Seguro cibernético

Seguro de riesgo de tecnologías de la información

El seguro cibernético es un producto de seguro especializado destinado a proteger a las empresas de los riesgos basados ​​en Internet y, de manera más general, de los riesgos relacionados con la infraestructura y las actividades de tecnología de la información . Los riesgos de esta naturaleza suelen estar excluidos de las pólizas de responsabilidad civil general comerciales tradicionales o, al menos, no están definidos específicamente en los productos de seguros tradicionales. La cobertura proporcionada por las pólizas de seguro cibernético puede incluir cobertura de primera y tercera parte contra pérdidas como destrucción de datos, extorsión, robo, piratería y ataques de denegación de servicio ; cobertura de responsabilidad que indemnice a las empresas por pérdidas a terceros causadas, por ejemplo, por errores y omisiones, falta de protección de datos o difamación; y otros beneficios que incluyen auditorías de seguridad periódicas , relaciones públicas posteriores al incidente y gastos de investigación, y fondos de recompensa por delitos.

Ventajas

Dado que el mercado de seguros cibernéticos en muchos países es relativamente pequeño en comparación con otros productos de seguros, su impacto general en las amenazas cibernéticas emergentes es difícil de cuantificar. ^[1] Como el impacto de las amenazas cibernéticas sobre las personas y las empresas también es relativamente amplio en comparación con el alcance de la protección proporcionada por los productos de seguros, las compañías de seguros continúan desarrollando sus servicios.

A medida que las aseguradoras pagan por las pérdidas cibernéticas y las amenazas cibernéticas se desarrollan y cambian, cada vez más los productos de seguros se compran junto con los servicios de seguridad informática existentes. De hecho, los criterios de suscripción para que las aseguradoras ofrezcan productos de seguros cibernéticos también están en una etapa temprana de desarrollo, y las aseguradoras se están asociando activamente con las empresas de seguridad informática para desarrollar sus productos.

Además de mejorar directamente la seguridad, el seguro cibernético es enormemente beneficioso en caso de una violación de seguridad a gran escala. El seguro proporciona un mecanismo de financiación ágil para la recuperación de pérdidas importantes, lo que ayuda a las empresas a volver a la normalidad y reduce la necesidad de asistencia gubernamental. ^[2]

Como beneficio adicional, muchas pólizas de seguros cibernéticos requieren que las entidades que intentan adquirir pólizas de seguros cibernéticos participen en una auditoría de seguridad informática antes de que la compañía de seguros vincule la póliza. Esto ayudará a las empresas a determinar sus vulnerabilidades actuales y permitirá a la compañía de seguros evaluar el riesgo que están asumiendo al ofrecer la póliza a la entidad. Al completar la auditoría de seguridad informática, la entidad que adquiere la póliza estará obligada, en algunos casos, a realizar las mejoras necesarias en sus vulnerabilidades de seguridad informática antes de que se pueda adquirir la póliza de seguros cibernéticos. Esto, a su vez, ayudará a reducir el riesgo de delitos cibernéticos contra la empresa que adquiere el seguro cibernético. ^[3]

Por último, el seguro permite distribuir equitativamente los riesgos de ciberseguridad, de modo que el costo de las primas sea proporcional a la magnitud de las pérdidas esperadas derivadas de dichos riesgos, lo que evita concentraciones de riesgo potencialmente peligrosas y, al mismo tiempo, impide el aprovechamiento indebido de los riesgos.

Desventajas

La tecnología de la información es una faceta inherente a prácticamente todas las empresas modernas; el requisito de un producto separado sólo existe gracias a un ejercicio deliberado de alcance que ha excluido el robo y el daño asociados con las tecnologías modernas de las líneas de productos existentes.

Bruce Schneier ^[4] ha postulado que las prácticas de seguros existentes tienden a seguir el modelo de "inundación o incendio" ^[5]; sin embargo, los eventos cibernéticos no parecen estar modelados por ninguno de estos tipos de eventos, lo que ha llevado a una situación en la que el alcance del seguro cibernético se restringe aún más para reducir el riesgo para los aseguradores. A esto se suma la escasez de datos relacionados con los daños reales correlacionados con el tipo de evento, la falta de estándares asociados con la clasificación de eventos y la falta de evidencia asociada con la eficacia de las "mejores prácticas de la industria". ^[6]

Los seguros se basan en datos actuariales sólidos en un contexto de riesgo en gran medida estático. Dado que estos datos no existen en la actualidad, es poco probable que los compradores de estos productos logren los resultados de valor que desean. Esta visión del mercado se refleja en el estado actual del mercado, donde las exclusiones estándar dan lugar a una situación en la que "una aseguradora podría argumentar que se aplican a casi cualquier violación de datos". ^[7]

Según Josephine Wolff, el seguro cibernético ha sido “ineficaz para frenar las pérdidas de ciberseguridad porque normaliza el pago de rescates en línea, mientras que el objetivo de la ciberseguridad es el opuesto: desincentivar dichos pagos para que el ransomware sea menos rentable”. ^[8]

