Solo el 25% de las empresas australianas están aseguradas contra ataques cibernéticos. Este es el por qué

En el último año fiscal, el Centro de Seguridad Cibernética de Australia recibió 76.000 denuncias de delitos cibernéticos—en promedio, uno cada siete minutos. El año anterior, era un informe cada ocho minutos. El año anterior, cada diez minutos.

El crecimiento del delito cibernético significa que ahora es posiblemente el mayor riesgo que enfrenta cualquier negocio con presencia en línea. Un ciberataque exitoso es todo lo que se necesita para arruinar la reputación y los resultados de una organización. El costo estimado para la economía australiana en 2021 fue de $ 42 mil millones.

Para protegerse (y proteger a sus clientes), una empresa tiene tres opciones principales. Puede limitar la cantidad de datos confidenciales que almacena. Puede tener más cuidado para proteger los datos que almacena. Y puede asegurarse contra las consecuencias de un ciberataque.

El seguro cibernético es un término amplio para las pólizas de seguro que abordan las pérdidas como resultado de un ataque informático o el mal funcionamiento de los sistemas de tecnología de la información de una empresa. Esto puede incluir los costos asociados con las interrupciones del negocio, la respuesta al incidente y el pago de las multas y sanciones correspondientes.

El mercado mundial de seguros cibernéticos ahora tiene un valor estimado de US $ 9 mil millones (A $ 13,9 mil millones). Se inclina para crecer a US$22 mil millones para 2025.

Pero una gran parte de este crecimiento refleja el aumento de los costos de las primas: en Australia aumentaron más del 80% en 2021—en lugar de que más empresas contraten seguros.

Por lo tanto, las tasas de cobertura están creciendo lentamente, con aproximadamente el 75% de todas las empresas en Australia sin seguro cibernético, según cifras de 2021 de la Consejo de Seguros de Australia.

Desafíos en la fijación de precios del seguro cibernético

Con el seguro cibernético aún en sus inicios, las aseguradoras enfrentan complejidades significativas para cuantificar las primas de precios del riesgo cibernético en consecuencia: lo suficientemente altas como para que las aseguradoras no pierdan dinero, pero lo más competitivas posible para fomentar una mayor aceptación.

Una evaluación de 2018 del mercado de seguros cibernéticos realizada por el Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. identificó tres desafíos principales: falta de datos, limitaciones metodológicas y falta de intercambio de información.

La falta de datos históricos de pérdidas significa que las aseguradoras se ven obstaculizadas para predecir con precisión los riesgos y los costos.

Debido a la relativa novedad del delito cibernético, muchas aseguradoras utilizan metodologías de evaluación de riesgos derivadas de mercados de seguros más establecidos. como para el coche, la casa y el contenido. Estos mercados, sin embargo, no son análogos al delito cibernético.

Las empresas pueden dudar en divulgar información sobre incidentes cibernéticos, a menos que se les exija hacerlo. Las compañías de seguros son reacias a compartir datos relacionados con daños y reclamaciones.

Esto dificulta la creación de modelos de riesgo efectivos que puedan calcular y predecir la probabilidad y el costo de futuros incidentes.

pues, que hace falta hacer?

Universidad de Deakin Centro de Investigación e Innovación en Seguridad Cibernética ha estado trabajando con compañías de seguros para comprender qué se debe hacer para mejorar los modelos de primas y riesgos relacionados con los seguros cibernéticos.

Esto es lo que hemos encontrado hasta ahora.

En primer lugar, se necesita una mayor transparencia en torno a los seguros y los incidentes relacionados con la cibernética para ayudar a remediar la falta de intercambio de datos e información.

El gobierno federal ha dado dos pasos en la dirección correcta al respecto.

uno es el Derecho de datos del consumidor, que proporciona pautas sobre cómo los proveedores de servicios deben compartir datos sobre los clientes. Esto entró en vigor a mediados de 2021.

La otra es la propuesta del gobierno de modificar legislación de privacidad aumentar las sanciones por infracciones y dar al Comisionado de Privacidad nuevos poderes.

En segundo lugar, las aseguradoras deben encontrar mejores formas de medir el valor financiero y el valor de los datos que tienen las organizaciones.

El activo principal cubierto por el seguro cibernético son los datos en sí. Pero no hay una medida concreta de cuánto valen esos datos.

Las recientes filtraciones de datos de Optus y Medibank Private son ejemplos claros. El evento Optus afectó a millones de personas más que el hack de Medibank Private, pero los datos de Medibank Private incluyen datos médicos sensibles eso, en principio, vale mucho más que los datos relativos a su identidad personal.

Sin una forma precisa de medir el valor financiero de los datos, es difícil determinar la cobertura y los costos de prima apropiados.

El seguro cibernético es un mercado nuevo y especializado con una incertidumbre significativa. Dados los riesgos cada vez mayores para las personas, las organizaciones y la sociedad, es imperativo que las aseguradoras desarrollen modelos sólidos y confiables basados ​​en el riesgo lo antes posible.

Esto requerirá un esfuerzo consolidado entre expertos en seguridad cibernética, contadores y actuarios, profesionales de seguros y formuladores de políticas.

Este artículo se vuelve a publicar de La conversación bajo una licencia Creative Commons. Leer el artículo original.