Quantifying ROI: Understanding the Impact of Cybersecurity Products and Services on Cyber Insurance Claims
Productos y Servicios PRODUCTOS Y SERVICIOS

Cálculo del ROI: cómo entender el impacto de los productos y servicios de ciberseguridad en las reclamaciones de ciberseguros

Los estudios revelan que el valor de las reclamaciones de ciberseguros presentadas por organizaciones que utilizan servicios MDR es, de media, un 97,5 % inferior al de las presentadas por organizaciones que dependen únicamente de la protección de endpoints
Escrito por
28 febrero 2025
Products & Services Ciberseguro featured ROI

El valor de las reclamaciones de ciberseguros es una forma eficaz de cuantificar el impacto de los ciberataques en las organizaciones. Un valor de reclamación más alto indica que la víctima sufrió consecuencias financieras y operativas considerables a causa del ataque, mientras que un valor de reclamación bajo refleja una interrupción limitada.

Reducir el valor de las reclamaciones de los ciberseguros beneficia a todos. Para los clientes, las reclamaciones más bajas demuestran una mayor ciberresiliencia, mientras que las aseguradoras se benefician de pagos más bajos. También crea un círculo virtuoso: si las aseguradoras gastan menos en cubrir reclamaciones, pueden bajar las primas, lo que supone una ventaja adicional para los clientes.

Aunque existe un amplio consenso en que unas defensas más sólidas reducen los impactos financieros y operativos de los ciberataques y el valor de las reclamaciones resultantes, nadie ha sido capaz de cuantificarlo. Hasta ahora.

Sophos encargó recientemente un estudio independiente para cuantificar el impacto financiero de varios controles cibernéticos en los valores de las reclamaciones de los ciberseguros. El estudio revela el diferente impacto de las soluciones de protección de endpoints, las tecnologías EDR/XDR y los servicios MDR en las reclamaciones relacionadas con ataques, proporcionando información valiosa tanto para las aseguradoras como para las organizaciones.

Las principales conclusiones de este estudio incluyen:

  • Las organizaciones que utilizan servicios MDR reclaman un 97,5 % menos que las que confían solo en la protección de endpoints (75.000 $ frente a 3 millones de $).

  • Las organizaciones que utilizan soluciones EDR/XDR reclaman una sexta parte (1/6) de las organizaciones que solo utilizan protección de endpoints (500.000 $ frente a 3 millones de $).

  • Las organizaciones que utilizan servicios MDR tienen las reclamaciones más predecibles; las que utilizan herramientas EDR/XDR tienen las menos predecibles.

  • Las organizaciones que utilizan servicios MDR se recuperan más rápidamente de ciberataques importantes, con casi la mitad (47 %) recuperándose completamente en una semana, en comparación con solo el 18 % de las que dependen únicamente de la protección de endpoints y el 27 % de las que utilizan soluciones EDR/XDR.

  • Las organizaciones que utilizan servicios MDR tienen el tiempo de recuperación más predecible de los incidentes de ransomware; los usuarios de EDR/XDR, el menor.

Por qué es importante este estudio

Las organizaciones gastan grandes sumas de dinero en ciberseguridad cada año. Al cuantificar el impacto de los controles cibernéticos en los resultados de los ciberataques, esta investigación permite a las organizaciones dirigir sus inversiones donde obtendrán el mayor rendimiento.

Al mismo tiempo, las aseguradoras ejercen una influencia significativa en el gasto en ciberseguridad al exigir ciertos controles como condiciones de cobertura y ofrecer descuentos si se aplican otros. Esta investigación les permite asegurarse de que están incentivando las inversiones que realmente marcan una diferencia positiva en los resultados de los incidentes y en los valores de las reclamaciones resultantes.

Criterios de investigación

En este programa de investigación se estudiaron 282 reclamaciones de 232 organizaciones con entre 50 y 3000 empleados. Los encuestados utilizaron soluciones de ciberseguridad de una amplia gama de proveedores, incluidos 19 proveedores de protección de endpoints diferentes y 14 proveedores de servicios MDR independientes. Todas las organizaciones utilizaban autenticación multifactor (MFA) en el momento de los ciberataques que desencadenaron la reclamación. La investigación fue realizada para Sophos por Vanson Bourne.

Quantifying ROI: Understanding the Impact of Cybersecurity Products and Services on Cyber Insurance Claims - Research criteria

Las respuestas se segmentaron en tres grupos estadísticamente significativos en función de las ciberdefensas que estaban desplegadas en el momento de los ataques que dieron lugar a la reclamación:

  • Usuarios de endpoints: habían estado utilizando una solución de protección de endpoints durante al menos un año, pero no utilizaban herramientas de detección y respuesta de endpoints (EDR) o de detección y respuesta ampliadas (XDR) ni servicios MDR (n=63 organizaciones, 83 eventos de reclamación).