Historia

Según la investigación de Josephine Wolff sobre la historia del seguro cibernético, sus orígenes se remontan a una convención de la International Risk Insurance Management Society en abril de 1997 en la que Steven Haase presentó el lanzamiento del primer producto de seguro cibernético, que incluía coberturas de primera y tercera parte. ^{[9] [10] [11]} Haase ideó por primera vez el concepto de seguro cibernético unos años antes y lo había discutido con varios colegas de la industria en ocasiones, pero este evento de 1997 marcó un momento decisivo cuando se lanzó realmente la primera póliza de seguro cibernético y la primera plataforma de suscripción. El evento resultó en la creación de la primera póliza diseñada para centrarse en los riesgos del comercio por Internet, que fue la póliza de responsabilidad de seguridad de Internet (ISL), desarrollada por Haase y suscrita por AIG. ^[12] Alrededor de esta misma época, en 1999, David Walsh fundó CFC Underwriting en el Reino Unido, una empresa que trata el ciberespacio como una de sus principales áreas de enfoque. ^{[13] [14]} Chris Cotterell fundó Safeonline aproximadamente al mismo tiempo, que pronto se convirtió en otro actor importante en el espacio de los seguros cibernéticos. ^{[15] [16]} La primera reunión entre Haase y 20 colegas de la industria en Hawái se conoce ahora comúnmente como la “Breach on the Beach” y se considera un momento crucial en el que se reconoció y celebró por primera vez el seguro cibernético. ^{[17] [18]}

Los primeros trabajos de la década de 1990 se centraron en los méritos generales del ciberseguro. A finales de esa década, cuando la perspectiva empresarial de la seguridad de la información adquirió mayor importancia, se formularon visiones del ciberseguro como herramienta de gestión de riesgos . Aunque sus raíces en la década de 1980 parecían prometedoras, golpeadas por acontecimientos como el Y2K y los ataques del 11 de septiembre , el mercado del ciberseguro no logró prosperar y permaneció en un nicho para demandas inusuales. La cobertura es muy limitada y entre los clientes se incluyen PYMES (pequeñas y medianas empresas) que necesitan un seguro para calificar para licitaciones, o bancos comunitarios demasiado pequeños para cubrir los riesgos de sus operaciones bancarias en línea .

Si bien no fue la primera, al menos una de las primeras pólizas de responsabilidad cibernética, como las llamamos ahora, fue desarrollada para el mercado de Lloyd's de Londres en el año 2000. La póliza fue encabezada por Keith Daniels y Rob Hamesfahr, entonces abogados del bufete de abogados Blatt, Hammesfahr & Eaton, de Chicago (Illinois). Trabajando en estrecha colaboración con Ian Hacker, entonces asegurador de Lloyd's, y Ted Doolittle y Kinsey Carpenter, entonces corredores de Kinsey Carpenter, un corredor de seguros de San Francisco (California), la póliza brindaba cobertura de terceros junto con cobertura por interrupción de negocios. En aquellos primeros días, se pensaba que un gran riesgo sería que una empresa transmitiera por negligencia un virus que pudiera infectar los sistemas de otras empresas, que luego presentarían una demanda contra la empresa original, así como por interrupción de negocios. La póliza también fue una de las primeras en incluir coberturas de primera y tercera parte en la misma forma. Si bien es probable que se hayan producido errores y omisiones de este tipo, las demandas contra organizaciones sobre esta base han demostrado ser poco frecuentes. Las pólizas que se han desarrollado desde el año 2000 se han centrado en la interrupción de las actividades comerciales, el pago de multas y sanciones, los costos de supervisión de crédito, los costos de relaciones públicas y el costo de restaurar o reconstruir datos privados, y continúan expandiéndose y evolucionando en la actualidad. Además, las pólizas de errores y omisiones tecnológicas ahora se venden con cobertura de terceros a organizaciones, como programadores e instaladores de tecnología, que podrían ser demandados si su asesoramiento o producto no satisface a sus clientes. Otros de los primeros participantes en el mercado cibernético fueron American International Group (AIG) y Chubb. Hoy en día, más de 80 empresas compiten en el mercado cibernético.

Incluso un pronóstico conservador de 2002, que predecía un mercado global de seguros cibernéticos por valor de 2.500 millones de dólares en 2005, resultó ser cinco veces mayor que el tamaño del mercado en 2008. ^[19] En general, en términos relativos, el mercado de seguros cibernéticos se contrajo a medida que crecía la economía de Internet.

