Identificación y Detección del Riesgo
La realidad del ciber riesgo permite identificar a éste a través de una serie de patrones globales Estas características se aplican para cualquier amenaza o capa dónde tenga lugar el cibercrimen o una acción que implique daño o perjuicio:
- Se comporta técnicamente como tal: posible, incierto, fortuito y económicamente desfavorable.
- Afecta a cualquier sector, empresa, organización o gobierno sea del tamaño que sea y sin importar el número de datos almacenados.
Posee un alcance global.
- La mayor amenaza que lo constituye es la humana de carácter intencionado, pero no es la única (ver Cuadro I).
- Si la amenaza es humana puede tardar en detectarse, por lo que sus efectos llegan tras un período de tiempo.
- Evoluciona deprisa y sus consecuencias son inciertas ante la posibilidad de mutación (nuevas vulnerabilidades o ataques, aprobación de nueva legislación, innovación tecnológica,…).
Detectado un ciber riesgo, la identificación es algo tediosa pero indispensable para distinguir correctamente a qué se enfrenta la empresa y cuáles pueden ser las consecuencias.
La Aseguradora podrá disponer de una poderosa herramienta a la que asignar prioridad, posibles daños, y en definitiva, información que le ayude a comprender estadísticas de mercado y a desglosar los datos de siniestros para disponer en un futuro de referencias cuantificadas.
La siguiente tabla (cuadro VI) representa, desde el punto de vista técnico, una propuesta de identificación ajustada lo máximo posible a la realidad, aunque debe tenerse en cuenta que los ciber riesgos son muy extensos, pueden darse varios en un mismo ciberataque, dar lugar a las mismas consecuencias y sufrir modificaciones constantes
Por esta razón, resulta imposible enumerarlos:
Tipo de Ataque / Ciber Riesgo | Hardware | Software | Red | Empresa | Personal | Consecuencias más importantes (relación de posibles coberturas) |
Ataque físico a la empresa, vandalismo o ciberterrorismo | X | X | X | X | Daños, RC Explotación, pérdida de beneficios, costes derivados de la recuperación de datos, costes de consulta forense o de investigación, incremento de trabajo, coste para reemplazar los activos (1) | |
Ataque físico a la infraestructura informática (humano o desastre) | X | X | X | X | ||
Ataque físico a servidores locales ubicados en la empresa | X | X | X | X | ||
Ataque a Proveedor de Red | X | X | RC General, RC Explotación, costes de notificación y costes legales, reputación online, pérdida de beneficios (2). En proveedores, tener en cuenta el seguro de crédito. | |||
Ataque al CPD de servidores o hosting externo (incluye DB) | X | X | ||||
Ataque a proveedor de servicios IT externos en la nube (ERP, CRM, Mail, B2B, pasarela de pago…) o al canal de distribución | X | X | ||||
Ataque remoto dañando físicamente aparatos y sistemas | X | X | X | X | Igual que (1). | |
Fallo o Bug de Programa o S.O (system error) | X | X | RC General, defensa jurídica, reputación online, pérdida de beneficios | |||
Hackeo General (no definido) | X | X | (1) + defensa jurídida, costes de notificación a personas afectadas (privacidad) | |||
Malware y Virus reproductivos | X | X | Igual que (2) | |||
Troyano o Backdoor | X | X | Como (2), y si incluye el uso del servidor como envío de spam masivo (defensa jurídica, multas, costes de investigación, reputación online). | |||
Gusano | X | X | Igual que (2) | |||
Rootkits | X | X | Igual que (2) y costes de investigación | |||
Hoax y Viral (no reproducción) | X | X | X | RC Explotación, Defensa Jurídica, Reputación online | ||
Bombas lógicas | X | X | Igual que (2) | |||
DDoS (por UDP, SYN Flood u otros medios) | X | X | X | X | X | Igual que (1). Por capacidad de interrumpir componentes de red |
Sniffing en red local o WIFI | X | X | X | Igual que (2) y costes de investigación | ||
Man-in-the-Middle (MitM) | X | X | X | Igual que (2) y costes de investigación | ||
IP, MAC o DNS Spoofing | X | X | X | X | Igual que (2) y costes de investigación | |
Ciberocupación de dominios | X | X | Si la ocupación se debe por transferencia no autorizada o robo del auth code apuntando a un sitio web en producción: (2) y costes por honorarios del panel del Centro de Arbritaje y Mediación de la OMPI (NIC.es en España por DRP, resolución extrajudicial) | |||
WIPO a nombre de dominio | X | X | X | Igual que (2) Y Defensa Jurídica | ||
Ransomware y Extorsión (encriptación de datos) | X | X | X | Costes para asumir el pago del “secuestro”, riesgo reputacional, costes de investigación, pérdida de beneficios | ||
Clickjacking | X | X | Igual que (2) | |||
Android/iOS Dialer | X | X | X | Igual que (2) | ||
Phising y Estafa | X | X | X | X | Igual que (2) y costes de investigación | |
Watering Hole | Igual que (2) | |||||
NetBOTs, port scanning, script-Kiddies, inyección SQL | X | X | Igual que (2) | |||
Robo de Identidad (por cualquier método) | X | X | Igual que (2) | |||
Robo por ingeniería social (identidad o datos por cualquier método) | X | X | Igual que (2) | |||
Infracción de Licencia | X | X | X | Defensa jurídica, multa | ||
Infracción Copyright/Copyleft | X | X | X | Defensa jurídica, multa | ||
Infracción por Cookies UE | X | X | Defensa jurídica, multa | |||
Infracción por contenido web inapropiado | X | X | Defensa jurídica, multa, RC Explotación | |||
Difamación en webs, blogs y medios sociales | X | X | Defensa jurídica, RC | |||
Votos y comentarios negativos por transacciones web (propias o en portales de venta). Incumplimientos o retrasos. | X | X | Riesgo reputacional, pérdida de beneficios, RC de Explotación y RC de Producto | |||
Cuadro VI |
A tenor de lo expuesto, la entidad aseguradora debe resumir rápidamente esta parte tan técnica y conceptual dedicada a la detección e identificación, y la adaptará a sus necesidades teniendo en cuenta la posterior comunicación a su red comercial y cómo deberá entenderse en un futuro su nuevo producto
¿Qué debe quedar claro bajo el punto de vista del asegurador?
