Informe de ciberresiliencia 2023

Este artículo 5 es parte 16 de este informe.

October 11, 2023 / 4 minuto(s) de lectura

Medidas para minimizar el impacto cibernético en el riesgo sistémico

El riesgo sistémico surge de forma interna y externa a la organización y multiplica la escala y el alcance de un incidente cibernético.

Conclusiones principales

  1. La tarea de gestionar el riesgo sistémico se ha catapultado a lo más alto de la lista de prioridades del sector de los seguros.
  2. Aon predice que un único ciberataque importante y acertado podría afectar hasta al 20 % de las organizaciones de todo el mundo.
  3. Modelizar incidentes cibernéticos extremos puede exponer el riesgo agregado y predecir la probabilidad de un ataque.

Los ataques a SolarWinds (2020) y Kronos (2021) alertaron de que el riesgo sistémico es considerable. Miles de empresas de todos los sectores se vieron afectadas cuando un ataque de ransomware puso en peligro la nube privada de Kronos. Esta repercusión generalizada planteó la cuestión crucial de la responsabilidad del vendedor y de quién era responsable de las pérdidas tras el incidente.

El riesgo sistémico es de gran alcance y procede principalmente de dos fuentes: el uso generalizado de tecnologías estándar y la naturaleza integrada de nuestras economías globales. A los reguladores prudentes les preocupan los riesgos sistémicos asociados a la agregación y la acumulación.1 El riesgo agregado surge cuando hay una dependencia de todo un sector a un número limitado de proveedores tecnológicos, por lo que una sola interrupción podría paralizar simultáneamente a varias entidades. Por ejemplo, si una tecnología esencial deja de funcionar, numerosos bancos que dependen de ella podrían quedar paralizados. Por otro lado, el riesgo de acumulación se refiere a las vulnerabilidades sistémicas compartidas por adoptar una misma tecnología dentro de un sector. Un ejemplo sería el de varios bancos expuestos a la misma vulnerabilidad de día cero que, de aprovecharse, podría causar daños generalizados.

El riesgo sistémico surge de forma interna y externa a la organización y multiplica la escala y el alcance de un incidente cibernético. Esto significa que cada organización puede sufrir importantes pérdidas financieras si los riesgos sistémicos no se gestionan de forma eficaz.2 Por ello, no es de extrañar que la tarea de gestionar el riesgo sistémico se haya catapultado a lo más alto de la lista de prioridades del sector de los seguros. A medida que evolucionan las ciberamenazas, se perfeccionan los modelos de cuantificación de riesgos y la planificación de escenarios para determinar con precisión el perfil de riesgo de una organización. Esto permite conocer mejor el alcance que debe tener la cobertura de un seguro cibernético para ofrecer protección frente a posibles pérdidas relacionadas con los riesgos sistémicos. Al igual que cuando se sigue la trayectoria de una tormenta, modelizar incidentes cibernéticos extremos puede exponer el riesgo agregado y predecir la probabilidad de un ataque. Los análisis mediante inteligencia de datos con un mapa detallado de la pila tecnológica de la organización (tanto interna como de terceros proveedores) ayudan a conocer el nivel de conectividad y la sofisticación de los atacantes, así como a evaluar los mecanismos de seguridad estándar a partir de los modelos de riesgo.

La investigación del grupo Cyber Reinsurance Practice de Aon indica que el impacto del ataque NotPetya en 2017, un buen ejemplo de un escenario de acumulación, representa solo una pequeña fracción de la posible devastación que podrían causar ciberataques similares a mayor escala. Imagínese las posibles consecuencias: Aon predice que un único ciberataque importante y acertado podría afectar hasta al 20 % de las organizaciones de todo el mundo. Es un escenario aterrador. Como es de esperar, las aseguradoras se lo piensan mejor a la hora de emitir pólizas y son conscientes de la posibilidad de tener que pagar más adelante. Aunque el porcentaje medio de pérdidas del sector experimentó un ligero descenso, del 67 % al 66 %, tres cuartas partes de las 20 aseguradoras principales vieron cómo estos porcentajes cambiaban en más de un 5 %, ya fuera al alza o a la baja. En respuesta al aumento de la frecuencia de las reclamaciones en años anteriores, en 2022 los proveedores de seguros empezaron a imponer controles de seguridad reforzados a las empresas aseguradas.3 Debido al aumento de la frecuencia de las reclamaciones en años anteriores, los proveedores de seguros obligaron a mejorar los controles de seguridad de las empresas en 2022. Las empresas que no invirtieron ni mejoraron su panorama de seguridad vieron restringidos los convenios o aumentadas las declinatorias.

Existen más exclusiones en el riesgo cibernético, y el riesgo agregado fomenta el endurecimiento o el aseguramiento adicional. La frecuencia de pérdidas sigue disminuyendo desde su máximo en 2021, pero sigue siendo superior a la de 2019. Como dato preocupante, la frecuencia de los ataques de ransomware ha aumentado en gran medida: un 49 % en el primer trimestre de 2023. Con una mayor frecuencia de reclamaciones y el entorno de tarifas sin precedentes que surgió en 2022, prevemos un crecimiento sólido del mercado. Esto sugiere que el seguro cibernético podría convertirse en un segmento de producto muy rentable en los próximos años.4

Referencias

1 “Systemic Cyber Risk.” European Systemic Risk Board (ESRB). Report. February 2020.

2 “Cyber Risk Aggregation.” DeNexus. Blog. 29 November 2021 https://blog.denexus.io/cyber-risk-aggregation | Buyer-Friendly Cyber and E&O Market: How to Take Advantage | Aon

3 2021 & 2022 Cyber Insurance Report by National Association of Insurance Commissioners (NAIC).

4 Buyer Friendly Cyber and E&O Market: How to Take Advantage | Aon


Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. y Aon Risk Services, Inc. de Florida, y sus filiales autorizadas ofrecen los productos y servicios de seguros.

La información aquí contenida y las afirmaciones expresadas son de carácter general, no pretenden abordar las circunstancias de ninguna persona o entidad en particular y se facilitan únicamente con fines informativos. Esta información no sustituye el asesoramiento de un asesor jurídico o de un profesional de seguros cibernéticos y no debe utilizarse para tal fin. Si bien nos esforzamos por proporcionar información exacta y oportuna y utilizamos fuentes que consideramos fiables, no puede garantizarse que dicha información sea exacta en la fecha en que se recibe o que siga siéndolo en el futuro.

Gestionar el riesgo cyber en seis temas destacados.

El informe de este año es una guía para que los directivos comparen la madurez del riesgo de su organización con la de otras empresas similares y para ayudarles a tomar mejores decisiones sobre la gestión cibernética en seis temas de riesgo destacados: cibernético, operativo, de la cadena de suministro, interno, de reputación y sistémico.