La historia reciente muestra que la compra de seguros cibernéticos ha aumentado debido al aumento de los ataques basados ​​en Internet, como los ataques de ransomware. Oficina de Responsabilidad Gubernamental, "Los clientes de seguros están optando por la cobertura cibernética, en comparación con el 26 % en 2016 hasta el 47 % en 2020. Al mismo tiempo, las entidades aseguradoras estadounidenses vieron que los costos de los ciberataques casi se duplicaron entre 2016 y 2019. Como resultado, las primas de seguros también experimentaron importantes aumentos". ^[20]

En la práctica, varios obstáculos han impedido que el mercado de los seguros cibernéticos alcance su madurez: la ausencia de datos actuariales fiables para calcular las primas de seguros, la falta de concienciación entre los responsables de la toma de decisiones que contribuye a una demanda demasiado baja, así como obstáculos jurídicos y procesales se han identificado en la "primera generación" de literatura sobre seguros cibernéticos hasta aproximadamente 2005. ^[21] Este último aspecto puede causar frustración a la hora de reclamar una indemnización por daños. Además, las entidades que consideran la posibilidad de contratar seguros cibernéticos deben someterse a una serie de procedimientos de evaluación de seguridad a menudo invasivos, que revelan sus infraestructuras y políticas de TI. Mientras tanto, ser testigo de miles de vulnerabilidades, millones de ataques y una mejora sustancial en la definición de estándares de seguridad y en la informática forense pone en tela de juicio la validez de estos factores para explicar causalmente la falta de un mercado de seguros. ^{[ verificación necesaria ]}

Tipos

• Seguridad de red : Seguro por pérdidas derivadas de un evento cibernético o de piratería.
• Robo y fraude . Cubre la pérdida de dinero (o de un instrumento monetario similar) resultante del robo de dichos activos por parte de un actor malintencionado cuya actividad fraudulenta, principalmente el acceso no autorizado a los sistemas del asegurado, le permite a dicho actor obtener dichos activos mediante transferencia fraudulenta.
• Investigación forense . Abarca los servicios legales, técnicos o forenses necesarios para evaluar si se ha producido un ciberataque, evaluar su impacto y detenerlo.
• Interrupción de negocios . Cubre la pérdida de ingresos y los costos relacionados cuando el asegurado no puede realizar sus actividades comerciales debido a un incidente cibernético o pérdida de datos.
• Extorsión . Brinda cobertura para los costos asociados con la investigación de amenazas de cometer ataques cibernéticos contra los sistemas del asegurado y para los pagos a extorsionadores que amenacen con obtener y divulgar información confidencial.
• Seguro de Reputación  : Seguro contra ataques a la reputación y difamación cibernética.
• Pérdida y restauración de datos informáticos . Cubre los daños físicos o la pérdida de uso de los activos informáticos, incluidos los costos de recuperación y restauración de datos, hardware, software u otra información destruida o dañada como resultado de un ataque cibernético.
• Restauración de datos . Cubre los gastos relacionados con la restauración o recreación de datos que se perdieron debido a fallas de seguridad o del sistema.

Necesidad actual

La infraestructura, los usuarios y los servicios ofrecidos en las redes informáticas hoy en día están sujetos a una amplia variedad de riesgos planteados por amenazas que incluyen ataques distribuidos de denegación de servicio , intrusiones de diversos tipos , escuchas clandestinas, ^{[22] [23]} piratería informática , ^[24] phishing , gusanos , virus , spam , etc. Para contrarrestar el riesgo planteado por estas amenazas, los usuarios de la red han recurrido tradicionalmente a software antivirus y antispam , cortafuegos , sistemas de detección de intrusos (IDS) y otros complementos para reducir la probabilidad de verse afectados por amenazas. En la práctica, una gran industria (empresas como Symantec, McAfee, etc.) así como considerables esfuerzos de investigación se centran actualmente en el desarrollo e implementación de herramientas y técnicas para detectar amenazas y anomalías con el fin de proteger la ciberinfraestructura y sus usuarios del impacto negativo resultante de las anomalías.

A pesar de las mejoras en las técnicas de protección de riesgos durante la última década gracias al hardware, el software y las metodologías criptográficas, es imposible lograr una protección de ciberseguridad perfecta o casi perfecta. La imposibilidad surge debido a una serie de razones: ^[25]

• Escasa existencia de soluciones técnicas sólidas.
• Dificultad para diseñar soluciones que atiendan las diversas intenciones detrás de los ataques a la red.
• Incentivos desalineados entre los usuarios de la red, los proveedores de productos de seguridad y las autoridades reguladoras con respecto a la protección de la red.
• Los usuarios de la red aprovechan los efectos positivos de seguridad generados por las inversiones de otros usuarios en seguridad, pero a su vez no invierten en seguridad, lo que genera el problema del "oportunismo".
• Bloqueo del cliente y efectos de pionero en productos de seguridad vulnerables.
• Dificultad para medir los riesgos, lo que genera desafíos a la hora de diseñar soluciones pertinentes para su eliminación.
• El problema de un mercado de limones, en el que los proveedores de seguridad no tienen incentivos para lanzar productos robustos al mercado.
• Juegos de responsabilidad jugados por vendedores de productos.
• Ingenuidad del usuario a la hora de aprovechar de forma óptima los beneficios de las soluciones técnicas.

Dadas las inevitables barreras mencionadas anteriormente para una mitigación de riesgos cercana al 100%, surge la necesidad de métodos alternativos para la gestión de riesgos en el ciberespacio. Para destacar la importancia de mejorar el estado actual de la ciberseguridad, el presidente de los Estados Unidos, Barack Obama, emitió una orden ejecutiva sobre ciberseguridad en febrero de 2013 ^[26] que enfatiza la necesidad de reducir las ciberamenazas y ser resilientes a ellas. En este sentido, algunos investigadores de seguridad en el pasado reciente han identificado el ciberseguro como una herramienta potencial para una gestión de riesgos eficaz.

