Herramientas de Diagnóstico de Ciberriesgos
El modelo de valoración se divide en 5 grandes bloques y cada uno ellos contiene una serie de preguntas relacionadas con la organización empresarial, la infraestructura utilizada, aplicaciones y software que hace servir la compañía, cómo se maneja la privacidad de la información y las políticas de prevención y gestión de la crisis que dispone la empresa en caso de ciberataque o ciber riesgo Es una tarea para toda entidad aseguradora interesada en el ciberseguro, la elaboración de cada una de las preguntas que deben adjuntarse en el formulario según la información que precise o le resulte de utilidad.
Hay que tener en cuenta cuatro factores muy importantes acerca de esto último:
- Al igual que los cuestionarios, p.ej de los seguros de salud o de vida, la omisión de alguna pregunta clave para valorar el riesgo tendrá consecuencias graves para la aseguradora.
Por tanto, el cuestionario del asegurador seguirá siendo el que determine los límites y el contenido de la declaración.
Éste podrá presentarse a través de medios electrónicos o en formato papel, pero ello no le exime de cumplir los requisitos que exige la LCS para que el contrato sea válido tras recibir el cliente su propuesta.
- Este formulario base debe ser asequible para cualquier tipo de empresa por lo que debe ser fácil, no extenderlo demasiado o con cosas muy precisas, evitar que las más del 50% de preguntas contengan tecnicismos
No toda empresa dispone de un departamento para dar soporte a la formalización de un ciberseguro.
En algunos casos, y carente de estructuras, puede ser el propio administrador o gerente quién realice esta tarea.
Si existe la necesidad de información adicional muy concreta, se aconseja la entrevista.
- Tal y como se comentó en el punto 4 del apartado 5.1, cada pregunta tendrá asociada una puntuación o prioridad.
La Aseguradora puede elaborar el cuestionario según su objetivo: cuantificar el resultado final para elaborar una tasa, preguntas que conlleven descuento o recargo, que funcione como un factor que influya directamente sobre el capital asegurado de otros ramos, etcétera….
- El propio tratamiento de la información recopilada ya está sometido a la LOPD, a las leyes de privacidad de la UE y al riesgo cibernético.
A continuación, se propone un cuestionario de 36 preguntas basado en el modelo de Aon pero con varias modificaciones que se han considerado en anteriores apartados (capas, detección, relaciones con ramos tradicionales,…):
| Empresa: Organización, Estructura y modelo de Negocio | ||
| 1 | Ubicación física | Localización de la empresa |
| 2 | Sector | Sector o sectores en el que opera |
| 3 | Nº de trabajadores | Número de empleados S.S y autónomos |
| 4 | Facturación anual | Facturación anual sin ningún siniestro |
| 5 | Tipos de Datos | Tipos de Datos que se almacenan |
| 6 | Uso de Tecnología | Sistemas informáticos que se emplean |
| 7 | Política Seg Informática | Existencia de una política de seguridad |
| 8 | Reporte del Riesgo | Existencia dpto. encargado y quién recibe |
| Hardware, Sistemas e infraestructura general | ||
| 9 | Servidores exclusivos | Servidores físicos locales |
| 10 | Sistemas de climatización | Condiciones de los servidores |
| 11 | Proveedor de servicios (ISP,CPD,…) | Servidores localizados en exterior |
| 12 | Ubicación física de backups | Localización y procedimientos |
| 13 | Acceso remoto (PC,móviles,VPN,…) | Conexión remota a sistemas |
| 14 | Cifrado de Datos | Grado de protección de los datos |
| 15 | Otros servicios cloud en producción | Proveedores de servicios |
| 16 | Seguridad de Acceso no Autorizado | Políticas de contraseñas |
| Software, Apps y otros recursos informáticos | ||
| 17 | Política de Usuarios y Roles | Estructura jerárquica de usuarios |
| 18 | Política de Descargas y Uso | Política de uso de la red empresa |
| 19 | Política de Comunicación en Email | Política en el envío de emails |
| 20 | Grado de importancia del software | Pérdidas en € si cae el software |
| 21 | Sistemas de prevención y seguridad | Existencia de gestión de riesgos |
| 22 | Enumeración de Activos digitales | Nº de Activos que dan beneficios |
| Privacidad de la Información | ||
| 23 | Garantías de Protección de Datos | Tratamiento de los datos |
| 24 | Cumplimiento de la LOPD | Grado de cumplimiento de LOPD |
| 25 | Cumplimiento de Cookies EU | Uso correcto en webs y apps |
| 26 | Privacidad en Proveedores | Cumplimiento legal de terceros |
| 27 | Jurisdicciones en las que se opera | Países donde opera la empresa |
| 28 | Política de adaptación a legislaciones | Grado de cumplimiento legal |
| 29 | Cesión de datos a terceros | Cumplimientos y permisos |
| 30 | Atención al cliente e incidencias | Existencia de un departamento |
| Seguridad Informática | ||
| 31 | Software exclusivo de gestión | Programas de gestión de riesgos |
| 32 | Sistema Operativo y tipo de DB | S.O. predominante en el negocio |
| 33 | Mitigación Ataques (AV,Firewall,…) | Listado, incluye firewall físico |
| 34 | Software Contenido Web | Acerca del CMS, script, prog.prop. |
| 35 | Últimos incidentes (12 meses) | Número de siniestros ocurridos |
| 36 | Plan empleado durante la crisis | Acciones para solventar la crisis |
Para que el formulario sea efectivo, se debe proceder asignando a cada una de las múltiples respuestas que pueda tener la pregunta del bloque numerada un valor determinado.
