Por Gía Snape
Hay varias formas en que la industria puede cerrar las brechas de comunicación. Gia Snape de Insurance Business se reunió con Paul Needle, vicepresidente sénior y suscriptor de tratados cibernéticos en Munich Re US, para analizar la importancia de un sólido ciclo de retroalimentación entre los equipos de reclamaciones, actuariales y de suscripción para facilitar un mercado de seguros y renegociaciones cibernéticos estable y resistente.
A medida que las amenazas cibernéticas aumentan en sofisticación y frecuencia, la necesidad de colaboración entre los actores clave (suscripción, actuarial y reclamaciones) nunca ha sido más urgente.
La capacidad de la industria de una organización para desarrollar mecanismos sólidos de comunicación y retroalimentación puede ser fundamental para gestionar los riesgos y garantizar la estabilidad en el mercado, según Paul Needle, vicepresidente sénior y suscriptor de tratados cibernéticos de Munich Re US.
Las principales partes interesadas del ecosistema cibernético incluyen los equipos de suscripción, reclamaciones y actuariales, pero también es esencial reconocer a los contribuyentes externos, como los equipos de respuesta a incidentes y de análisis forense digital, que están en la primera línea, y los entrenadores de violaciones de datos, que también son cruciales en el ecosistema de ciberseguridad.
“El ciclo de retroalimentación dentro de las compañías de seguros cibernéticos es vital para mejorar el proceso; si bien todos comprenden su importancia, el valor real radica en refinar la forma en que lo implementamos”, dijo Needle.
Las compañías de seguros cibernéticos obtendrán indicadores de riesgo consistentes y oportunos mediante la implementación de un lenguaje común en su propio circuito de retroalimentación interno, lo que conducirá a operaciones eficientes y escalables.
¿Por qué es importante el ciclo de retroalimentación en el reaseguro cibernético?
Los equipos de suscripción, actuariales y de reclamaciones desempeñan papeles esenciales en los seguros cibernéticos. En las compañías de seguros cibernéticos, estos equipos, aunque tienen funciones distintas, deben trabajar en conjunto para desarrollar evaluaciones de riesgo precisas, fijar precios adecuados para las políticas y responder a las reclamaciones de manera eficiente.
Los agentes que generan amenazas, los avances tecnológicos, las cadenas de suministro complejas y los cambios regulatorios crean un panorama de riesgo dinámico para las aseguradoras cibernéticas. Un ciclo de retroalimentación basado en datos estructurados permitirá a las compañías de seguros cibernéticos reaccionar rápidamente en un entorno cambiante.
“Si las compañías de seguros cibernéticos pueden estructurar sus datos de reclamaciones de una manera que sea sostenible en el tiempo, podrían reducir la volatilidad en toda la línea”.
Los modelos actuariales se basan en la coherencia de los datos. Cualquier cambio en la entrada de datos afectará a los resultados. Los datos de reclamaciones coherentes y estructurados que se puedan comparar con la estrategia de suscripción detallada a lo largo del tiempo pueden permitir a los actuarios diferenciar los patrones de desarrollo y la distribución de las pérdidas.
El objetivo no es eliminar el riesgo cibernético, sino crear un nivel razonable de seguridad para anticipar el riesgo y reaccionar ante las tendencias de manera eficaz. La reacción y la anticipación eficientes comienzan con un ciclo de retroalimentación estructurado que madura con el tiempo.
“La capacidad de una compañía de seguros para agregar datos de reclamos sobre cómo los actores de amenazas explotan las vulnerabilidades con tácticas, técnicas y procedimientos es crucial para su capacidad de predecir tendencias tanto en el panorama de amenazas como en el mercado de seguros cibernéticos”, dijo.
¿Cómo cerramos las brechas de comunicación en el ecosistema de re/aseguros cibernéticos?
