El elevado riesgo que lleva aparejada una ciberpóliza otorga al CISO de la compañía aseguradora un papel principal en el diseño de la estrategia de valoración del riesgo y el cálculo de la ciberpóliza.

Con el aumento de los ciberataques y las ciberamenazas, las compañías aseguradoras han ampliado su oferta de productos con la creación de ciberpólizas para que las organizaciones puedan cubrir los riesgos asociados a incidentes de ciberseguridad.

Sin embargo, lo que puede ser un producto capaz de integrar la oferta de las Compañías Aseguradoras en un entorno digital que será la base del mercado a medio y largo plazo, constituye también un riesgo de negocio que puede poner en peligro la sostenibilidad a corto plazo del sector.

Por eso, el diseño de una ciberpóliza requiere establecer los procesos para crear un producto de riesgo controlado y beneficio suficiente.

Ciberpólizas: un reto para las aseguradoras

Las ciberpólizas constituyen un doble reto para las compañías aseguradoras:

  • Las aseguradoras no pueden dejar pasar la oportunidad que representan las ciberpólizas. En un entorno empresarial donde la parte digital empieza a tener más valor que la analógica, renunciar a cubrir su riesgo a través de una póliza es renunciar a tener objeto relevante de negocio a corto plazo y a ser un player destacado dentro del sector asegurador a medio plazo.
  • Las aseguradoras han de blindar su oferta de ciberpólizas frente al riesgo para el negocio que supone cubrir los daños de un ciberataque a una organización. La proliferación de los ciberataques, la elevada cuantía de los daños heterogéneos que producen y la dificultad de valorar el estado de ciberseguridad de una organización para calcular cobertura y precio de su ciberpóliza convierten a las ciberpólizas en un producto que ha de ser diseñado con una gran precisión para evitar que se convierta en un producto de riesgo para las aseguradoras.

Los costes de la vulneración de datos aumentaron un 13 % de 2020 a 2022, tal y como señala el informe de IBM Perspectiva sobre el aumento de los costes de las vulneraciones de datos. Y este es un coste que no va a dejar de crecer de forma proporcional al crecimiento de la sofisticación de los ciberataques.

Además, los daños que provoca un ciberataque son heterogéneos y su probabilidad y alcance tienen difícil cuantificación.

Por eso, la valoración rigurosa y continuada del riesgo de una ciberpóliza se convierte en el elemento clave para lograr la rentabilidad del producto.

El papel del CISO en la valoración del riesgo de las ciberpólizas

Tradicionalmente, el trabajo del CISO de una compañía aseguradora ha tenido el mismo alcance que sus compañeros de otros sectores: ser el último responsable de la gestión y supervisión de la seguridad de la información de la compañía, del diseño de la estrategia de ciberseguridad corporativa y de la confidencialidad, integridad y disponibilidad de los sistemas y datos de la aseguradora.

Sin embargo, con la aparición de las ciberpólizas, ese alcance de la responsabilidad del CISO de una aseguradora se ha ampliado hasta llegar al producto. En el contexto de las ciberpólizas, el CISO desempeña un papel fundamental en la valoración de los riesgos a los que está expuesta la organización que desea contratar la ciberpóliza y en la determinación de la cobertura y el precio adecuados de la misma.

La experiencia y los conocimientos técnicos del CISO son fundamentales para el diseño de una estrategia correcta de valoración del riesgo de una ciberpóliza. Su comprensión de las ciberamenazas y vulnerabilidades, así como de las mejores prácticas de seguridad y soluciones de ciberseguridad permite la implementación de una evaluación más precisa de los riesgos del cliente y una selección adecuada de la cobertura que puede ofrecerle la compañía aseguradora. Es el CISO el que debe establecer las guías para evaluar las estrategias de ciberseguridad, las preguntas que deben hacerse y las pruebas que deben llevarse a cabo. También, proponer el scoring y su relación con las cláusulas que puede incluir una ciberpóliza, para cubrir el riesgo de producto en todos los casos.

Frentes que debe tener en cuenta el CISO de una aseguradora

Principalmente, dos son los frentes que debe tener en cuenta el CISO de una compañía aseguradora a la hora de establecer la estrategia de valoración del riesgo de las ciberpólizas:

  • La obtención de datos objetivos sobre el estado de ciberseguridad de la organización que desea ser asegurada en el momento de contratar la póliza.
  • La obtención de datos objetivos sobre el estado de ciberseguridad de la organización asegurada durante todo el tiempo que dure la cobertura de la ciberpóliza.

