Bienvenida del Director Ejecutivo
Las empresas vienen de cuatro años complicados, marcados por el aumento del número y la gravedad de las ciberamenazas y los ataques de ransomware, seguidos de un mercado de seguros con primas y retenciones que no dejan de aumentar y un importante escrutinio del aseguramiento. Al trabajar con nuestros clientes, hemos observado que los altos directivos se han dado cuenta de que los ciberataques pueden afectar a todas las áreas de su empresa. Por ello, alcanzar la ciberresiliencia es un tema recurrente en los debates de los consejos de administración y por fin se está analizando la amenaza desde un punto de vista holístico del riesgo.
Entre 2020 y 2022, las aseguradoras reaccionaron ante la enorme magnitud del riesgo cibernético y la necesidad de asegurar la rentabilidad.
Aumentaron las exigencias de aseguramiento en el mercado cibernético y de E&O, lo que dio lugar a un mayor escrutinio de los controles de seguridad, directrices más estrictas y una reevaluación del riesgo cibernético en general.1 Según los datos comunicados por los clientes de Aon, las organizaciones reaccionaron ante estas exigencias y empezaron a centrarse más en mejorar la madurez del riesgo en los controles que las aseguradoras habían designado como críticos, o de señal de alarma.
El informe de este año es una guía para que los directivos comparen la madurez del riesgo de su organización con la de otras empresas similares y para ayudarles a tomar mejores decisiones sobre la gestión cibernética en seis temas de riesgo destacados: cibernético, operativo, de la cadena de suministro, interno, de reputación y sistémico. Los datos recopilados a nivel mundial, de más de 2000 clientes de Aon en todas las regiones, sectores y tramos de ingresos del Cociente Cibernético (CyQu) de Aon, una plataforma global de envío electrónico y evaluación de riesgos, sirven de base para este informe. A estos datos de CyQu se añaden los del formulario complementario de ransomware y el complemento de tecnología operativa de Aon, que visibilizan más los controles de seguridad priorizados por las aseguradoras.2 Estas aportaciones de los clientes se han combinado con información sobre el mercado de las reclamaciones cibernéticas y se han enriquecido con los comentarios de los equipos de asesoramiento cibernético y respuesta a incidentes forenses digitales de Aon, lo que nos ha permitido ofrecer en este informe un análisis exhaustivo de la resiliencia y el riesgo cibernéticos. Los datos de CyQu ayudan a aclarar la idea generalizada de que el mercado de los seguros es un motor crucial de los controles aceptados que fomenta la madurez aceptada en ciberseguridad. Los clientes informaron de que la madurez y la preparación cibernéticas mejoraron entre 2020 y 2022, cambiando globalmente de media de madurez cibernética «básica» a «gestionada». Las empresas, en general, aplicaron medidas para reforzar los ámbitos y controles de seguridad considerados críticos por las aseguradoras, incluida una mayor atención a la gestión de accesos y a las estrategias de autenticación multifactor (MFA). En relación con esto, vimos que las reclamaciones por ransomware disminuyeron un 32 %, y la frecuencia general de reclamaciones de seguros cibernéticos disminuyó un 14 % en 2022.4
En cambio, según los datos, las organizaciones de todos los sectores tuvieron problemas con la gestión del riesgo de terceros, para la que ningún sector registró un perfil «gestionado». Aunque este resultado no sorprende, tiende a validar el asunto creciente dentro del sector cibernético de que el riesgo introducido a través de la cadena de suministro de una empresa es complejo, y la interconexión cada vez más profunda de las pilas tecnológicas aumenta exponencialmente el riesgo de terceros. Como resultado de este mayor riesgo, reflejado recientemente en la filtración de datos de una plataforma de distribución, esperamos que muchas aseguradoras se centren este año en la exposición y el impacto del riesgo sistémico y correlacionado.
Estos datos preliminares señalan la punta del iceberg de este informe, que se compone de varios artículos. Se analizan individualmente los sectores financiero y de seguros, sanitario y manufacturero, y se publicarán opiniones regionales para Norteamérica, EMEA, Reino Unido, América Latina y Asia Pacífico.
Navegar no caminho para alcançar a resiliência cibernética e, em última análise, a resiliência empresarial, é um desafio significativo para qualquer organização. A resiliência é um componente essencial para ajudar a minimizar o risco do ponto de vista financeiro, operacional e reputacional. Exige uma visão holística que conecte a gestão proativa de riscos, a preparação de respostas e os mecanismos de transferência de riscos. A transferência de riscos é um componente fundamental da resiliência e não se limita apenas à colocação tradicional de seguros. Os capitais cativos e alternativos são opções viáveis a considerar para a protecção do balanço. Quer você esteja dirigindo uma empresa Fortune 100 ou liderando uma entidade de pequeno e médio porte que enfrenta riscos semelhantes, mas se sente mal atendido pelo mercado, espero que este relatório seja um recurso e uma ferramenta para ajudar a informar sua tomada de decisão para 2023 e além. A resiliência cibernética é uma jornada que é melhor conduzida em parceria e através do trabalho em equipe.
Christian E. Hoffman
Aon Global Cyber Leader
References
1 Aon | E&O and Cyber Market Review | Midyear 2022. Midyear 2021 Errors & Omissions | Cyber Insurance Snapshot (aon.com)
2 Consulta el artículo «Metodología» del informe de ciberresiliencia 2023 de Aon
3 Fuente: Seguridad basada en el riesgo, análisis de Aon. Datos a 03/01/2023