  • Usuarios de EDR/XDR: habían estado utilizando una solución de protección de endpoints y una herramienta EDR/XDR durante al menos un año, pero no utilizaban servicios MDR (n=109 organizaciones, 129 eventos de reclamación).

  • Usuarios de MDR: habían estado utilizando una solución de protección de endpoints y un servicio MDR durante al menos un año (n=60 organizaciones, 70 eventos de reclamación).

Utilizamos esta terminología de segmentos a lo largo del informe.

Quantifying ROI: Understanding the Impact of Cybersecurity Products and Services on Cyber Insurance Claims - terminology

Para evitar dudas, la investigación se centra únicamente en las reclamaciones resultantes de ciberataques y excluye las reclamaciones realizadas en una póliza de ciberseguros por otros motivos (por ejemplo, el impacto empresarial de las interrupciones de los proveedores de ciberseguridad o la pérdida accidental de datos).

Conclusión 1: las organizaciones que utilizan servicios MDR reclaman un 97,5 % menos que las que dependen únicamente de la protección de endpoints.

La investigación revela que el valor medio de las reclamaciones de las organizaciones que utilizan servicios MDR es un 97,5 % inferior al de los usuarios de endpoints. La reclamación media (mediana) de los usuarios de MDR fue de solo 75.000 $, en comparación con los 3 millones de dólares de los usuarios de endpoint. Dicho de otro modo, los usuarios de endpoint suelen reclamar 40 veces más debido a los ciberataques que los usuarios de MDR. El menor valor de reclamación probablemente refleja la capacidad del servicio MDR para detectar y neutralizar rápidamente la actividad maliciosa, expulsando a los adversarios antes de que se produzcan daños graves.

Los datos también confirman la ventaja de utilizar una herramienta EDR o XDR además de la protección de endpoints, ya que la reclamación media de los usuarios de EDR/XDR es una sexta parte (1/6) de la de los usuarios de endpoints (500.000 $ frente a 3 millones de dólares).

Median amount claimed for on cyber insurance policy due to cyberattacks
¿Cuál fue el valor aproximado de la(s) reclamación(es) de ciberseguros realizada(s) (cuánto se reclamó, no cuánto se pagó) por tu organización? Excluyendo valores atípicos y no sé. n=232 organizaciones, 282 siniestros. Pregunta a los encuestados cuya organización había presentado al menos una reclamación de seguro tras un ciberataque significativo en los últimos 12 meses

Conclusión 2: los usuarios de MDR tienen las reclamaciones más predecibles, los usuarios de EDR/XDR las menos predecibles

La previsibilidad de las reclamaciones es un indicador importante de la coherencia y fiabilidad de los controles cibernéticos para reducir el impacto de los ciberataques. Para comparar los diferentes controles, se modeló una reclamación teórica de ejemplo para una organización con ingresos anuales de 100 millones de dólares para cada uno de los segmentos. Esto se basa en los resultados generados por el modelo de regresión multivariante utilizado para el análisis (véase «Acerca de la encuesta» al final de este blog para más detalles).

El análisis revela dos conclusiones importantes:

  1. Las reclamaciones de los usuarios de MDR son las más predecibles

  2. Las reclamaciones de los usuarios de EDR/XDR son las menos predecibles

La previsibilidad de las reclamaciones de los usuarios de MDR refleja la coherencia con la que los proveedores de MDR detectan y neutralizan rápidamente las amenazas. Al proporcionar supervisión, investigación y respuesta 24/7 por parte de especialistas en operaciones de seguridad, los servicios de MDR pueden actuar con rapidez a cualquier hora del día o de la noche.

La cobertura continua es especialmente importante, dado que muchos adversarios atacan deliberadamente fuera del horario laboral para llevar a cabo sus ataques con la esperanza de retrasar la detección hasta que hayan logrado sus objetivos. El análisis de Sophos X-Ops revela que el 91 % de los ataques de ransomware comienzan fuera del horario laboral estándar de 8:00 a 18:00, de lunes a viernes.

La naturaleza impredecible de las reclamaciones de los usuarios de EDR/XDR demuestra que la eficacia de estas herramientas para detener los ciberataques antes de que se produzcan daños importantes depende totalmente de las habilidades y la capacidad de respuesta del usuario. Algunas organizaciones utilizan herramientas EDR/XDR con gran eficacia, deteniendo los ataques de forma rápida y efectiva. Sin embargo, otras no son capaces de llevar a cabo operaciones de seguridad eficaces a pesar de haber invertido en tecnología EDR/XDR, y los comentarios anecdóticos sugieren que esto se debe a menudo a la falta de capacidad para ofrecer cobertura 24/7 o a la poca experiencia.

