Bienvenida del Director Ejecutivo
Las empresas vienen de cuatro años complicados, marcados por el aumento del número y la gravedad de las ciberamenazas y los ataques de ransomware, seguidos de un mercado de seguros con primas y retenciones que no dejan de aumentar y un importante escrutinio del aseguramiento. Al trabajar con nuestros clientes, hemos observado que los altos directivos se han dado cuenta de que los ciberataques pueden afectar a todas las áreas de su empresa. Por ello, alcanzar la ciberresiliencia es un tema recurrente en los debates de los consejos de administración y por fin se está analizando la amenaza desde un punto de vista holístico del riesgo.
Entre 2020 y 2022, las aseguradoras reaccionaron ante la enorme magnitud del riesgo cibernético y la necesidad de asegurar la rentabilidad.
Aumentaron las exigencias de aseguramiento en el mercado cibernético y de E&O, lo que dio lugar a un mayor escrutinio de los controles de seguridad, directrices más estrictas y una reevaluación del riesgo cibernético en general.1 Según los datos comunicados por los clientes de Aon, las organizaciones reaccionaron ante estas exigencias y empezaron a centrarse más en mejorar la madurez del riesgo en los controles que las aseguradoras habían designado como críticos, o de señal de alarma.
El informe de este año es una guía para que los directivos comparen la madurez del riesgo de su organización con la de otras empresas similares y para ayudarles a tomar mejores decisiones sobre la gestión cibernética en seis temas de riesgo destacados: cibernético, operativo, de la cadena de suministro, interno, de reputación y sistémico. Los datos recopilados a nivel mundial, de más de 2000 clientes de Aon en todas las regiones, sectores y tramos de ingresos del Cociente Cibernético (CyQu) de Aon, una plataforma global de envío electrónico y evaluación de riesgos, sirven de base para este informe. A estos datos de CyQu se añaden los del formulario complementario de ransomware y el complemento de tecnología operativa de Aon, que visibilizan más los controles de seguridad priorizados por las aseguradoras.2 Estas aportaciones de los clientes se han combinado con información sobre el mercado de las reclamaciones cibernéticas y se han enriquecido con los comentarios de los equipos de asesoramiento cibernético y respuesta a incidentes forenses digitales de Aon, lo que nos ha permitido ofrecer en este informe un análisis exhaustivo de la resiliencia y el riesgo cibernéticos. Los datos de CyQu ayudan a aclarar la idea generalizada de que el mercado de los seguros es un motor crucial de los controles aceptados que fomenta la madurez aceptada en ciberseguridad. Los clientes informaron de que la madurez y la preparación cibernéticas mejoraron entre 2020 y 2022, cambiando globalmente de media de madurez cibernética «básica» a «gestionada». Las empresas, en general, aplicaron medidas para reforzar los ámbitos y controles de seguridad considerados críticos por las aseguradoras, incluida una mayor atención a la gestión de accesos y a las estrategias de autenticación multifactor (MFA). En relación con esto, vimos que las reclamaciones por ransomware disminuyeron un 32 %, y la frecuencia general de reclamaciones de seguros cibernéticos disminuyó un 14 % en 2022.3
En cambio, según los datos, las organizaciones de todos los sectores tuvieron problemas con la gestión del riesgo de terceros, para la que ningún sector registró un perfil «gestionado». Aunque este resultado no sorprende, tiende a validar el asunto creciente dentro del sector cibernético de que el riesgo introducido a través de la cadena de suministro de una empresa es complejo, y la interconexión cada vez más profunda de las pilas tecnológicas aumenta exponencialmente el riesgo de terceros. Como resultado de este mayor riesgo, reflejado recientemente en la filtración de datos de una plataforma de distribución, esperamos que muchas aseguradoras se centren este año en la exposición y el impacto del riesgo sistémico y correlacionado.
Estos datos preliminares señalan la punta del iceberg de este informe, que se compone de varios artículos. Se analizan individualmente los sectores financiero y de seguros, sanitario y manufacturero, y se publicarán opiniones regionales para Norteamérica, EMEA, Reino Unido, América Latina y Asia Pacífico.
El camino hacia la resiliencia cibernética y, en última instancia, empresarial, es un reto importante para cualquier organización. La resiliencia es un componente esencial para ayudar a minimizar el riesgo desde una perspectiva financiera, operativa y de reputación. Exige una visión holística que conecte la gestión proactiva del riesgo, la preparación de la respuesta y los mecanismos de transferencia del riesgo. La transferencia del riesgo es un componente fundamental de la resiliencia y no se limita únicamente a la colocación de seguros tradicionales. Las cautivas y el capital alternativo son opciones viables a considerar para la protección del balance. Tanto si dirige una empresa de la lista Fortune 100 como si dirige una entidad pequeña o mediana que se enfrenta a riesgos similares, pero que se siente desatendida por el mercado, esperamos que este informe sea un recurso y una herramienta que le ayude a tomar decisiones en 2023 y en el futuro. La ciberresiliencia es un viaje que se recorre mejor en colaboración y trabajando en equipo.
Christian E. Hoffman
Aon Global Cyber Leader
Referencias
1 Aon | E&O and Cyber Market Review | Midyear 2022. Midyear 2021 Errors & Omissions | Cyber Insurance Snapshot (aon.com)
2 Consulta el artículo «Metodología» del informe de ciberresiliencia 2023 de Aon
3 Fuente: Seguridad basada en el riesgo, análisis de Aon. Datos a 03/01/2023