ciberataque - ransomwareEl volumen de primas de Ciber en España a cierre de 2020 se situó en 75 millones de euros, lo que supone un incremento del 35% respecto a 2019. Además, las primas de renovación crecen entre el 25% y el 60%.

Son datos del segundo Estudio sobre Ciberseguridad y Gestión del Riesgo Ciber en España elaborado por AON, que revela que el crecimiento del número de empresas que transfieren el riesgo al mercado por primera vez, así como la propia tendencia alcista en primas como consecuencia del endurecimiento del propio mercado son los principales motivos de esta alza.

En concreto, las empresas que facturan más de 250 millones de euros son las que cada vez transfieren más su riesgo mediante la contratación de pólizas. Este segmento representó el año pasado un 68% de las contrataciones de Seguros Ciber en España (44% en 2019). Por el contrario, las pymes redujeron su contratación (56% en 2019 frente a un 32% en 2020), “probablemente como consecuencia del impacto económico derivado de la pandemia”, se indica.

Otro de los parámetros del informe apunta a una inversión desigual en ciberseguridad y tecnología: «Existe una gran diferencia entre la inversión realizada por las distintas organizaciones en este ámbito, tanto en protección de sistemas como en digitalización», afirma. «Esto -se añade- da lugar a la aparición de barreras que impiden lograr sus objetivos de negocio, llegando a afectar a otras áreas, por ejemplo, financiero, legal, innovación o reputacional».

Endurecimiento del mercado

Otra variable importante es el aumento sobrevenido de la siniestralidad, que ha terminado afectando a las políticas de suscripción. Según el informe, el mercado asegurador español tiene una capacidad general para suscribir el riesgo ciber cercana a los 100 millones de euros, pudiendo llegar la capacidad máxima a ser de 165 millones en 2020. Llama la atención el dato comparado con 2019 ya que se identifica una reducción del 45% en la capacidad máxima y del 60% en la capacidad general, dado que las capacidades máxima y general manejadas hasta entonces eran de 300 y 250 millones, respectivamente.

“Es obvio que esta restricción es consecuencia del aumento de siniestralidad, muy concentrado en ataque ransomware, que es consecuencia, en parte, de la coyuntura generada por la pandemia mundial y los siguientes decretos de estado de alarma”, explica el informe, así como la necesidad de instaurar de manera rápida e improvisada el teletrabajo, llevando a una reducción de los perímetros de seguridad y la fortaleza de las infraestructuras.

“Esta situación ha puesto de manifiesto un endurecimiento del mercado, en cuanto a la suscripción del riesgo Ciber, dando lugar, ante todo, a una reducción de capacidad” que, si bien, sigue siendo suficiente para cubrir los programas que más capacidad requieren (especialmente, los vinculados a las infraestructuras críticas y sector retail), se indica.

Asimismo, casi el 70% de la siniestralidad que se produce bajo las pólizas de seguro Ciber tiene su origen en ataques ransomware, compromiso de datos personales e ingeniería social. Entre 2017 y 2020 las notificaciones de siniestros por ataque de ransomware ha crecido un 200%. Por ahora, el sector asegurador no espera una reducción de la siniestralidad en el corto plazo por lo que se recomienda mucha proactividad a las organizaciones en la gestión del riesgo cibernético y que cuenten con un programa de seguros que les permita garantizar la continuidad de su negocio.

Respecto a los ataques ransomware, se estima que su impacto este año alcance cerca de 20.000 millones de dólares, según el estudio, que resalta que el modelo de negocio ya no se basa exclusivamente en ‘pagar por descifrar’ los datos, sino en pagar para evitar la publicación, así como impedir la interrupción del negocio.

Entorno regulatorio

En cuanto a las novedades regulatorias, el estudio confirma un cambio de paradigma en materia de ciberseguridad. Esto se debe al papel de regulador global que ha adoptado la UE, que ha incluido este tema en su agenda como una de sus prioridades y cómo abordarlo: mediante una intensa actividad regulatoria e inversión de gran cantidad de fondos europeos.

En este sentido, se destaca la aprobación en 2020 de la nueva Directiva sobre Resiliencia de Entidades Críticas (CER), el Reglamento de Resiliencia Digital Operativa (DORA) o la Directiva NIS 2, entre otras. “Estas normativas tendrán un alto impacto regulatorio en las organizaciones y empresas”, destaca el informe.

Aon Cyber Camp

El estudio, en el que han participado las firmas Andersen y Garrigues para tratar las novedades regulatorias aprobadas en 2020 con respecto a la ciberseguridad, así como aseguradores que suscriben el riego Ciber (AIG, AXA XL, Beazley, QBE, Tokio Marine HCC y Zurich), se ha presentado en el evento virtual Aon Cyber Camp.

El estudio pretende analizar y acercar a las organizaciones el cambio de tendencia tanto en la ciberseguridad como en la gestión del riesgo y la transferencia de este al mercado asegurador. Además, señala los recursos y soluciones que ayudan a gestionar y mitigar el impacto de un fallo de seguridad, abordando la transferencia del riesgo al mercado asegurador en España y la siniestralidad que se está produciendo, especialmente motivada por los ataques ransomware.

En la presentación del informe, representantes de todas las entidades colaboradoras comentaron sobre los cambios de paradigma en cuanto a la regulación en materia de ciberseguridad, la siniestralidad y cómo el aumento significativo de ataques ransomware está cambiando la manera de suscribir el riesgo.

Entre las conclusiones más destacadas de las intervenciones, realizadas en tres mesas redondas, se puso de manifiesto que “concebir la ciberseguridad solo como un riesgo es un error” ya que “las empresas la están utilizando como punto de inflexión” y, por tanto, debe ser también entendida como una “palanca de transformación”. Los ponentes también coincidieron en que “la proactividad para acompañar al cliente es un pilar muy importante para las organizaciones”, así como un buen despliegue de seguridad, incorporar a personal con un perfil más tecnológico y un mayor análisis y más profundo de estos riesgos, así como una mayor concienciación y la puesta en marcha de medidas de prevención.

Asimismo, se afirmó que “los ciberseguros aumentan la madurez y la resiliencia de las empresas como línea de defensa, por tanto, hay que seguir invirtiendo en ciberseguridad”. También se abordó la “inversión muy dispar” en ciber entre industrias y cómo los aseguradores analizan la exposición y cómo han reforzado tanto la parte de suscripción como la parte técnica.