El cliente, en cambio, solamente deberá responder a la respuesta que más se ajuste a la realidad, de forma clara y objetiva y tendrá en cuenta la obligada comunicación de agravación o disminución de riesgo cuando sea necesario, tal y como refleja la Ley de Contrato de Seguro
En el siguiente ejemplo se muestran las dos perspectivas y cómo debería realizarse la asignación:
| Formulario para la empresa o cliente (Parte Externa) | |||||
| 5 | Tipos de datos almacenados | ||||
| Financieros | Sanitarios | Privados | No se guardan | ||
Una vez marcada o introducida por el cliente la respuesta, la Aseguradora asigna el valor correspondiente:
| Tabla de Asignación para el Asegurador (Parte Interna) | |||||
| 5 | Tipos de datos almacenados | ||||
| 4 | 5 | 3 | 2 | 1 | |
En este ejemplo, se valora el tipo de dato según la aplicación de los 3 niveles de seguridad que designa la LOPD en España: alto, medio y bajo.
Cuanto mayor sea el nivel más seguridad se necesita y, por tanto, ante un ciber riesgo las consecuencias en lo referente a la privacidad de los datos serán mayores (p.ej en función de la sanción administrativa), considerándose un factor agravante.
El cliente responde que utiliza datos referentes a la salud que no contiene ninguna declaración de invalidez o discapacidad (que se consideran nivel bajo), por lo que el valor asignado es el mayor de todos, cinco.
El cinco, bien puede traducirse en un factor que corrección sobre una suma asegurada o un agravamiento en forma de porcentaje Este apartado queda a cargo del asegurador y la forma de la que disponga para procesar la información recabada.
Las inexactitudes o preguntas incompletas son un problema en este tipo de herramientas.
La propuesta es extender el nivel de la respuesta en el formulario para acotar el número de errores. Aplicando un ejemplo al caso anterior:
| Formulario para la empresa o cliente | |||||
| 5 | Tipos de datos almacenados | ||||
| Financieros | Sanitarios | Privados | No se guardan | ||
| Afiliación sindical | Multas | DNI | Policial | IP / Geolocalización | |
| 5 | 3 | 2 | 4 | 1 | |
El objetivo final de esta idea es, además de valorar el riesgo, la de proporcionar un esquema de tarifa que se asemeje lo máximo posible al empleado por las aseguradoras en la tarificación de seguros patrimoniales, como puede ser la base de tasación en los ramos de incendios o robo.
La suma asegurada, a pesar de no ser el propósito de este trabajo, dependerá de lo que establezca cada entidad y en qué se basará su producto aunque debería seguir las pautas de otros ramos:
- Por volumen de facturación
- Por valor de los objetos asegurados (infraestructura y sistemas informáticos) *No recomendado
- Por el valor de Responsabilidad Civil
- Por una cantidad límite pactada previamente por cada bloque de cobertura (sublímites de indemnización) *Recomendado
- Por la referencia de otra póliza de daños existente
Lo más recomendado es la tarificación en base al volumen de facturación, aplicar recargos y descuentos a través de la herramienta de valoración, asignar un porcentaje para la Responsabilidad Civil y cuantificar, lo más difícil de todo, la reputación de la empresa (Reputational Risk)
Prima Neta = Tasa (Valoración Riesgo + Reputación) x Suma Asegurada – F
(*)F: franquicia
Por último, y referente a la propuesta de modelo de 36 preguntas decir que, el formulario puede extenderse y aumentar su complejidad hasta los límites que cada asegurador considere.
Es decir, la parte que trabaja en valores (parte interna), y que incluso pueden aplicarse fórmulas matemáticas y algoritmos, representará una de las ventajas competitivas del sector asegurador en materia de ciberseguros.
En cambio, la parte que trabaja como formulario visible al cliente (parte externa) no debe ampliarse ni hacerse compleja ya que la percepción del producto podría ser negativa.
Ninguna empresa desea aportar demasiada información confidencial La clave para elaborar un diseño correcto se encuentra en formular las preguntas adecuadas en función del tipo de cobertura que pueda ofertar el asegurador, ya que el resarcimiento del daño mediante una indemnización no será suficiente para lo que se necesita.
En un ciberseguro, el tiempo de respuesta que se proporciona al asegurado también un juega un papel decisivo para su pervivencia en el mercado.
Es más, en la gestión de una crisis el tiempo de respuesta es más importante que el capital disponible para volver a un estado normal de negocio.
Si deseas leer más artículos parecidos a Herramientas de Diagnóstico de Ciberriesgos los encontrarás en Ciberseguros.
Seguro De Ciberseguridad NortonLifeLock: NortonLifeLock Cyber Safety
Seguro De Ciberseguridad CyberCube: CyberCube Insurance
Seguro De Ciberseguridad CyberPolicy: CyberPolicy Insurance
Seguro De Ciberseguridad The Hartford: The Hartford CyberChoice 1st Response
Seguro De Ciberseguridad ACE Group: ACE Cyber Risk Insurance
Seguro De Ciberseguridad Philadelphia Insurance Companies: PHLY Cyber Security Liability
Te interesa: