el rumbo óptimo a seguir exige una visión a largo plazo combinada con medidas a corto plazo. Preparar el mercado de los ciberseguros para el futuro es importante, pero no satisface sus necesidades actuales, sobre todo con el auge del ransomware y las pérdidas que podría provocar por la interrupción de la actividad empresarial. El seguro es importante, pero es probable que pase a un segundo plano en el debate más amplio sobre la ciberseguridad. Por ejemplo: soy un ávido ciclista y tengo seguro médico, pero eso no significa que no necesite también un buen casco. El seguro le ayuda a recuperarse de una situación, llenando los vacíos cuando se producen problemas que no puede evitar, pero los intentos de prevenir los problemas siguen siendo cruciales. En lo que respecta al seguro, puede que le ayude a cambiar de opinión. Para las líneas de negocio vencidas, como la responsabilidad inmobiliaria y profesional, suele haber un importe objetivo disponible en el mercado y el importe que compre (y otros problemas de cobertura) puede variar un poco de un año a otro en función del precio y el presupuesto. El seguro cibernético es un poco diferente. En lugar de considerarlo un tema de un año a otro, piense en sus necesidades reales. En un mundo perfecto, por ejemplo, puede pensar que tiene sentido que 2000 millones de dólares en protección. Hoy en día, ese tipo de compra no es posible, pero puede desarrollar un plan para llegar allí. Puede implicar comprar lo que pueda ahora y, posiblemente, complementarlo con mecanismos de autoseguro que van desde simplemente llevar capital adicional para hacer frente a futuros ciberataques hasta la creación de actividades específicas de financiación de riesgos que funcionen como las aseguradoras (es decir, las aseguradoras cautivas). Con el tiempo, podrá añadir a esos programas parciales, sustituir el autoseguro por una protección externa y añadir a su programa de seguro general. Varias empresas ya lo están haciendo. Solo se necesita tiempo, esfuerzo y perseverancia. Treinta años de historia nos han demostrado que el ciberriesgo es difícil de entender, problemático de cubrir, solo tiene probabilidades de crecer y se caracteriza por un entorno de amenazas en continuo cambio. Puede que los ciberataques de mañana no se parezcan mucho a los de hoy, como lo demuestra la oleada de ransomware de 2020 en comparación con las infracciones de 2015 a 2017. Para que las aseguradoras respondan a esta amenaza única, tendrán que sentirse cómodas asignando capital al sector, y esa comodidad variará con el tiempo, hasta que el conjunto de conocimientos del sector sea suficiente para tratar la ciberseguridad como las clases de negocios maduras. Hasta entonces, las compañías tendrán que invertir en protección y trabajar con sus aseguradoras para aumentar los tipos y montos de los seguros disponibles. Como comprador, no hay nada mejor que tener un plan.