El ciberseguro es una técnica de gestión de riesgos mediante la cual los riesgos de los usuarios de la red se transfieren a una compañía de seguros, a cambio de una tarifa, es decir, la prima del seguro. Entre los posibles ciberaseguradores se incluyen los proveedores de servicios de Internet, los proveedores de la nube y las organizaciones de seguros tradicionales. Los defensores del ciberseguro creen que este conduciría al diseño de contratos de seguros que trasladarían cantidades adecuadas de responsabilidad de autodefensa a los clientes, con lo que el ciberespacio sería más robusto. En este caso, el término "autodefensa" implica los esfuerzos de un usuario de la red por proteger su sistema mediante soluciones técnicas, como software antivirus y antispam, cortafuegos, uso de sistemas operativos seguros, etc. El ciberseguro también tiene el potencial de ser una solución de mercado que puede alinearse con los incentivos económicos de los ciberaseguradores, los usuarios (individuos/organizaciones), los responsables de las políticas y los proveedores de software de seguridad. Es decir, las aseguradoras cibernéticas obtendrán ganancias al fijar precios apropiados para las primas, los usuarios de la red buscarán cubrir pérdidas potenciales comprando seguros en forma conjunta e invirtiendo en mecanismos de autodefensa, los responsables de las políticas garantizarían el aumento de la seguridad general de la red y los vendedores de software de seguridad podrían experimentar un aumento en las ventas de sus productos mediante la formación de alianzas con las aseguradoras cibernéticas. ^[27]

Un área clave para gestionar el riesgo es establecer qué es un riesgo aceptable para cada organización o qué es una "seguridad razonable" para su entorno de trabajo específico. La práctica del " deber de cuidado " ayuda a proteger a todas las partes interesadas (ejecutivos, reguladores, jueces, el público que puede verse afectado por esos riesgos). La Norma de análisis de riesgos del deber de cuidado (DoCRA) ^[28] proporciona prácticas y principios para ayudar a equilibrar el cumplimiento, la seguridad y los objetivos comerciales al desarrollar controles de seguridad.

Legislación

En 2022, Kentucky y Maryland promulgaron una legislación sobre seguridad de datos de seguros basada en la Ley Modelo de Seguridad de Datos de Seguros de la Asociación Nacional de Comisionados de Seguros (“NAIC”) (MDL-668). ^[29] La SB 207 de Maryland ^[30] entra en vigor el 1 de octubre de 2023. El proyecto de ley 474 de la Cámara de Representantes de Kentucky ^[31] entra en vigor el 1 de enero de 2023.

Problemas existentes

En consecuencia, durante 2005 surgió una “segunda generación” de literatura sobre seguros cibernéticos, que se centraba en la gestión de riesgos de las redes cibernéticas actuales. Los autores de dicha literatura vinculan la falla del mercado con propiedades fundamentales de la tecnología de la información, especialmente las asimetrías de información sobre riesgos correlacionadas entre aseguradores y asegurados y las interdependencias. ^[32]

La asimetría de la información tiene un efecto negativo significativo en la mayoría de los entornos de seguros, donde las consideraciones típicas incluyen la incapacidad de distinguir entre usuarios de diferentes tipos (de alto y bajo riesgo), es decir, el llamado problema de selección adversa, así como los usuarios que realizan acciones que afectan negativamente las probabilidades de pérdida después de que se firma el contrato de seguro, es decir, el llamado problema de riesgo moral. El desafío debido a la naturaleza interdependiente y correlacionada de los riesgos cibernéticos es particular del ciberseguro y diferencia los escenarios de seguros tradicionales (por ejemplo, seguro de automóvil o de salud) del primero. En un gran sistema distribuido como Internet, los riesgos abarcan un gran conjunto de nodos y están correlacionados. Por lo tanto, las inversiones de los usuarios en seguridad para contrarrestar los riesgos generan externalidades positivas para otros usuarios en la red. El objetivo del ciberseguro aquí es permitir que los usuarios individuales internalicen las externalidades en la red para que cada usuario invierta de manera óptima en soluciones de seguridad, aliviando así el riesgo moral y mejorando la seguridad de la red. En los escenarios de seguros tradicionales, el alcance del riesgo es bastante pequeño (a veces abarca solo una o dos entidades) y no está correlacionado, por lo que es mucho más fácil internalizar las externalidades generadas por las inversiones de los usuarios en seguridad.

Ambigüedades en los términos

En 2019, FM Global realizó una encuesta a directores financieros de empresas con una facturación superior a los mil millones de dólares. La encuesta reveló que el 71% de los directores financieros creía que su proveedor de seguros cubriría "la mayor parte o la totalidad" de las pérdidas que su empresa sufriría en un ataque o delito cibernético. Sin embargo, muchos de esos directores financieros informaron que esperaban daños relacionados con los ataques cibernéticos que no están cubiertos por las pólizas típicas de ataques cibernéticos. En concreto, el 50% de los directores financieros mencionó que preveían que después de un ataque cibernético se devaluaría la marca de su empresa, mientras que más del 30% esperaba una disminución de los ingresos. ^[33]

Cláusulas de exclusión de guerra

Al igual que otras pólizas de seguros, el seguro cibernético suele incluir una cláusula de exclusión de guerra , que excluye explícitamente los daños causados ​​por actos de guerra. Si bien la mayoría de las reclamaciones por seguros cibernéticos se relacionan con conductas delictivas simples, cada vez es más probable que las empresas sean víctimas de ataques cibernéticos por parte de estados nacionales u organizaciones terroristas, ya sean específicamente dirigidos o simplemente por daños colaterales. Después de que los gobiernos de Estados Unidos y el Reino Unido caracterizaran el ataque NotPetya como un ciberataque militar ruso, las aseguradoras argumentan que no cubren tales eventos. ^{[34] [35] [36]}

¿Por qué los mercados de ciberseguros y reaseguros cibernéticos no son lo suficientemente populares comercialmente?

Es bien sabido, a partir de la práctica del mercado, que los mercados de seguros cibernéticos no han florecido en términos de entrada de primas inyectadas, tal como se esperaba. Existe una gran brecha de oferta y demanda de miles de millones de dólares, lo que indica una falla del mercado en un sentido económico. Si bien los estudios de políticas y legales ^[37] han tenido una opinión sólida sobre por qué es así, es el campo de la investigación de modelos matemáticos el que ha establecido formalmente el hecho de por qué es así.

Entre los ejemplos de trabajos de modelado seminales que estudian la eficiencia económica de los mercados de seguros cibernéticos que cubren riesgos cibernéticos no acumulativos se incluyen (i) Lelarge y Bolot, ^[38] (ii) Pal et al., ^[39] (iii) Pal et al., ^[40] (iv) Pal et al., ^[41] (v) Johnson et al., ^[42] y (vi) Shetty, et al. ^[43]. Estos trabajos primero muestran el comportamiento de oportunismo de los usuarios de Internet (principalmente usuarios y organizaciones) sin la presencia de un ciberseguro, y luego estudian cómo el seguro puede reducir el oportunismo dentro de una red de organizaciones.

Los trabajos de Lelarge y Bolot y Shetty et al. presentan los beneficios del ciberseguro para incentivar a los usuarios de Internet a invertir adecuadamente en seguridad. Sin embargo, sus trabajos abordan tipos de mercado restringidos que solo consideran los ciberriesgos residuales independientes de varias fuentes de usuarios que llegan a las ciberaseguradoras. Lelarge et al. no modelan la asimetría de la información en su trabajo. Aunque Shetty et al. demuestran que los mercados de ciberseguros son ineficientes en condiciones de asimetría de la información, sus resultados no se extienden generalmente a entornos en los que las organizaciones aseguradas están interconectadas entre sí. Johnson et al. analizan el papel de la existencia conjunta del autoseguro y el seguro de mercado en la adopción de los diferentes tipos de seguros por parte de los usuarios, pero no modelan la red de organizaciones interdependientes. En el trabajo más reciente, Pal et al. en una serie de artículos conjuntos demuestran la ineficiencia de los mercados de ciberseguros en condiciones de asimetría parcial de la información y riesgos correlacionados y muestran la existencia de mercados eficientes (tanto regulados como no regulados) en condiciones de discriminación de primas.

Los trabajos recientes sobre modelos matemáticos de riesgo cibernético para estudiar la sostenibilidad del mercado de la cobertura del riesgo cibernético agregado por parte de las (re)aseguradoras cibernéticas han sido realizados únicamente por Pal et al. ^{[44] [45] [46]} Basándose en una serie de análisis de modelos rigurosos sobre las dimensiones de la economía y la estadística, demuestran que solo en el caso de agregar riesgos cibernéticos de cola ligera y de fuentes independientes (un evento prácticamente menos probable) los mercados de seguros cibernéticos eficientes serán sostenibles. En todos los demás casos, los mercados de (re)seguros cibernéticos existirán, pero serán en gran medida ineficientes con síntomas como baja inyección de primas, mercado de limones, alta brecha de oferta y demanda y pocas reaseguradoras. La asimetría de información entre el asegurado y el proveedor de seguros junto con la naturaleza correlacionada de los riesgos cibernéticos son las razones principales de tales ineficiencias del mercado.

Cunningham, Pfleeger, ^[47] Pal, Liu et al., ^[48] y Liu et al. ^[49] argumentan computacionalmente contra la existencia de mercados de (rea)seguros cibernéticos sostenibles bajo asimetría de información. El mensaje común de su estudio es que los sistemas impulsados ​​por TI tienen demasiadas vulnerabilidades para que las computadoras las detecten (eliminando así la asimetría de información) en un tiempo prácticamente factible, sin mencionar a los humanos. Mientras que Cunningham argumenta lógicamente que este problema es indecidible según el método de Turing, Pal et al., ^[50] y Liu et al., ^[51] son ​​los primeros en demostrar formalmente que el problema es NP-Hard y derivar una solución de aproximación para aliviar el problema de asimetría de información. Los resultados justifican por qué los mercados de (rea)seguros cibernéticos han sido tan escasos durante la última década.

Disponibilidad

En 2014, el 90% del volumen de primas de seguros cibernéticos cubría la exposición en Estados Unidos. Aunque al menos 50 compañías de seguros tienen ofertas de productos de seguros cibernéticos, la emisión real se concentra en un grupo de cinco suscriptores. Muchas compañías de seguros han dudado en entrar en este mercado de cobertura, ya que no existen datos actuariales sólidos sobre la exposición cibernética. Lo que obstaculiza el desarrollo de estos datos actuariales es la divulgación inadecuada de los ataques cibernéticos por parte de los afectados. ^[52] Sin embargo, después de un importante incidente de malware en 2017, Reckitt Benckiser publicó información sobre cuánto afectaría el ciberataque al rendimiento financiero, lo que llevó a algunos analistas a creer que la tendencia es que las empresas sean más transparentes con los datos de los incidentes cibernéticos. ^[53]

Se espera que las primas de seguros cibernéticos aumenten de aproximadamente 2.000 millones de dólares en 2015 a aproximadamente 20.000 millones de dólares o más en 2025, por lo que las aseguradoras y reaseguradoras siguen perfeccionando los requisitos de suscripción. La inmadurez del mercado y la falta de estandarización son dos razones por las que suscribir productos cibernéticos hoy en día lo convierte en un lugar interesante para estar en el mundo de los seguros. No solo se cuenta con un mercado de seguros que está tratando de alcanzar un estándar y adaptarse a las necesidades de los asegurados actuales, sino que también se cuenta, al mismo tiempo, con un panorama de exposición y una capacidad disponibles en rápido desarrollo.

Precios

En 2019, el costo promedio del seguro de responsabilidad cibernética en los Estados Unidos se estimó en $1,501 por año para una cobertura de responsabilidad de $1 millón, con un deducible de $10,000. ^[54] La prima anual promedio para un límite de responsabilidad cibernética de $500,000 con un deducible de $5,000 fue de $1,146, y la prima anual promedio para un límite de responsabilidad cibernética de $250,000 con un deducible de $2,500 fue de $739. ^[55] Además de la ubicación, los principales impulsores del costo del seguro cibernético incluyen el tipo de negocio, la cantidad de transacciones con tarjeta de crédito/débito realizadas y el almacenamiento de información personal confidencial, como la fecha de nacimiento y los números de Seguro Social.

