Los costes de recuperación de los ciberataques están superando la cobertura de los seguros de las empresas. Así lo revelan los resultados de la reciente encuesta de Sophos “Ciberseguros y Ciberdefensas 2024: Lecciones de los líderes de TI y Ciberseguridad”, que señala que solo un 1% de las organizaciones que presentan una reclamación ante su aseguradora consigue que esta cubra el 100% de los costes necesarios para reparar el incidente. Y es que, en la mayoría de los casos, la factura total excede el límite de la póliza contratada.
La falta de aplicación de prácticas básicas de ciberseguridad está detrás de gran parte de los ataques que sufren las empresas. La mayor parte, debido a credenciales comprometidas y a vulnerabilidades explotadas. Sin embargo, y a pesar de estos datos, más de 40% de las organizaciones continúa sin implantar medidas de protección adicionales como la autenticación multifactor -para validar identidades y evitar accesos no autorizados al sistema- o parches de seguridad.
El número de amenazas ha crecido de manera vertiginosa en los últimos tiempos, pero también su sofisticación y consecuencias. De hecho, solo en el último año, los costes de recuperación de un incidente de ransomware –una de las mayores amenazas a las que se enfrenta actualmente las empresas -, han aumentado un 50%, situándose en los 2,73 millones de dólares de media. Sorprende, sin embargo, el pequeño porcentaje de compañías que tiene en cuenta este hecho a la hora de contratar un ciberseguro más, si cabe, cuando el impacto financiero y reputacional suele ser grave. Según The State of Ransomware 2024 de Sophos, una de cada diez organizaciones ha invertido en un seguro que no cubre gran parte de los costes de este tipo de ataques.
En este contexto, se ha impuesto como clave gestionar el riesgo de una forma activa y proactiva, no solo identificando y priorizando los servicios vulnerables o expuestos, sino también introduciendo cambios en el comportamiento de los usuarios y actuando en consecuencia para mejorar el nivel de seguridad. El riesgo cibernético está ahí, y ninguna empresa con dispositivos conectados puede evitarlo por completo, por lo que el seguro cibernético se ha convertido en un pilar esencial en la mayoría de las estrategias de mitigación de riesgos. La industria de seguros es consciente y está obligando a muchas organizaciones a elevar sus defensas para obtener cobertura, conseguir un mejor precio o mejorar los términos de su póliza. Al reconocer y recompensar las defensas están, a su vez, incentivando la reducción del riesgo mediante una protección superior.
La encuesta confirma que la adopción del ciberseguro está muy extendida en organizaciones de entre 100 y 5000 empleados, y que el 90 % de las sondeadas cuenta con algún tipo de cobertura cibernética, ya sea con una póliza independiente o mediante un seguro comercial más amplio.
En lo que respecta a los sectores, el de la energía, el petróleo, el gas y los servicios públicos son los que presentan una mayor tasa de adopción de seguros y de pólizas de ciberseguridad independientes. Entre las razones que llevan a la contratación destacan el conocimiento general sobre el impacto comercial de los ciberataques y ciberdelitos, ser parte importante de la estrategia corporativa para reducir amenazas o riesgos potenciales digitales o una condición para emprender negocios con determinados clientes o socios comerciales.
