La pregunta sobre ciberseguro que todo CFO debería hacerle a su MSSP antes de la próxima renovación
Cybool Security Team
Riesgo y Seguros
El ciberseguro se ha convertido en la partida más cara de muchos presupuestos de seguridad del mercado medio. En 2025, las primas promedio subieron entre 25 % y 40 % en LATAM y Europa, los deducibles se duplicaron en algunos segmentos y las exclusiones de cobertura se multiplicaron. Para las renovaciones de 2026, los cuestionarios de suscripción se han vuelto más largos y técnicos —y los suscriptores ahora piden evidencia, no declaraciones.
Para los CFO, esto cambia la relación con el MSSP. El MSSP ya no es solo un proveedor de seguridad. Ahora es la principal fuente de evidencia de suscripción de la empresa —y la brecha entre lo que el MSSP puede realmente producir y lo que el suscriptor exige es donde ocurren las sorpresas en las primas y los rechazos de cobertura.
Estas son las siete preguntas que todo CFO debería hacerle a su MSSP en los 60 a 90 días previos a la próxima renovación. Cada una tiene una respuesta correcta; si el MSSP no puede aportarla, esa es información que el CFO necesita.
1. "¿Pueden producir un paquete de evidencia de controles alineado con el cuestionario de suscripción de nuestra póliza?"
La respuesta correcta es sí, con ejemplos de renovaciones anteriores. Los suscriptores exigen cada vez más paquetes de evidencia que incluyan:
- Capturas de configuración de la plataforma de EDR / SIEM / identidad
- Tickets de alerta de muestra y evidencia de cumplimiento de SLA
- Informes trimestrales de pruebas de penetración o escaneo de vulnerabilidades
- Manual de respuesta a incidentes documentado con roles nombrados
- Informes de aplicación de MFA en las cuentas privilegiadas
Un MSSP moderno debería tener una plantilla de paquete de evidencia lista para completar en la renovación. Si su MSSP responde "probablemente podamos reunir la mayor parte de eso", presupueste 30 días adicionales para la renovación y espere preguntas de suscripción.
2. "¿Qué porcentaje de nuestras cuentas privilegiadas tiene hoy MFA resistente al phishing?"
Los suscriptores en 2026 distinguen entre MFA por SMS / aplicación y MFA resistente al phishing (llaves de hardware FIDO2, Windows Hello para Empresas, autenticación basada en certificados). Un número creciente de aseguradoras ahora ofrece primas materialmente más bajas a las organizaciones que pueden demostrar MFA resistente al phishing en el 100 % de los administradores y cuentas privilegiadas.
La respuesta correcta del MSSP es un porcentaje específico y una hoja de ruta hacia el 100 %. "Tenemos MFA habilitado" es la respuesta que le cuesta el descuento en la prima.
3. "¿Cuál es nuestro tiempo medio de detección y tiempo medio de respuesta, y cómo lo medimos?"
Los suscriptores ahora piden estas métricas directamente. La respuesta correcta incluye un número, la fuente de la medición y la tendencia de los últimos 12 meses.
Una respuesta razonable común: "El tiempo mediano de detección en los incidentes confirmados de los últimos 12 meses fue de 8 minutos; el tiempo mediano de respuesta hasta la contención fue de 22 minutos; ambos medidos desde la ingesta del evento en el SIEM hasta el estado de ticket resuelto, validados por la revisión posterior al incidente."
Si su MSSP no puede darle números específicos, el suscriptor asumirá lo peor.
4. "¿Pueden demostrar respaldos inmutables en nuestros sistemas críticos, y cuándo fue la última prueba de restauración exitosa?"
La suscripción relacionada con ransomware casi siempre pregunta sobre la inmutabilidad de los respaldos y las pruebas de restauración. La respuesta correcta es una arquitectura de respaldo específica (normalmente respaldos con air-gap o respaldos inmutables en la nube) y una fecha reciente de prueba de restauración —dentro de los últimos 6 meses para la postura más defendible.