Referencias

1. Toregas, Costis. "Seguro contra ataques cibernéticos: la cuestión de establecer primas en contexto" (PDF) . Archivado (PDF) del original el 27 de julio de 2020.
2. GRANDES (2017)
3. Tsohou, Aggeliki; Diamantopoulou, Vasiliki; Gritzalis, Stefanos; Lambrinoudakis, Costas (1 de junio de 2023). "Ciberseguro: estado del arte, tendencias y direcciones futuras". Revista Internacional de Seguridad de la Información . 22 (3): 737–748. doi :10.1007/s10207-023-00660-8. ISSN  1615-5270. PMC 9841933 . PMID  36684688. 
4. "Schneier sobre seguridad". www.schneier.com . Consultado el 19 de julio de 2022 .
5. "Seguro de ciberseguridad - Schneier on Security".
6. Wolff, Josephine. "El ciberseguro intenta hacer frente al impredecible mundo de los ataques informáticos". Wired .
7. "La aseguradora cita la exclusión de la póliza cibernética para disputar el acuerdo por la violación de datos".
8. Wolff, Josephine (2022). Póliza de ciberseguro: replanteamiento del riesgo en una era de ransomware, fraude informático, violaciones de datos y ciberataques. MIT Press. ISBN 978-0-262-37075-2.OCLC 1334725282  .
9. Wolff, Josephine (30 de agosto de 2022). "Una breve historia del ciberseguro". Slate . Consultado el 29 de septiembre de 2024 .
10. Williams, Carl (7 de junio de 2024). "Cómo Steven Haase fue pionero en el seguro cibernético y dio forma a una industria". Tech Times . Consultado el 29 de septiembre de 2024 .
11. Szczepanski, Kevin (2 de marzo de 2022). «Barclay Damon Live presenta: The Cyber ​​Sip Podcast, episodio 8: Estado del mercado: seguros de ciberseguridad, con Kelly Geary» (PDF) . Barclay Damon . Consultado el 29 de septiembre de 2024 .
12. Wolff, Josephine (30 de agosto de 2022). "Una breve historia del ciberseguro". Slate . Consultado el 29 de septiembre de 2024 .
13. Gagan, Mark (18 de enero de 2022). "The Voice of Insurance Podcast, episodio 107: David Walsh y Graeme Newman de CFC Underwriting: Build Your Own". PodBean . Consultado el 29 de septiembre de 2024 .
14. Frost, Jen (29 de noviembre de 2023). "Los directores ejecutivos de CFC, Newman y Walsh, se marcharán tras la investigación de Lloyd's". Revista Insurance Business . Consultado el 29 de septiembre de 2024 .
15. Bronson, Caitlin (23 de abril de 2015). "Cinco minutos con… Chris Cotterell, Safeonline LLP". Revista Insurance Business . Consultado el 29 de septiembre de 2024 .
16. "SafeOnline". Revista de seguros para empresas . Consultado el 29 de septiembre de 2024 .
17. Wolff, Josephine (2022). Póliza de ciberseguro: replanteamiento del riesgo en una era de ransomware, fraude informático, violaciones de datos y ataques cibernéticos; Capítulo 2: Violación en la playa . Cambridge, MA, EE. UU.: MIT Press. págs. 27–30.
18. Wolff, Josephine (30 de agosto de 2022). "Una breve historia del ciberseguro". Slate . Consultado el 29 de septiembre de 2024 .
19. Kesan, Jay P.; Majuca, Ruperto P.; Yurcik, William J. "El caso económico del ciberseguro". Taller sobre la economía de la seguridad de la información (WEIS), 2004 .
20. Oficina de Responsabilidad Gubernamental de los Estados Unidos (27 de septiembre de 2023). "Las crecientes amenazas cibernéticas aumentan las primas de seguros cibernéticos y reducen la disponibilidad | GAO de los Estados Unidos". www.gao.gov . Consultado el 30 de enero de 2024 .
21. Johnson, Benjamin; Böhme, Rainer; Grossklags, Jens. "Juegos de seguridad con seguro de mercado". En Actas de GameSec, 2011 .
22. "Ataques de espionaje de red y cómo funcionan". Riesgos de ciberseguridad para las empresas . Consultado el 31 de julio de 2023 .
23. "Interceptación de redes - OWASP". Archivado desde el original el 5 de diciembre de 2014. Consultado el 30 de diciembre de 2014 .
24. Morriss, Sean (6 de enero de 2015). "¿Es su empresa vulnerable a estas amenazas cibernéticas?". Archivado desde el original el 11 de marzo de 2015. Consultado el 2 de febrero de 2015 .
25. Anderson, Ross; Moore, Tyler. "La economía de la seguridad de la información: una encuesta y preguntas abiertas". Actas del 5º Simposio Internacional sobre Aspectos Humanos de la Seguridad y Garantía de la Información .
26. "Orden ejecutiva: Mejorar la ciberseguridad de las infraestructuras críticas". Archivos de la Casa Blanca de Obama . 12 de febrero de 2013. Consultado el 11 de abril de 2019 .
27. Pal, Ranjan; Golubchik, Leana; Psounis, Konstantinos; Hui, Pan (2014). "¿Mejorará el ciberseguro la seguridad de la red?: un análisis de mercado". Actas de IEEE INFOCOM .
28. "Estándar de análisis de riesgos del deber de cuidado". Consejo DoCRA . Archivado desde el original el 14 de agosto de 2018.
29. NAIC. "LEY MODELO DE SEGURIDAD DE DATOS EN SEGUROS" (PDF) . NAIC .
30. "Proyecto de ley 207 del Senado de Maryland". LegiScan .
31. "Proyecto de ley 474 de la Cámara de Representantes". Asamblea General de Kentucky .
32. Schwartz, Galina; Bohme, Rainer. "Modelización de los seguros cibernéticos". En Actas de WEIS, 2010 .
33. Global, FM (30 de julio de 2019). "El seguro cibernético puede crear una falsa sensación de seguridad entre los altos ejecutivos financieros de las principales empresas del mundo, sugiere una encuesta de FM Global". FM Global . Archivado desde el original el 20 de septiembre de 2020.
