Capas de Ciber Riesgos
Para adaptar toda esta multitud de términos al sector asegurador hay que comprender previamente la respuesta a tres cuestiones:
- ¿Qué debe proteger la seguridad informática?
- ¿Qué tipo de amenaza representa el ciber riesgo?
- ¿Cómo puede adaptarse al sector asegurador?
Dichas cuestiones definen el entorno de riesgo sobre el cuál van a ir encaminados los ciber seguros y que denominaremos Capas de Ciber Riesgos Estas capas deben ser la base que sustente el ciberseguro para poder realizar tareas posteriores como el análisis del riesgo, asignar correctamente probabilidades e intensidades para la elaboración de una tasa de prima ajustada a la realidad, o bien, determinar el grado de seguridad del cliente que solicite un seguro.
En cuanto a la primera pregunta resuelve la duda sobre qué objeto o persona física, o jurídica, va recaer el riesgo.
¡Descubre la 🔐Importancia de la Ciberseguridad!Esto ayuda a determinar lo que puede asegurarse y lo que no.
Se establece, de forma indirecta, el objeto del seguro
Por tanto, la seguridad informática considera tres elementos principales que deben protegerse ante una posible amenaza:
Software | Programas y SO que hacen que el sistema sea útil y productivo. Controlan el funcionamiento del hardware.
|
Hardware | Elementos físicos que componen el sistema.
|
Datos sensibles | Información almacenada o circulante del o para el usuario y que es necesaria para el buen funcionamiento del negocio |
Para los seguros, estas tres capas NO serían suficientes, sino más bien incompletas ya que los elementos de la seguridad informática hacen referencia a riesgos relacionados con la protección de los datos (data protection) pero no pueden abarcar el riesgo operacional (operational risk).
El riesgo operacional es la interrupción no física del negocio, es decir, cuando sucede un acontecimiento que está fuera de control de la empresa y es capaz de cancelar o restringir las operaciones normales de negocio.
La codependencia con otras infraestructuras, como el outsorcing o la amenaza de ciberextorsión son claros ejemplos de este tipo de riesgo.
Otras de las cosas que la seguridad informática no puede abarcar es el marco regulatorio, algo que está en un constante cambio y que varía de país en país con jurisdicciones más restrictivas según el territorio
Por tanto, establecer un modelo de capas será un requisito indispensable ya que nos aporta una idea de lo que será el fututo modelo de ciberseguro y hacia dónde van a ir encaminadas las principales coberturas:
Enumerar las capas de Ciber Riesgos y establecer sus diferencias supone introducir el concepto de amenaza, que representa cualquier acción o ente que comprometa el sistema.
La combinación de los tipos de amenaza y el entorno de riesgo hacen posible determinar las capas según el cuadro (I) siguiente:
Tipos de Amenaza | Riesgo | Capa afectada | ||
---|---|---|---|---|
NO HUMANA | ||||
Caída de Rayo | FÍSICO | Hardware | ||
Terremoto | Red | |||
Huracán | Software | |||
Inundación | Empresa | |||
Tormenta Magnética | ||||
Otros desastres | ||||
HUMANA | ||||
Intencionada | ||||
Externa | FÍSICO/OPERACIONAL | Hardware | ||
Interna | Red | |||
Software | ||||
Empresa | ||||
Software | ||||
No intencionada | OPERACIONAL | |||
Red | ||||
Software | ||||
Personal |
Si se observa el cuadro, se distinguen 5 tipos de capas: Hardware, Software, Red, Empresa y Personal.
Cada una de ellas posee diferentes características, y por tanto, un criterio de valoración distinto.
- Capa de Hardware: Representa elementos tangibles que conforman una infraestructura informática tales como ordenadores y portátiles de empresa, servidores propios o incluso alquilados, aparatos electrónicos, telefonía, tablets, firewalls físicos, NAS, antenas wireless, routers, switches, cableado, sistemas de refrigeración, webcams, llaves USB, detectores de huella dactilar o IR, smartphones, drones, robots industriales, smartwatches, etc…
- Capa de Software: En ella se engloban elementos intangibles como el sistema operativo (SO), aplicaciones instaladas en ordenadores y teléfonos, bases de datos, apps instaladas, documentos electrónicos, CMS, suites de seguridad, virtualizaciones y firewalls no físicos,…Sin duda, es una capa crítica que puede compararse al punto de exposición basado en el nivel de privilegio del cuál se hace referencia en diversa bibliografía acerca de ciberseguridad.
- Capa de Red: Engloba tanto el proceso que tiene que ver con la transmisión de los datos, así como su interacción con el exterior.
En esta capa se considera el intranet, remoto-extranet, sitio web, nombres de dominio, servidores DNS externos, operaciones en la nube, redes sociales, transacciones, uso de VPN y toda configuración que no tenga que ver con el software instalado.
- Capa de Empresa: En realidad es una capa que engloba a la persona jurídica como tal.
Tiene en cuenta muchos de los factores que se tienen en cuenta en los seguros tradicionales: tamaño y nº de empleados, estructura departamental, sector, facturación, productos, filiales, seguros de daños, RC y otros seguros de los que pueda disponer y datos sobre su siniestralidad.
- Capa de Personal: Esta capa, al contrario que las tres primeras, no tiene en cuenta los datos ni la información, sino que se centra en el empleado (no se considera un riesgo debido a una amenaza humana intencionada)
En este nivel se encuentra la política empresarial, relaciones entre departamentos, formación de los trabajadores, existencia o no de soporte externo, ayudas o especialistas de los que se pueda disponer, generadores de información y responsables de su custodia y destino.
Estas capas son representativas para todo tipo de negocio que opere con tecnología, ya sea una industria de gran tamaño o una pequeña microempresa formada por un solo emprendedor autónomo. Las capas ayudan a ubicar e identificar los posibles riesgos, detectar vulnerabilidades o deficiencias y, en definitiva y lo que más interesa para una entidad aseguradora, elaborar formularios previos a la contratación de un ciberseguro para establecer la prima correcta o evaluar el riesgo.
Si deseas leer más artículos parecidos a Capas de Ciber Riesgos los encontrarás en Ciberseguridad.
Te interesa: