El impacto de la ciberdelincuencia en la economía mundial está creciendo a un ritmo acelerado. Para el próximo año, las pérdidas globales por delitos cibernéticos podrían alcanzar la asombrosa cifra de 6 billones de dólares según el Foro Económico Mundial. Y, sin embargo, el mercado cibernético mundial tiene actualmente un valor de tan solo 7.000 millones de dólares.
Munich Re espera que el mercado cibernético casi se triplique a $ 20 mil millones para 2025, pero incluso entonces, el gasto en seguros será solo una gota en el océano en comparación con la magnitud de este peligro.
En resumen, las aseguradoras son extremadamente cautelosas con este riesgo. Y por razones comprensibles: los datos históricos son escasos y el potencial de pérdidas catastróficas es real. El cibernético es un riesgo nuevo e intangible con un amplio impacto operativo y un disparador invisible. Se mueve tan rápido que los modelos actuariales tradicionales están luchando por mantener el ritmo. ¿Cómo se puede esperar que las aseguradoras suscriban con prudencia grandes volúmenes de este riesgo en tales circunstancias?
Ese es, al menos, el pensamiento convencional. Como están descubriendo los pioneros en el mercado de seguros, un enfoque completamente nuevo para la suscripción basado en análisis de comportamiento está permitiendo un progreso emocionante.
IT es un pequeño porcentaje del mapa de riesgo cibernético
En el corazón del nuevo enfoque está el reconocimiento de que el riesgo cibernético no es un riesgo de IT. El alcance de 5G y la red de conectividad que crea significan que el ciberespacio toca todo el ecosistema de una organización. Se ve afectado por personas, procesos y factores de comportamiento como el error y la intención.
Desde ya, comprender la tecnología y la ciberseguridad es importante para mapear las exposiciones cibernéticas, pero solo revelará una pequeña sección del mapa de riesgos cibernéticos.
Por ejemplo, una organización puede tener el software de ciberseguridad más reciente, pero no hay garantía de que el software se esté utilizando de manera adecuada. Tampoco proporciona información sobre qué tan deseable es la organización como objetivo de posibles adversarios.
Para comprender completamente las exposiciones cibernéticas, los suscriptores necesitan modelos que capturen la realidad del cyber, no la teoría. Y aquí es donde el análisis del comportamiento está abriendo nuevos caminos.
Comprender el cyber a través de “proxies” conductuales
El análisis de comportamiento es un método que aprovecha el rápido aumento en el volumen de datos disponibles externamente sobre organizaciones e individuos. Recopila datos en tiempo real sobre factores de toda la empresa y utiliza el aprendizaje automático y la inteligencia artificial para modelar el entorno cambiante a escala.
Lo que hace que este enfoque sea único y adecuado para los cibernéticos es que, además de perfilar la sofisticación tecnológica de una organización, también recopila datos sobre factores como los procesos, el riesgo de las personas y el atractivo de una organización para los ciberdelincuentes.
Por ejemplo, la rotación de un equipo de seguridad de IT, la cadencia de parcheo para el software y la presencia de servicios no utilizados son todos indicadores de si una organización tiene el control de su ciberseguridad. Mientras tanto, el escrutinio de la web oscura y de los datos, como las encuestas de satisfacción de los empleados, aclara cómo operan los ciberdelincuentes y qué empresas son más vulnerables a los ataques.
La analítica del comportamiento utiliza estos proxies para construir poderosos modelos predictivos, procesando más de un petabyte de datos al mes para garantizar que se mantenga al día con el rápido universo cibernético.
En el corazón de este enfoque está el reconocimiento de que las organizaciones y los adversarios potenciales son humanos. No son predecibles de la forma en que lo son las catástrofes naturales y, por lo tanto, comprender peligros como el cibernético requiere datos que lo resuman.
El enfoque conductual no es una propuesta de nicho solo para cyber. La aseguradora de propiedades Lemonade es un ejemplo bien conocido de una empresa insurtech que está revolucionando el mercado al poner una combinación de inteligencia artificial y economía del comportamiento en el corazón de su modelo de negocio.
Como explica el economista del comportamiento de Lemonade, Dan Ariely, «¿No tendría mucho más sentido la economía si se basara en cómo se comporta realmente la gente, en lugar de en cómo debería comportarse?»
Artículo publicado originalmente en Guidewire Smart Approach Blog