Herramientas de Diagnóstico de Ciberriesgos

El modelo de valoración se divide en 5 grandes bloques y cada uno ellos contiene una serie de preguntas relacionadas con la organización empresarial, la infraestructura utilizada, aplicaciones y software que hace servir la compañía, cómo se maneja la privacidad de la información y las políticas de prevención y gestión de la crisis que dispone la empresa en caso de ciberataque o ciber riesgo Es una tarea para toda entidad aseguradora interesada en el ciberseguro, la elaboración de cada una de las preguntas que deben adjuntarse en el formulario según la información que precise o le resulte de utilidad.

Hay que tener en cuenta cuatro factores muy importantes acerca de esto último:

  • Al igual que los cuestionarios, p.ej de los seguros de salud o de vida, la omisión de alguna pregunta clave para valorar el riesgo tendrá consecuencias graves para la aseguradora.

    Por tanto, el cuestionario del asegurador seguirá siendo el que determine los límites y el contenido de la declaración.

    Éste podrá presentarse a través de medios electrónicos o en formato papel, pero ello no le exime de cumplir los requisitos que exige la LCS para que el contrato sea válido tras recibir el cliente su propuesta.

  • Este formulario base debe ser asequible para cualquier tipo de empresa por lo que debe ser fácil, no extenderlo demasiado o con cosas muy precisas, evitar que las más del 50% de preguntas contengan tecnicismos

    No toda empresa dispone de un departamento para dar soporte a la formalización de un ciberseguro.

    En algunos casos, y carente de estructuras, puede ser el propio administrador o gerente quién realice esta tarea.

    Si existe la necesidad de información adicional muy concreta, se aconseja la entrevista.

  • Tal y como se comentó en el punto 4 del apartado 5.1, cada pregunta tendrá asociada una puntuación o prioridad.

    La Aseguradora puede elaborar el cuestionario según su objetivo: cuantificar el resultado final para elaborar una tasa, preguntas que conlleven descuento o recargo, que funcione como un factor que influya directamente sobre el capital asegurado de otros ramos, etcétera….

  • El propio tratamiento de la información recopilada ya está sometido a la LOPD, a las leyes de privacidad de la UE y al riesgo cibernético.

A continuación, se propone un cuestionario de 36 preguntas basado en el modelo de Aon pero con varias modificaciones que se han considerado en anteriores apartados (capas, detección, relaciones con ramos tradicionales,…):

Empresa: Organización, Estructura y modelo de Negocio
1 Ubicación física Localización de la empresa
2 Sector Sector o sectores en el que opera
3 Nº de trabajadores Número de empleados S.S y autónomos
4 Facturación anual Facturación anual sin ningún siniestro
5 Tipos de Datos Tipos de Datos que se almacenan
6 Uso de Tecnología Sistemas informáticos que se emplean
7 Política Seg Informática Existencia de una política de seguridad
8 Reporte del Riesgo Existencia dpto.

encargado y quién recibe

 

Hardware, Sistemas e infraestructura general
9 Servidores exclusivos Servidores físicos locales
10 Sistemas de climatización Condiciones de los servidores
11 Proveedor de servicios (ISP,CPD,…) Servidores localizados en exterior
12 Ubicación física de backups Localización y procedimientos
13 Acceso remoto (PC,móviles,VPN,…) Conexión remota a sistemas
14 Cifrado de Datos Grado de protección de los datos
15 Otros servicios cloud en producción Proveedores de servicios
16 Seguridad de Acceso no Autorizado Políticas de contraseñas

 

Software, Apps y otros recursos informáticos
17 Política de Usuarios y Roles Estructura jerárquica de usuarios
18 Política de Descargas y Uso Política de uso de la red empresa
19 Política de Comunicación en Email Política en el envío de emails
20 Grado de importancia del software Pérdidas en si cae el software
21 Sistemas de prevención y seguridad Existencia de gestión de riesgos
22 Enumeración de Activos digitales Nº de Activos que dan beneficios

 

Privacidad de la Información
23 Garantías de Protección de Datos Tratamiento de los datos
24 Cumplimiento de la LOPD Grado de cumplimiento de LOPD
25 Cumplimiento de Cookies EU Uso correcto en webs y apps
26 Privacidad en Proveedores Cumplimiento legal de terceros
27 Jurisdicciones en las que se opera Países donde opera la empresa
28 Política de adaptación a legislaciones Grado de cumplimiento legal
29 Cesión de datos a terceros Cumplimientos y permisos
30 Atención al cliente e incidencias Existencia de un departamento

 

Seguridad Informática
31 Software exclusivo de gestión Programas de gestión de riesgos
32 Sistema Operativo y tipo de DB S.O.

predominante en el negocio

33 Mitigación Ataques (AV,Firewall,…) Listado, incluye firewall físico
34 Software Contenido Web Acerca del CMS, script, prog.prop.
35 Últimos incidentes (12 meses) Número de siniestros ocurridos
36 Plan empleado durante la crisis Acciones para solventar la crisis

 

Para que el formulario sea efectivo, se debe proceder asignando a cada una de las múltiples respuestas que pueda tener la pregunta del bloque numerada un valor determinado.