34. Satariano, Adam (15 de abril de 2019). "Las grandes empresas creían que el seguro cubría un ciberataque. Puede que estén equivocadas". New York Times . Consultado el 25 de abril de 2019 .
35. Osborne, Charlie (11 de enero de 2019). "NotPetya es un 'acto de guerra'; una empresa de seguros cibernéticos es criticada por negarse a pagar". ZDNet . Consultado el 25 de abril de 2019 .
36. Menapace, Michael (10 de marzo de 2019). "Las pérdidas causadas por malware pueden no estar cubiertas debido a la exclusión de actos hostiles de su póliza". The National Law Review . Consultado el 25 de abril de 2019 .
37. Wolff, Josephine. Póliza de ciberseguro: replanteamiento del riesgo en una era de ransomware, fraude informático, violaciones de datos y ciberataques .
38. Lelarge, Marc; Bolot, Jean (2009). "Incentivos económicos para aumentar la seguridad en Internet: el caso de los seguros". IEEE Infocom 2009. págs. 1494–1502. doi :10.1109/INFCOM.2009.5062066. ISBN . 978-1-4244-3512-8.S2CID 9520569  .
39. Pal, Ranjan; Golubchik, Leana; Psounis, Konstantinos; Hui, Pan (2014). "¿Mejorará el ciberseguro la seguridad de la red?: un análisis de mercado". Actas de IEEE INFOCOM .
40. Pal, Ranjan; Golubchik, Leana (2010). "Análisis de las inversiones en autodefensa en seguridad de Internet bajo cobertura de ciberseguro". Actas de la Conferencia Internacional IEEE sobre Sistemas de Computación Distribuida .
41. Pal, Ranjan; Golubchik, Leana; Psounis, Konstantinos; Hui, Pan (2018). "Mejorar la ciberseguridad a través de mercados de seguros rentables". Revisión de evaluación del desempeño de ACM SIGMETRICS . 45 (4): 7–15. doi :10.1145/3273996.3273999. S2CID  43919975.
42. Johnson, Benjamin; Böhme, Rainer; Grossklags, Jens (2011). "Juegos de seguridad con seguro de mercado". Decisiones y teoría de juegos para la seguridad . Apuntes de clase en informática. Vol. 7037. págs. 117–130. doi :10.1007/978-3-642-25280-8_11. ISBN 978-3-642-25279-2.
43. Shetty, Nikhil; Schwartz, Galina; Walrand, Jean (2010). "¿Pueden las aseguradoras competitivas mejorar la seguridad de la red?". Confianza y computación confiable . Apuntes de clase en informática. Vol. 6101. págs. 308–322. doi :10.1007/978-3-642-13869-0_23. ISBN 978-3-642-13868-3.
44. Pal, Ranjan; Psounis, Konstantinos; Crowcroft, Jon; Kelly, Frank; Hui, Pan; Tarkoma, Sasu; Kumar, Abhishek; Kelly, John; Chatterjee, Aritra; Golubchik, Leana; Sastry, Nishanth; Nag, Bodhibrata (2020). "¿Cuándo son probables los apagones cibernéticos en las redes de servicios modernas?: Una teoría ajena a la red sobre la viabilidad del (re)seguro cibernético". ACM Transactions on Management Information Systems . doi :10.1145/3386159. hdl : 10138/318422 . S2CID  218517399.
45. Pal, Ranjan; Huang, Ziyuan (2021). "¿La agregación de riesgos cibernéticos catastróficos prosperará en la era del IoT? Una advertencia económica para las (re)aseguradoras y similares". ACM Transactions on Management Information Systems . 12 (2): 1–36. doi : 10.1145/3446635 . S2CID  235649675.
46. Pal, Ranjan; Huang, Ziyuan; Yin, Xinlong (2021). Interoperabilidad de plataformas de IoT heterogéneas . Internet de las cosas. doi :10.1007/978-3-030-82446-4. ISBN 978-3-030-82445-7. Número de identificación del sujeto  245119168.
47. Pfleeger, Shari; Cunningham, Robert (2010). "Por qué es difícil medir la seguridad". IEEE Security & Privacy . 8 (4): 46–54. doi :10.1109/MSP.2010.60. S2CID  10893419.
48. Pal, Ranjan; Liu, Peihan; Lu, Taoan; Hua, Edward (2022). "¿Qué tan difícil es la gestión de riesgos cibernéticos en los sistemas de TI/OT? Una teoría para clasificar y superar la dificultad de asegurar los sistemas de control industrial". ACM Transactions on Cyber-Physical Systems . 6 (4): 1–31. doi : 10.1145/3568399 . S2CID  252920065.
49. Pal, Ranjan; Lu, Taoan; Liu, Peihan; Xinlong, Yin (2021). "REDACTAR POLÍTICAS DE SEGURO CIBERNÉTICO ES NP-DIFÍCIL EN LAS SOCIEDADES DE LA INTERNET DE LAS COMUNIDADES DE LOS INVERSORES". Actas de la Conferencia de Simulación de Invierno del IEEE .
50. Pal, Ranjan; Liu, Peihan; Lu, Taoan; Hua, Edward (2022). "¿Qué tan difícil es la gestión de riesgos cibernéticos en los sistemas de TI/OT? Una teoría para clasificar y superar la dificultad de asegurar los sistemas de control industrial". ACM Transactions on Cyber-Physical Systems . 6 (4): 1–31. doi : 10.1145/3568399 . S2CID  252920065.
51. Pal, Ranjan; Lu, Taoan; Liu, Peihan; Xinlong, Yin (2021). "REDACTAR POLÍTICAS DE SEGURO CIBERNÉTICO ES NP-DIFÍCIL EN LAS SOCIEDADES DE LA INTERNET DE LAS COMUNIDADES DE LOS INVERSORES". Actas de la Conferencia de Simulación de Invierno del IEEE .
52. Veysey, Sarah (10 de junio de 2015). «Datos escasos para las aseguradoras que cubren riesgos cibernéticos» . Seguro cibernético . Consultado el 11 de junio de 2015 .
53. Daneshkhu, Scheherazade. "Reckitt busca cuantificar los estragos de los ataques de malware". Financial Times . N.º 7 de julio de 2017. Consultado el 24 de agosto de 2017 .
54. Lerner, Matthew (19 de septiembre de 2019). «Estudio de los costes medios del seguro de responsabilidad cibernética». Seguros de empresa . Consultado el 7 de enero de 2021 .
55. Mak, Adrian (17 de septiembre de 2019). "Costo promedio del seguro cibernético". AdvisorSmith . Consultado el 7 de enero de 2021 .