El seguro de ciberseguridad tiene un gran problema

En 2020, el mundo parece haber entrado en una nueva era de ciberataques. Aunque ha habido décadas de virus, infracciones y otras formas de ataque, el año pasado aumentó la sofisticación de los malos actores, una propensión a pagar en los casos de ransomware y una amplia franja de incertidumbre geopolítica, condiciones que los piratas informáticos han considerado favorables.

La gravedad de las consecuencias financieras ha sido profunda. Los rescates se han disparado de precios de cinco cifras a millones, incluidos 10 millones de dólares, según se informa pagado por Garmin. Varias solicitudes de rescate eran mucho más altas antes de negociarse a la baja, según clientes míos de todo el mundo. Todo lo cual es una nueva escalada de una tendencia preocupante: A informe reciente de Hiscox muestra pérdidas cibernéticas aseguradas de 1.800 millones de dólares en 2019, un impresionante 50% más que en comparación con el año anterior.

Ante la perspectiva de que un ataque tenga importantes consecuencias financieras, los altos ejecutivos de todo el mundo han optado por el ciberseguro. Las aseguradoras están emitiendo más pólizas y los importes de protección disponibles están aumentando. En 2020, según datos propiedad del equipo que dirijo, la comunidad aseguradora mundial vio el primer programa de ciberseguro que superó los mil millones de dólares, y el segundo.

Sin embargo, el impulso que ha impulsado al sector hasta ahora puede que se esté agotando. Puede que el sector de los ciberseguros aún esté en pañales, pero hay indicios de que se ha estancado (ojalá temporal). Hay algunas causas probables para esta ralentización del crecimiento. Por el lado de la demanda, a pesar de la oleada de ciberataques, algunas compañías compran menos ciberseguros o no compran ninguno, ya que la presión económica provocada por la COVID-19 ha hecho que algunas consideren el ciberseguro como un lujo. Y si bien más ataques podrían estimular la demanda, también crean un problema de suministro, ya que las aseguradoras desconfían más a la hora de ofrecer cobertura y las reaseguradoras (que ofrecen seguros a las compañías de seguros) están menos interesadas en respaldar las ciberresponsabilidades. Además de eso, la falta de datos históricos sobre pérdidas (como resultado de la corta historia del sector) añade otro nivel de imprevisibilidad para todos los involucrados.

Sin embargo, en última instancia, todos estos factores se reducen a un simple hecho: no hay suficiente dinero en el ciberseguro. Y es difícil saber ahora mismo si alguna vez lo habrá.

Es un momento importante para el futuro del sector. El ciberentorno es delicado, dada la combinación de la volatilidad de las amenazas, las pérdidas recientes y un compromiso incipiente que las aseguradoras del sector podrían reducir o retirar. Es probable que una ola de ciberataques con enormes implicaciones en el sector de los seguros no represente una amenaza para la solvencia, pero que se produzca el peor de los casos podría provocar cambios estructurales en la ciberclase de negocios, o incluso en una industria de seguros que esté mucho menos interesada en la ciberseguridad. Eso podría provocar la pérdida de una importante palanca de gestión de riesgos para los altos ejecutivos y los consejos de administración con una importante exposición a la tecnología, es decir, la mayoría de las grandes y medianas empresas.

Para las empresas que quieren incluir más ciberseguros en sus prácticas de gestión de riesgos (o comprar por primera vez), es necesario planificar un poco. Al fin y al cabo, estamos ante un entorno en el que las reclamaciones aumentan y las aseguradoras carecen de los datos históricos y la experiencia general para desarrollar los análisis que utilizarían en líneas de negocio más maduras, como la propiedad. Para crear una cantidad suficiente de ciberseguro, las compras anticipadas de cantidades más pequeñas con aumentos a lo largo del tiempo pueden ayudar al mercado a crecer con las necesidades de las empresas a las que apoya.

Piscinas pequeñas, gran exposición

El problema al que se enfrentan la mayoría de las empresas es determinar la cantidad de ciberseguro que necesitan. Sin embargo, es difícil para las aseguradoras entender la demanda cuando los propios compradores siguen intentando averiguar tanto su exposición como su apetito de compra.

Los años en los que el ciberseguro disfrutó de un crecimiento significativo no fueron suficientes para hacerse una idea fiable de la cantidad de protección que las compañías deberían comprar realmente. De hecho, la mayoría no tiene suficiente seguro cibernético o no tiene ninguno. Las empresas con al menos 200 millones de dólares en ciberseguros representan poco más del 20% de lo que se cree que son 5000 millones de dólares en primas de ciberseguro mundiales, según un estudio interno realizado por PCS, lo que equivale a unos 1 100 millones de dólares en primas.

Con unas 250 empresas que compran al menos 200 millones de dólares en protección, solo se necesitarían cinco pérdidas aseguradas de un poco más que esa cantidad para acabar con la prima de un año entero. Eso es solo el 2% de las empresas del mercado que compran esa cantidad de cobertura. Es probable que las aseguradoras tarden décadas en recuperar esas pérdidas.

Ahora, piense en las empresas con una protección de al menos 500 millones de dólares. Solo hay alrededor de 40, según nuestros datos. Dos pérdidas totales podrían acabar con la prima de un año. Puede que las aseguradoras tengan que esperar medio siglo para ganar una prima suficiente contra esas pérdidas. Incluso para las empresas que compran entre 100 y 199 millones de dólares en primas, la exposición es bastante significativa. Nuestra investigación indica que hay aproximadamente 500 compañías que compran esa cantidad y representan otro 25% de la prima de seguro mundial (quizás incluso un poco más que eso). Solo se necesitarían un puñado de pérdidas para acabar con los 1440 millones de dólares en primas que generan.

El problema a corto plazo

Las empresas que buscan comprar protección de ciberseguro se enfrentan a un entorno bastante volátil determinado por los bajos precios de la protección y los altos niveles de riesgo que soportan las aseguradoras. Ese es el tipo de fórmula que lleva a las reducciones de la capacidad asignada que, como era de esperar, estamos viendo ahora mismo. Pero el problema subyacente no va a desaparecer: los ciberriesgos persistirán y evolucionarán, y las empresas tendrán que gestionar ese riesgo, incluida la protección del seguro. Debido a la inminente y frecuente ciberamenaza y a la falta de experiencia histórica como sector —recuerde que el sector aún está en pañales—, no hay una manera fácil de arreglar el mercado.

Una de las barreras más difíciles para abordar los desafíos estructurales a los que se enfrenta el sector de los ciberseguros es que las aseguradoras han confiado desproporcionadamente en el reaseguro. El reaseguro —de nuevo, considerado casualmente como un seguro para las compañías de seguros— permite a las aseguradoras transferir el riesgo a otra fuente de capital. Por mucho que acuda a su aseguradora cuando tiene una reclamación, las aseguradoras pueden acudir a las reaseguradoras en busca de apoyo. Y en el caso de la ciberseguridad, las aseguradoras ceden aproximadamente el 50% de la prima que cobran al mercado de reaseguros. Por lo tanto, no retienen tanto riesgo como podría pensar.

Como resultado, la concentración del capital entre las reaseguradoras es simplemente sorprendente. Cuatro reaseguradoras representan más del 60% de la prima, y la concentración de esa cohorte podría aumentar como resultado de la volatilidad del mercado el año que viene, a medida que los actores más pequeños reevalúen su compromiso con la ciberseguridad. De hecho, más del 75% de las reaseguradoras que suscriben ciberreaseguros tienen menos de 100 millones de dólares en primas y la mayoría de ellas menos de 50 millones de dólares. Dado que es probable que la mayor reaseguradora del mercado reciba más de 500 millones de dólares en primas, es aproximadamente el mismo tamaño que el grupo de empresas que escriben menos de 100 millones de dólares, según datos conocidos.