El cliente, en cambio, solamente deberá responder a la respuesta que más se ajuste a la realidad, de forma clara y objetiva y tendrá en cuenta la obligada comunicación de agravación o disminución de riesgo cuando sea necesario, tal y como refleja la Ley de Contrato de Seguro

En el siguiente ejemplo se muestran las dos perspectivas y cómo debería realizarse la asignación:

Formulario para la empresa o cliente (Parte Externa)
 
5 Tipos de datos almacenados
 
  Financieros Sanitarios Privados Mail No se guardan

 

Una vez marcada o introducida por el cliente la respuesta, la Aseguradora asigna el valor correspondiente:

Tabla de Asignación para el Asegurador (Parte Interna)
 
5 Tipos de datos almacenados
 
  4 5 3 2 1

 

En este ejemplo, se valora el tipo de dato según la aplicación de los 3 niveles de seguridad que designa la LOPD en España: alto, medio y bajo.

Cuanto mayor sea el nivel más seguridad se necesita y, por tanto, ante un ciber riesgo las consecuencias en lo referente a la privacidad de los datos serán mayores (p.ej en función de la sanción administrativa), considerándose un factor agravante.

El cliente responde que utiliza datos referentes a la salud que no contiene ninguna declaración de invalidez o discapacidad (que se consideran nivel bajo), por lo que el valor asignado es el mayor de todos, cinco.

El cinco, bien puede traducirse en un factor que corrección sobre una suma asegurada o un agravamiento en forma de porcentaje Este apartado queda a cargo del asegurador y la forma de la que disponga para procesar la información recabada.

Las inexactitudes o preguntas incompletas son un problema en este tipo de herramientas.

La propuesta es extender el nivel de la respuesta en el formulario para acotar el número de errores.  Aplicando un ejemplo al caso anterior:

Formulario para la empresa o cliente
 
5 Tipos de datos almacenados
 
  Financieros Sanitarios Privados Mail No se guardan
 
 
 
  Afiliación sindical Multas DNI Policial IP / Geolocalización
 
  5 3 2 4 1

 

El objetivo final de esta idea es, además de valorar el riesgo, la de proporcionar un esquema de tarifa que se asemeje lo máximo posible al empleado por las aseguradoras en la tarificación de seguros patrimoniales, como puede ser la base de tasación en los ramos de incendios o robo.

La suma asegurada, a pesar de no ser el propósito de este trabajo, dependerá de lo que establezca cada entidad y en qué se basará su producto aunque debería seguir las pautas de otros ramos:

  • Por volumen de facturación
  • Por valor de los objetos asegurados (infraestructura y sistemas informáticos) *No recomendado
  • Por el valor de Responsabilidad Civil
  • Por una cantidad límite pactada previamente por cada bloque de cobertura (sublímites de indemnización) *Recomendado
  • Por la referencia de otra póliza de daños existente

Lo más recomendado es la tarificación en base al volumen de facturación, aplicar recargos y descuentos a través de la herramienta de valoración, asignar un porcentaje para la Responsabilidad Civil y cuantificar, lo más difícil de todo, la reputación de la empresa (Reputational Risk)

Prima Neta = Tasa (Valoración Riesgo + Reputación) x Suma Asegurada – F

(*)F: franquicia

Por último, y referente a la propuesta de modelo de 36 preguntas decir que, el formulario puede extenderse y aumentar su complejidad hasta los límites que cada asegurador considere.

Es decir, la parte que trabaja en valores (parte interna), y que incluso pueden aplicarse fórmulas matemáticas y algoritmos, representará una de las ventajas competitivas del sector asegurador en materia de ciberseguros.

En cambio, la parte que trabaja como formulario visible al cliente (parte externa) no debe ampliarse ni hacerse compleja ya que la percepción del producto podría ser negativa.

Ninguna empresa desea aportar demasiada información confidencial La clave para elaborar un diseño correcto se encuentra en formular las preguntas adecuadas en función del tipo de cobertura que pueda ofertar el asegurador, ya que el resarcimiento del daño mediante una indemnización no será suficiente para lo que se necesita.

En un ciberseguro, el tiempo de respuesta que se proporciona al asegurado también un juega un papel decisivo para su pervivencia en el mercado.

Es más, en la gestión de una crisis el tiempo de respuesta es más importante que el capital disponible para volver a un estado normal de negocio.

Te interesa:  Seguro De Ciberseguridad CyberCube: CyberCube Insurance

Si deseas leer más artículos parecidos a Herramientas de Diagnóstico de Ciberriesgos los encontrarás en Ciberseguros.

Te interesa:

Subir Ciberriesgos y Ciberseguros