Capas de Ciber Riesgos

Capas de ciber riesgos

Para adaptar toda esta multitud de términos al sector asegurador hay que comprender previamente la respuesta a tres cuestiones:

  • ¿Qué debe proteger la seguridad informática?
  • ¿Qué tipo de amenaza representa el ciber riesgo?
  • ¿Cómo puede adaptarse al sector asegurador?

Dichas cuestiones definen el entorno de riesgo sobre el cuál van a ir encaminados los ciber seguros y que denominaremos Capas de Ciber Riesgos Estas capas deben ser la base que sustente el ciberseguro para poder realizar tareas posteriores como el análisis del riesgo, asignar correctamente probabilidades e intensidades para la elaboración de una tasa de prima ajustada a la realidad, o bien, determinar el grado de seguridad del cliente que solicite un seguro.

En cuanto a la primera pregunta resuelve la duda sobre qué objeto o persona física, o jurídica, va recaer el riesgo.

¡descubre la 🔐importancia de la ciberseguridad!¡Descubre la 🔐Importancia de la Ciberseguridad!

Esto ayuda a determinar lo que puede asegurarse y lo que no.

Se establece, de forma indirecta, el objeto del seguro

Por tanto, la seguridad informática considera tres elementos principales que deben protegerse ante una posible amenaza:

 Software
Programas y SO que hacen que el sistema sea útil y productivo.

Controlan el funcionamiento del hardware.

 

 Hardware
Elementos físicos que componen el sistema.

 

Datos sensibles
Información almacenada o circulante del o para el usuario y que es necesaria para el buen funcionamiento del negocio  

Para los seguros, estas tres capas NO serían suficientes, sino más bien incompletas ya que los elementos de la seguridad informática hacen referencia a riesgos relacionados con la protección de los datos (data protection) pero no pueden abarcar el riesgo operacional (operational risk).

El riesgo operacional es la interrupción no física del negocio, es decir, cuando sucede un acontecimiento que está fuera de control de la empresa y es capaz de cancelar o restringir las operaciones normales de negocio.

La codependencia con otras infraestructuras, como el outsorcing o la amenaza de ciberextorsión son claros ejemplos de este tipo de riesgo.

Otras de las cosas que la seguridad informática no puede abarcar es el marco regulatorio, algo que está en un constante cambio y que varía de país en país con jurisdicciones más restrictivas según el territorio

Por tanto, establecer un modelo de capas será un requisito indispensable ya que nos aporta una idea de lo que será el fututo modelo de ciberseguro y hacia dónde van a ir encaminadas las principales coberturas:

  • Protección de Datos (Responsabilidad de Seguridad en la Red, coste inicial debido a una brecha de seguridad, daños, propiedad intelectual,…).
  • Interrupciones No Físicas del Negocio (Pérdida de datos e información, gastos debidos a la interrupción o pérdida de beneficios, costes de investigación ante una ciberextorsión o una implantación de ataques a la red,…).
  • Marco Regulador y Privacidad (responsabilidad civil general, defensa jurídica, LOPD en España,…).

Enumerar las capas de Ciber Riesgos y establecer sus diferencias supone introducir el concepto de amenaza, que representa cualquier acción o ente que comprometa el sistema.

La combinación de los tipos de amenaza y el entorno de riesgo hacen posible determinar las capas según el cuadro (I) siguiente:

Tipos de Amenaza
Riesgo
Capa afectada
NO HUMANA
Caída de Rayo
FÍSICO
Hardware
Terremoto
Red
Huracán
Software
Inundación
Empresa
Tormenta Magnética
Otros desastres
HUMANA
Intencionada
Externa
FÍSICO/OPERACIONAL
Hardware
Interna
Red
Software
Empresa
Software
No intencionada
OPERACIONAL
Red
Software
Personal
WP Data Tables

Si se observa el cuadro, se distinguen 5 tipos de capas: Hardware, Software, Red, Empresa y Personal.

Cada una de ellas posee diferentes características, y por tanto, un criterio de valoración distinto.

El perfil de cada capa debe entenderse desde el punto de vista asegurador y no desde la perspectiva de defensa informática o ciberseguridad más purista Es decir, las capas siguen el modelo de defensa en profundidad (defense in depth) y mantienen una estrecha relación con las políticas de seguridad informática actuales (nivel físico, perimetral, red interna, servidor, aplicación e información) pero están pensadas para su adaptación al modelo de riesgos en ciberseguros.

  • Capa de Hardware: Representa elementos tangibles que conforman una infraestructura informática tales como ordenadores y portátiles de empresa, servidores propios o incluso alquilados, aparatos electrónicos, telefonía, tablets, firewalls físicos, NAS, antenas wireless, routers, switches, cableado, sistemas de refrigeración, webcams, llaves USB, detectores de huella dactilar o IR, smartphones, drones, robots industriales, smartwatches, etc…

  • Capa de Software: En ella se engloban elementos intangibles como el sistema operativo (SO), aplicaciones instaladas en ordenadores y teléfonos, bases de datos, apps instaladas, documentos electrónicos, CMS, suites de seguridad, virtualizaciones y firewalls no físicos,…Sin duda, es una capa crítica que puede compararse al punto de exposición basado en el nivel de privilegio del cuál se hace referencia en diversa bibliografía acerca de ciberseguridad.

  • Capa de Red: Engloba tanto el proceso que tiene que ver con la transmisión de los datos, así como su interacción con el exterior.

    En esta capa se considera el intranet, remoto-extranet, sitio web, nombres de dominio, servidores DNS externos, operaciones en la nube, redes sociales, transacciones, uso de VPN y toda configuración que no tenga que ver con el software instalado.

  • Capa de Empresa: En realidad es una capa que engloba a la persona jurídica como tal.

    Tiene en cuenta muchos de los factores que se tienen en cuenta en los seguros tradicionales: tamaño y nº de empleados, estructura departamental, sector, facturación, productos, filiales, seguros de daños, RC y otros seguros de los que pueda disponer y datos sobre su siniestralidad.

  • Capa de Personal: Esta capa, al contrario que las tres primeras, no tiene en cuenta los datos ni la información, sino que se centra en el empleado (no se considera un riesgo debido a una amenaza humana intencionada)

    En este nivel se encuentra la política empresarial, relaciones entre departamentos, formación de los trabajadores, existencia o no de soporte externo, ayudas o especialistas de los que se pueda disponer, generadores de información y responsables de su custodia y destino.

Estas capas son representativas para todo tipo de negocio que opere con tecnología, ya sea una industria de gran tamaño o una pequeña microempresa formada por un solo emprendedor autónomo. Las capas ayudan a ubicar e identificar los posibles riesgos, detectar vulnerabilidades o deficiencias y, en definitiva y lo que más interesa para una entidad aseguradora, elaborar formularios previos a la contratación de un ciberseguro para establecer la prima correcta o evaluar el riesgo.

Te interesa:  Descubre los superpoderes de un especialista en ciberseguridad: Protege y salva tu información más valiosa

Si deseas leer más artículos parecidos a Capas de Ciber Riesgos los encontrarás en Ciberseguridad.

Te interesa:

Subir Ciberriesgos y Ciberseguros