Gestión de Ciberriesgos

Gestión de ciberriesgos
Tabla de Contenidos

Los riesgos derivados de la seguridad informática requieren la misma gestión que cualquier riesgo, sea éste asegurable o no.

Al contrario del enfoque de otras aseguradoras que ya trabajan con este tipo de producto, la propuesta de gestión sugerida en ciberriesgos.com debe entenderse como el resultado global de 4 fases o acciones:

  • DETECCIÓN DEL RIESGO: IDENTICAR ACTIVOS, AMENAZAS Y COSTE
  • 🛡️ descubre los secretos de la ciberseguridad ofensiva en este post imprescindible 🔒🛡️ Descubre los secretos de la CIBERSEGURIDAD OFENSIVA en este post imprescindible 🔒

    Se trata de identificar la posible amenaza, situarla en la capa o capas correspondientes y priorizar en base a su importancia para que la estrategia de gestión sea la adecuada.

    Disponer de la información correcta ayuda a transformar la incertidumbre en una oportunidad ya que esta generación de valor permite una identificación rápida y ayuda a diferenciar el grado de impacto que puede tener un riesgo u otro.

    En definitiva, esta detección podemos dividirlas en 3 subfases.

    La primera, y que hace o debe hacer toda empresa, es identificar sus activos Posteriormente, identificar también las amenazas que puedan corresponder a cada uno de ellos para poder salvaguardarlos.

    Y por último, y no menos importante, determinar el valor o coste que supondría para la empresa la eliminación o degradación de dicho activo como consecuencia de un siniestro.

    2.

    ANÁLISIS DE LA SITUACIÓN Y VALORACIÓN FRENTE A UN SINIESTRO

    Con herramientas diagnósticas, la empresa debe ser capaz de entender a qué ciber riesgos se enfrenta de forma específica y cuantificarlos para un momento determinado.

    Para el asegurador, la detección y el análisis puede suponer una sola fase cuando se trata de estudiar el caso, por ejemplo, de una nueva contratación, ya que mediante un cuestionario, una auditoría externa y/o varias entrevistas con el cliente, deberá disponer de los datos suficientes para valorar los riesgos, saber en qué situación se encuentra la empresa y cuantificar dicho estado

    El acceso a la cuenta de resultados, al igual que sucede en el seguro de lucro cesante, es una información mínima pero indispensable para el asegurador.

    3.

    PREVENCIÓN

    Se trata de establecer o revisar de nuevo las medidas de seguridad disponibles, tener en cuenta si existen riesgos asegurables y la posibilidad de transferirlos, lo cual nos lleva directamente a analizar los seguros existentes para cada escenario de ciber riesgo.

    A su vez, en esta fase se incluye cualquier asesoramiento o update en materia de ciberseguridad.

    Para una empresa, además de valorar el coste que supondría un siniestro para un activo, debería tener en cuenta también el riesgo residual Es decir, qué pasaría si la medida de seguridad adoptada no fuese eficaz.

    4.

    TRATAMIENTO

    Son aquellas acciones que se realizan cuando el siniestro ya ha ocurrido.

    Aunue no son tan importantes como las dos primeras requieren de inmediata reacción por parte de la empresa.

    Desde la perspectiva aseguradora, se originan las mismas situaciones que se dan en seguros de daños como puede ser, por citar un ejemplo, el salvamento y el objetivo unificado de mitigar que las consecuencias sean aún más grandes.

    En esta fase también queda incluida cualquier medida adoptada que tenga relación con el asesoramiento en la gestión de un siniestro

    Para una aseguradora, la peritación se encuentra en la fase de tratamiento, así como cualquier técnica de análisis forense y para una empresa se trataría de estimar el impacto del siniestro siempre y cuando haya realizado correctamente la fase 1.

    Esta visión conjunta de gestión representa el “core” mediante el cual la entidad aseguradora y la empresa van a trabajar, aunque de hecho, lo harán de formas distintas, cada una de ellas, asumiendo su rol.

    La empresa encontrará en la gestión una herramienta que se añadirá al propio plan de negocio, pues no solamente la información recolectada y su propia auditoría de seguridad le serán de utilidad, sino que esto tiene a su vez un peso importante en la inversión de recursos destinados a la protección de sus datos e infraestructuras y, por supuesto, alterará de forma directa el plan de marketing y la cuenta de resultados.

    Este coste a asumir puede ser reducido en el momento que se considera la contratación de un ciberseguro, o en su defecto, combinaciones de coberturas tradicionales (si la detección y el análisis son correctos).

    Así pues, la idea general de la gestión es atribuir un mayor o menor grado de importancia a dichas fases dependiendo de qué entidad se trate: empresa o aseguradora.

    En el siguiente cuadro (V) se puede observar el resultado:

    Fase de Gestión Empresa Asegurador    
    Detección + - Es la empresa la que está sometida al riesgo
    Análisis - + La cuantificación del riesgo es más importante para el asegurador
    Prevención + - Disponer de las medidas preventivas y un seguro adecuado es responsabilidad de la empresa
    Tratamiento + + Empresa y Asegurador deben estar preparados para hacer frente a cualquier catástrofe.

     

    *La simbología (+/-) representa quién de los dos debe adoptar la fase como prioritaria, pero esto no quiere decir que la otra parte tenga que ignorarla o no se responsabilice de llevar a cabo sus propias acciones con independencia de lo que haga el otro.

    Te interesa:  Seguro De Ciberseguridad Allianz Cyber Risk

    Si deseas leer más artículos parecidos a Gestión de Ciberriesgos los encontrarás en Ciberseguros.

    Te interesa:

    Subir Ciberriesgos y Ciberseguros