La mayoría de las reclamaciones de ransomware rechazadas se deben a respaldos inexistentes o a respaldos que el asegurado no pudo restaurar. Los suscriptores lo saben y preguntan en consecuencia.
5. "¿Cuál es nuestra postura de seguridad de la cadena de suministro, y cómo evalúan a nuestros principales proveedores?"
Los ataques a la cadena de suministro provocaron una parte significativa de las pérdidas cibernéticas de 2025. Los suscriptores ahora quieren ver que el asegurado tiene un proceso de gestión de riesgos de proveedores y lo aplica a los proveedores de alto riesgo. La respuesta correcta hace referencia a un inventario de proveedores, una metodología de clasificación por niveles de riesgo y actividades concretas de debida diligencia para el nivel superior.
Para las empresas latinoamericanas y europeas, los controles de cadena de suministro impulsados por NIS2 ahora se solapan directamente con las expectativas de suscripción. Si ha cerrado la brecha de NIS2, también ha cerrado en gran medida la brecha de suscripción.
6. "¿Cuál es el estado de nuestro retainer de respuesta a incidentes, y cuál es el SLA?"
Las aseguradoras prefieren cada vez más a los asegurados con un retainer de DFIR ya contratado que se active dentro de 1 hora de un incidente confirmado. Algunas aseguradoras ofrecen condiciones materialmente mejores si el retainer es con una firma aprobada por la aseguradora; otras aceptan cualquier proveedor reputado siempre que el SLA esté documentado.
La respuesta correcta es un proveedor nombrado, un SLA de activación contratado (menos de 1 hora es el estándar moderno) y evidencia de que el retainer cubre las geografías y entidades de la póliza.
7. "Si tenemos un incidente, ¿quién notifica a quién, en qué orden y dentro de qué plazos?"
La cobertura a menudo se anula por una notificación tardía. La mayoría de las pólizas exigen notificar a la aseguradora dentro de las 24 a 72 horas de que el asegurado tome conocimiento de un evento cubierto. NIS2 en Europa y la LFPDPPP / LGPD en LATAM pueden exigir la notificación al regulador dentro de la misma ventana.
El MSSP debería poder explicar al CFO la cadena de notificación: cómo se confirma un evento, a quién en el cliente se le informa, cómo se contacta la línea directa de la aseguradora, cómo se prepara la notificación al regulador y cómo coordina el asesor legal. La claridad practicada aquí es uno de los mayores predictores de cómo se paga una reclamación.
Qué hacer con las respuestas
Después de esta conversación, el CFO normalmente encontrará uno de tres patrones:
Patrón A — El MSSP tiene respuestas claras en las siete preguntas. La renovación se convierte en un ejercicio de baja fricción. El CFO debería preguntar al corredor si el paquete de evidencia califica para algún programa de descuento de primas que ofrezca la aseguradora.
Patrón B — El MSSP tiene respuestas claras en cuatro o cinco, con brechas en el resto. El CFO tiene un proyecto de 60 a 90 días. Cierre las brechas antes de la renovación; documente la remediación en el paquete de suscripción. Las aseguradoras premian la mejora visible.
Patrón C — El MSSP no puede responder la mayoría de las siete. Esta es la conversación difícil. El CFO tiene dos opciones: elevar la relación con el MSSP a un nivel que produzca la evidencia, o aceptar que la renovación tendrá un precio punitivo. Ambas son decisiones válidas; fingir que la decisión no existe es lo que provoca la sorpresa en la renovación.
Los CFO que mejor manejan las renovaciones de 2026 no son los que tienen los presupuestos de seguridad más grandes. Son los que tienen la conversación con el MSSP en febrero para una renovación de abril, no en marzo para una renovación de abril.
Cybool produce paquetes de evidencia de suscripción para sus clientes antes de cada ciclo de renovación, alineados con los cuestionarios de 2026 de las principales aseguradoras. Contacte a nuestro equipo para repasar su próxima renovación, o solicite una revisión gratuita de preparación previa a la renovación.