El descubrimiento de que las reclamaciones de los usuarios de EDR/XDR cubren una banda más amplia que las de los usuarios de endpoints sugiere además que el mal uso de estas herramientas puede, de hecho, complicar la situación. Por ejemplo, las organizaciones pueden retrasar la incorporación de expertos externos en respuesta a incidentes para que les ayuden mientras intentan resolver la situación por sí mismas.

Claim predictability by security control type
¿Cuál fue el valor aproximado de cada una de las reclamaciones de ciberseguros presentadas (cuánto se reclamó, no cuánto se pagó) por su organización? [n=232 organizaciones, 282 eventos de reclamación]. Pregunta a los encuestados en organizaciones que han realizado al menos una reclamación de seguro tras un ciberataque significativo en los últimos 12 meses, cantidad media reclamada dividida por tipo de solución de seguridad, excluyendo valores atípicos de más de 10 millones de dólares – confianza del 95 %. Basado en un modelo de regresión multivariante (ver «Acerca de la encuesta» al final de este blog)

Conclusión 3: los usuarios de MDR tienen el tiempo de recuperación más predecible de los incidentes de ransomware, los usuarios de EDR/XDR el menor

Modelar el tiempo de recuperación basado en un ejemplo teórico de una organización que experimenta un ataque de ransomware significativo revela una variación considerable basada en el control de seguridad utilizado. En este análisis, modelamos tanto la ventana de recuperación (el tiempo entre la recuperación más rápida y la más lenta posible) como el tiempo de recuperación previsto basado en el tiempo de recuperación medio informado.

  • Los usuarios de endpoint se encuentran en la «mitad de la tabla», con una ventana de recuperación de 40 días y un tiempo de recuperación previsto de 40 días.

  • Los usuarios de EDR/XDR son los que más tardan en recuperarse, con la ventana de recuperación más amplia (66 días) y el tiempo de recuperación previsto más largo (55 días).

  • Los usuarios de MDR son los que se recuperan más rápido, con una ventana de recuperación de cinco días y un tiempo de recuperación previsto de solo tres días.

Estos resultados demuestran además que el uso de un servicio MDR reduce sustancialmente el impacto de los ciberataques en las organizaciones. También revela la naturaleza altamente impredecible de la recuperación de los usuarios de EDR/XDR. Es importante tener en cuenta que las soluciones EDR/XDR son herramientas y su eficacia e impacto dependen de lo bien que se utilicen.

time taken to fully recover from a claim-resulting ransomware attack
¿Cuánto tiempo tardó tu organización en recuperarse por completo del ciberataque o de cada uno de los ciberataques que dieron lugar a la reclamación o reclamaciones de seguro? Números base en el gráfico. Pregunta a los encuestados en organizaciones que han realizado al menos una reclamación de seguro tras un ataque de ransomware significativo en los últimos 12 meses, basada en la mediana excluyendo valores atípicos, sin mostrar todas las respuestas

Conclusión

La investigación confirma lo que muchos saben instintivamente: el tipo de controles cibernéticos utilizados tiene un impacto material en las reclamaciones de seguros cibernéticos. Los usuarios de MDR tienen los valores de reclamación más bajos y más predecibles. Los usuarios de endpoint tienen el valor medio de reclamación más alto, mientras que los usuarios de EDR/XDR tienen el valor de reclamación menos predecible.

Los ciberataques son inevitables. La forma en que las organizaciones se defienden contra ellos no lo es. Estos resultados son una herramienta útil para las organizaciones que desean optimizar sus ciberdefensas y el retorno de la inversión en ciberseguridad, y para las aseguradoras que buscan reducir la exposición y hacer ofertas de pólizas de tamaño adecuado a los clientes.

Acerca de la encuesta

La investigación fue realizada para Sophos por Vanson Bourne en la segunda mitad de 2024 y cubrió reclamaciones resultantes de ciberataques que habían ocurrido en los 12 meses anteriores. Todos los resultados han sido sometidos a una rigurosa y sólida validación estadística, utilizando modelos de regresión multivariante.

Estos modelos toman la variable principal (en este caso, la solución de seguridad utilizada) y comparan cómo afecta a otras variables clave (como el importe de la reclamación y el tiempo de recuperación). También se incorporaron a los modelos variables de control (sector de la organización, tamaño de la organización, tipo de ciberseguro, nivel de postura de seguridad en el momento del ataque, estado de la reclamación). Los resultados descritos en este informe son las conclusiones de estos análisis.

Acerca del autor

Naked Security es el blog oficial de Sophos en inglés en el que se cometan las últimas noticias sobre ciberseguridad.

Leer artículos similares