Zurich y Marsh McLennan lanzan reporte de riesgos cibernéticos que busca aumentar la resiliencia

Vivimos en un mundo cada vez más digital, debido a fenómenos como auge del teletrabajo y el uso de nubes para almacenamiento de información, y la incipiente revolución de la Inteligencia artificial generativa. Es evidente que este nuevo mundo aporta enormes beneficios sociales y económicos, ya que las nuevas tecnologías impulsan la innovación y el crecimiento. Pero a medida que se profundiza nuestra dependencia de las tecnologías digitales, también lo hacen los riesgos cibernéticos asociados, que se están convirtiendo en un motivo de preocupación cada vez más desafiante y urgente.

Casi el 40%  de los expertos encuestados para el Informe de Riesgos Globales 2024 del Foro Económico Mundial consideran que los ciberataques son un riesgo primordial con el potencial de desencadenar una crisis efectiva en el corto plazo. Como resultado, los ciberataques se clasificaron entre las cinco principales amenazas globales en el panorama de riesgos actual.

Dado este escenario, Zurich y Marsh McLennan acaban de lanzar el reporte de riesgos “Cerrando la brecha de protección contra riesgos cibernéticos” (Closing the cyber risk protection gap), el cual enfatiza la necesidad urgente de soluciones innovadoras para cerrar la brecha de protección contra riesgos cibernéticos, especialmente para las pequeñas y medianas empresas que a menudo no cuentan con las medidas de seguridad adecuadas, carecen de seguro o tienen una cobertura insuficiente.

El informe destaca incidentes como los ataques por software malicioso (malware) masivo y la interrupción de servicios en la nube que puede generar una afectación sistémica, que solo son asegurables hasta cierto nivel de pérdida financiera, y eventos como el fallo de infraestructuras críticas, que generalmente se consideran no asegurables.

El impacto disruptivo y los costes financieros de los ciberataques ya son evidentes. El año pasado, los pagos de ransomware alcanzaron un récord de 1.100 millones de dólares, y los atacantes desplegaron métodos cada vez más sofisticados para entrar en los sistemas informáticos. De cara al futuro, se prevé que el coste mundial de la ciberdelincuencia aumente hasta casi 24 mil millones de dólares en 2027, frente a los 8,5 billones de dólares de 2022, sin tener en cuenta los enormes costes globales de los eventos cibernéticos no maliciosos, como la reciente interrupción de CrowdStrike.

La velocidad y la escala del crecimiento de las amenazas cibernéticas están superando la capacidad de las estrategias tradicionales de seguros y gestión de riesgos para mitigarlas por completo. El sector de los seguros, con su larga trayectoria en el fomento y la salvaguardia de la prosperidad económica, tiene claramente un papel fundamental que desempeñar. Sus productos pueden ayudar tanto transfiriendo el riesgo cibernético como incentivando a las empresas a desarrollar la resiliencia cibernética. Por lo tanto, no es de extrañar que el mercado de los seguros cibernéticos esté experimentando un fuerte crecimiento: el mercado se estimó en 14 mil millones de dólares brutos (GWP) el año pasado y se prevé que se duplique con creces para 2027.

Sin embargo, a pesar de esta empinada curva ascendente, persiste una brecha sustancial en la protección contra riesgos cibernéticos. De hecho, se estima que el abismo entre las pérdidas aseguradas y las pérdidas económicas debidas a los ciberataques es de 0,9 mil millones de dólares. Esta asombrosa brecha en la protección contra riesgos cibernéticos exige una respuesta urgente. La escala y la ubicuidad de los riesgos cibernéticos significan que algunos son inevitablemente incuantificables y se consideran no asegurables. Es aquí donde el papel del sector público en la construcción de la resiliencia cibernética es clave, para que las asociaciones público-privadas puedan sostener el mercado y proteger la economía a medida que surjan incidentes cibernéticos potencialmente catastróficos.

Las intervenciones del sector público ya ayudan a hacer frente a los posibles efectos de los desastres naturales, el riesgo nuclear y el terrorismo. El riesgo cibernético ahora se considera comparable a estos riesgos y exige un enfoque público-privado similar. El trabajo de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de los Estados Unidos (CISA, por sus siglas en inglés) para compartir datos del gobierno de los Estados Unidos sobre la mejor manera de defenderse contra los incidentes cibernéticos y la Ley de Resiliencia Operativa Digital de la UE, que exige a las empresas que introduzcan procesos sólidos para gestionar y mitigar el riesgo de las TIC, son dos ejemplos de cómo la participación del sector público, en asociación con las aseguradoras, puede crear marcos resilientes para gestionar riesgos cibernéticos potencialmente catastróficos.

Junto con la gestión y mitigación de riesgos cibernéticos, un tercer objetivo compartido del sector público y la industria de seguros es desarrollar la resiliencia cibernética.

¿Cómo se puede lograr esto? En primer lugar, debemos trabajar juntos para crear conciencia y fomentar la madurez digital, por ejemplo, incentivando y compartiendo las mejores prácticas en materia de higiene cibernética.

En segundo lugar, las aseguradoras pueden ayudar a la proporción significativa de empresas que actualmente no tienen seguro o tienen un seguro insuficiente. La simplificación de los elementos del proceso de contratación de seguros, el suministro de soluciones holísticas y el apoyo a las asociaciones público-privadas pueden ayudar a superar los retos del riesgo cibernético.

En tercer lugar, la creación de un marco común para recopilar y compartir datos de pérdidas cibernéticas y seguros debería ayudar a los corredores, aseguradoras y agencias gubernamentales a analizar grupos más grandes de datos agregados y, por lo tanto, proporcionar información y recomendaciones más valiosas.

Dada la magnitud de la amenaza, es necesaria una acción coordinada tanto dentro de las organizaciones como entre sectores para aumentar la resiliencia ante este riesgo en rápida evolución.

Zurich no asume ninguna responsabilidad por los comentarios y/o recomendaciones aquí contenidos, su utilización o consideración son de exclusiva responsabilidad del lector.