Entonces, ¿qué significa eso? Bueno, según la dinámica del mercado de seguros y reaseguros en cuestión, existe la posibilidad de que el aumento de la demanda a corto y medio plazo supere a la oferta. El pensamiento convencional sugeriría un aumento de los precios, un endurecimiento del mercado de transferencia de riesgos y la consiguiente afluencia de capital. La realidad podría tener más matices: la incertidumbre de los resultados podría hacer que las aseguradoras sean cautelosas a la hora de (una vez más) responder rápidamente a los aumentos de la demanda, incluso si los precios lo respaldan. Además, la escala podría convertirse en un problema.

Satisfacer un rápido repunte de la demanda con un riesgo relativamente nuevo también podría provocar un aumento significativo de las pérdidas. Aceptar ese tipo de riesgo en un nicho de mercado no es lo mismo que hacerlo en general, lo que, en última instancia, podría provocar escasez de capital (y reducir la disponibilidad en el mercado) de ciberseguros.

¿Qué deben hacer las empresas?

Para los altos ejecutivos y los consejos de administración que siguen preocupados por los ciberriesgos y la disponibilidad de seguros, el mejor camino a seguir requiere una visión a largo plazo mezclada con una acción a corto plazo.

Preparar el mercado de ciberseguros para el futuro es importante, pero ahora no satisface sus necesidades, sobre todo con el auge del ransomware y las pérdidas por interrupción del negocio que podría provocar. El seguro es importante, pero es probable que pase a un segundo plano en el debate más amplio sobre la ciberseguridad. Por ejemplo: soy un ávido ciclista y tengo seguro médico, pero eso no significa que no necesite también un casco bueno. El seguro lo ayuda a recuperarse de una situación, ya que cubre los vacíos cuando se producen problemas que no puede evitar, pero los intentos de prevenir los problemas siguen siendo cruciales.

En lo que respecta al seguro, puede que ayude a cambiar su forma de pensar.

Para las líneas de negocio maduras, como la responsabilidad patrimonial y profesional, suele haber un importe objetivo disponible en el mercado y el importe que compra (y otras cuestiones de cobertura) puede variar un poco de un año a otro según el precio y el presupuesto. El ciberseguro es un poco diferente. En lugar de verlo como un número de un año a otro, piense en sus necesidades reales. En un mundo perfecto, por ejemplo, puede pensar que 2000 millones de dólares en protección tiene sentido.

Hoy en día, ese tipo de compra no es posible, pero puede desarrollar un plan para llegar allí. Puede implicar comprar lo que pueda ahora y, posiblemente, complementarlo con mecanismos de autoseguro que van desde simplemente tener capital adicional para hacer frente a futuros ciberataques hasta la creación de actividades específicas de financiación del riesgo que funcionen como las aseguradoras (es decir, las aseguradoras cautivas). Con el tiempo, puede aumentar esos programas parciales, sustituir el autoseguro por protección externa y añadir a su programa de seguro general. Varias empresas ya lo están haciendo. Solo se necesita tiempo, esfuerzo y perseverancia.

Treinta años de historia nos han demostrado que el ciberriesgo es difícil de entender, problemático de cubrir, solo es probable que crezca y se caracteriza por un entorno de amenazas que cambia continuamente. Puede que los ciberataques del mañana no se parezcan mucho a los de hoy, como lo demuestra la oleada de ransomware de 2020 en comparación con las infracciones de 2015 a 2017. Para que las aseguradoras respondan a esta amenaza única, tendrán que sentirse cómodas asignando capital al sector, y esa comodidad variará con el tiempo, hasta que los conocimientos del sector sean suficientes para tratar la ciberseguridad como las clases de negocio maduras. Hasta entonces, las compañías tendrán que invertir en protección y trabajar con sus aseguradoras para aumentar los tipos y montos de seguro disponibles. Como comprador, no hay nada mejor que tener un plan.