De las soluciones y procesos que elija el CISO para obtener estos datos dependerá la fiabilidad y la objetividad de estos, es decir, la eficacia de la estrategia de valoración del riesgo de las ciberpólizas que diseñe.

Soluciones para la valoración del riesgo de una ciberpóliza

El primer paso para determinar las soluciones y los procesos es establecer, en coordinación con el equipo de producto, los objetivos específicos de la compañía aseguradora en cuanto a la valoración del riesgo de la ciberpóliza. Esto implica trasladar los tipos de activos digitales que se deben proteger, los riesgos digitales asociados y los estándares y regulaciones de seguridad pertinentes. Así, el CISO puede determinar las soluciones de valoración del riesgo que se ajusten mejor a las necesidades y características específicas de la compañía aseguradora.

Existen diversas soluciones disponibles para evaluar el riesgo cibernético:

  • Evaluaciones de vulnerabilidad: Estas soluciones identifican y evalúan las vulnerabilidades en los sistemas y redes de una organización. Pueden escanear y analizar la infraestructura tecnológica en busca de debilidades que podrían ser explotadas en un ciberataque. Al ser intrusivas, necesitan contar con el permiso del cliente, lo cual dificulta su mantenimiento durante todo el tiempo que dure el contrato de la ciberpóliza.
  • Pruebas de penetración: Estas pruebas simulan ciberataques reales para identificar brechas en la seguridad. Los expertos en seguridad intentan explotar las vulnerabilidades descubiertas para evaluar la efectividad de las defensas existentes y determinar los posibles vectores de ataque. Son intrusivas así que necesitan el permiso del cliente para realizarse, lo que dificulta el proceso de valoración, especialmente en el tiempo.
  • Análisis de riesgos: Estos estudios permiten evaluar y cuantificar los riesgos asociados con los activos digitales de la compañía asegurada. Normalmente los datos que utilizan son proporcionados por el propio cliente a través de cuestionarios, por lo que no son datos con la fiabilidad y objetividad buscada, lo que suele derivar en una valoración inexacta de los riesgos.
  • Evaluaciones de cumplimiento: Estas certificaciones ayudan a la compañía aseguradora a verificar si la compañía estudiada cumple con las regulaciones y estándares de seguridad aplicables. Son evaluaciones que muestran el estado de ciberseguridad de momentos concretos: el de la obtención del certificado y los de las renovaciones.
  • Monitoreo continuo en tiempo real del perímetro externo de la organización: Las soluciones de Ciberinteligencia XTI de última generación basadas en IA permiten monitorizar las vulnerabilidades de una organización en su perímetro externo de forma no intrusiva, es decir, sin necesidad de que el cliente dé ningún permiso. Con ellas, la compañía aseguradora obtiene datos objetivos y fiables sobre brechas y vulnerabilidades del cliente en el momento de contratarse la ciberpóliza y, también y muy importante, durante todo el tiempo que dure el contrato y la cobertura.

Pasos finales de la estrategia de valoración del riesgo

Una vez implementados las soluciones y los procesos de valoración del riesgo de una ciberpóliza, el último paso para cerrar el diseño de la estrategia de valoración de las ciberpólizas, también corresponde al CISO. En este punto, el CISO establecerá la guía para la interpretación y análisis de los resultados obtenidos por parte de los equipos de suscripción de seguros encargados de determinar las condiciones de la ciberpóliza.  Además, proporcionará las recomendaciones sobre las medidas de control necesarias y exigibles al asegurado para mantener las condiciones contratadas, mitigar los riesgos y mejorar la postura de seguridad de la compañía aseguradora.

A partir de ese momento, los equipos de suscripción de seguros de la compañía aseguradora contarán con las herramienta y los procesos adecuados para valorar con rigurosidad el riesgo de las ciberpólizas.

 

Si necesitas ampliar información y conocer cómo la Ciberinteligencia XTI de Amenazas Externas puede reforzar el procedimiento de valoración del riesgo de una ciberpóliza puedes descargarte nuestro brochure sectorial para Compañías Aseguradoras o nuestro Whitepaper sobre Valoración del Riesgo de Terceros.