La necesidad de que los equipos de reclamaciones de seguros cibernéticos, actuarios y suscripción de seguros dentro de una organización colaboren de manera eficaz para definir los objetivos de documentación es un factor importante para cerrar las brechas de comunicación en el ecosistema de reaseguros cibernéticos. Con el apoyo de la suscripción y el actuario, los equipos de reclamaciones deben considerar un enfoque proactivo para definir los puntos de datos específicos que se deben capturar. Comprender por qué son necesarios los datos y cómo se utilizan ayuda a orientar a sus liquidadores de reclamaciones.
“Una posible solución para establecer un resumen estructurado de la información sobre siniestros que se pueda agregar de manera eficiente es implementar un marco que defina cómo y qué información se captura”, dijo Needle. Se podría utilizar una versión simplificada de los marcos MITRE ATT&CK (Adversarial Tactics, Techniques, & Common Knowledge) y VERIS (Vocabulary for Event Recording and Incident Sharing) para la formación de puntos de datos críticos. Los datos de siniestros agregados estructurados en este tipo de formato pueden aumentar la confianza en la correlación entre la mitigación de pérdidas y los controles de suscripción.
Si bien las técnicas y subtécnicas varían según el adversario, las tácticas básicas desplegadas en los ataques cibernéticos, independientemente de la industria o el tamaño, han sido relativamente uniformes. La captura de datos en función de las tácticas creará coherencia para los modelos de precios actuariales. La visualización del riesgo a lo largo de una cadena de ataque cibernético agregará granularidad para que los suscriptores determinen la probabilidad y el impacto. El análisis de tendencias desarrollado con aportes de reclamaciones, actuarios y suscripción, todos utilizando un lenguaje común, agregará información material para la gestión de carteras.
Una complicación adicional es la capacidad de obtener información a través de asesores en materia de violación de datos contratados por la aseguradora en nombre del asegurado durante el curso de una reclamación. A menudo, la información recopilada durante las investigaciones forenses está protegida por el privilegio abogado-cliente y la doctrina del producto del trabajo, lo que limita lo que se puede compartir con las aseguradoras. Una posible solución podría ser que una compañía de seguros cibernéticos se asociara directamente con sus empresas de respuesta a incidentes y análisis forense digital fuera de la relación tripartita (aseguradora – asesor en materia de violación de datos – asegurado). En este escenario, la aseguradora podría potencialmente recibir puntos de datos agregados, anónimos y estructurados para aumentar sus propios datos de reclamaciones. Un estándar reconocido en toda la industria como MITRE ATT&CK o VERIS puede simplificar la solicitud y proporcionar una estructura para solicitar datos anónimos de forma regular.
Las reaseguradoras ofrecen fuentes adicionales de colaboración para las aseguradoras cibernéticas. Parte de esta colaboración se realiza mediante auditorías de suscripción y reclamaciones, no como una mera formalidad sino como una oportunidad para que ambas partes aprendan una de la otra. Las auditorías presentan oportunidades para que las compañías de reaseguros complementen aún más el ciclo de retroalimentación. Analizar el flujo de datos estructurados en las auditorías de suscripción y reclamaciones invita al diálogo que conduce a iteraciones mejoradas del ciclo de retroalimentación de la compañía de seguros.
El seguimiento de los datos de manera consistente a lo largo del ciclo de retroalimentación proporcionará indicadores clave de riesgo para los suscriptores de manera oportuna. La correlación de pérdidas con los controles de suscripción promoverá ajustes de precisión en lugar de grandes cambios en la estrategia, y el seguimiento de los resultados conducirá a iteraciones más sólidas del ciclo de retroalimentación. Todo esto depende del nivel de colaboración dentro de las unidades de reclamaciones, suscripción y actuarial de una compañía de seguros.
“El objetivo es reducir la volatilidad”, afirmó Needle. “A medida que gestionamos mejor nuestras carteras, basándonos en datos cuantificables, podemos refinar nuestro enfoque y limitar las oscilaciones en los precios y la suscripción de seguros cibernéticos”.
La estabilidad y la consistencia en los mercados primarios basados en datos estructurados que se rastrean y correlacionan con la estrategia de suscripción pueden atraer capital adicional y competencia tanto en reaseguros como en seguros, creando un mercado de seguros cibernéticos saludable y estable.
Fuente: Insure Business