- Existen amenazas que generan un riesgo que actúa a diferentes niveles o capas.
- Los principales bloques de ciber riesgos son: físicos, no físicos y de responsabilidad.
- Para su identificación, la extensa lista de ciber riesgos se comprime en 7 puntos esenciales:
- Daños al sistema, la infraestructura o la seguridad.
- Fallos en los sistemas o en la seguridad.
- Robo o acceso no autorizado en los sistemas y en la seguridad, incluyendo el robo de identidad.
- Cibercrimen en general: malware, troyanos, backdoors, ddos, bots, phising,….
- Hacktivismo y Ciberextorsión con motivo ideológico, político o empresarial.
- Error o intencionalidad de Empleados (Factor o amenaza Humana).
- Infracción, incumplimiento, difamación y reclamación (impacto regulador).
- Todo Ciber Riesgo lleva asociado uno o varios impactos que se traducen en consecuencias o daños:
- Pérdida económica y de posición financiera (incluida la estafa)
- Pérdida de Reputación: general, de producto, de marca, personal
- Sanciones o multas administrativas (Legal).
- Litigios sobre la Propiedad Intelectual.
- Continuidad o cese del negocio.
Interrupción de procesos o de la cadena de trabajo.
- Responsabilidad civil sobre clientes, proveedores, empleados, accionistas o cualquier tercero afectado.
El objetivo fundamental en la gestión de ciber riesgos, una vez analizados los 4 puntos anteriores, es ayudar a sentar la base del ciberseguro y comprender los ramos que encajan mejor en el modelo (ver cuadro VII) y aquellas nuevas coberturas que harán falta cuando las tradicionales no cubran ciertas necesidades, bien porque no existen, bien porque son exclusiones de la garantía.
En cuanto a la detección e identificación, es misión de las entidades aseguradoras el colaborar con proveedores especializados en seguridad informática o incluso formar un departamento dependiente de siniestros o formar su propia red de peritaje con capacidad de:
- Poseer una lista o un panel actualizado de los ataques más frecuentes, así como conocer el riesgo al que está sometido la empresa mediante un índice.
- Disponer de información suficiente (just-in-time) que incluya los 0-day (vulnerabilidades que aparecen cada día).
Existen en el mercado varios servicios profesionales que realizan este trabajo (mapas de crisis) como, por ejemplo, eRisk Hub® de Zurich, RiskTool® de AIG o ProtectMyID® de Experian.
- Poseer una amplia comprensión de las consecuencias que pueden derivarse de los ciber riesgos, y no solamente de los ciberataques, ya que la cuantificación de un daño intangible es una tarea compleja, siendo el riesgo reputacional la pieza clave hasta el momento.
- Establecer un algoritmo capaz de relacionar riesgo y consecuencias, para introducir un sistema de prioridades en el que se pueda asignar puntuaciones (cuantificación de los hechos).
- Las puntuaciones del algoritmo tienen que poder ajustarse a los formularios y cuestionarios previos sobre seguridad de la empresa, pyme o microempresa que desee asegurar sus riesgos con la aseguradora (ver 5.2.2).
Relación Consecuencias-Daños y Ramos de Seguros Tradicionales | |
Pérdida económica, coste incremento de trabajo y de posición financiera | Seguros Patrimoniales (incendio, robo, multirriesgo, ingeniería,instalaciones y equipos electrónicos…) Seguro de Lucro cesante Seguro de Crédito |
Pérdida de Reputación | Seguro de Lucro cesante, Responsabilidad Civil, Garantía de Asistencia, Defensa Jurídica |
Sanciones y/o multas administrativas | Seguro de Defensa Jurídica, RC Explotación, RC Profesional, Seguro Multirriesgo (PYME, Industria,…). |
Litigios sobre la propiedad intelectual | Seguro de Defensa Jurídica, RC Explotación, RC Profesional, Seguro Multirriesgo (PYME, Industria,…). |
Continuidad o cese del negocio Interrupción. | Seguro de Lucro Cesante, Seguro de Crédito, Avería de Maquinaria, Seguros Patrimoniales |
Responsabilidad sobre clientes, empleados, proveedores y terceros | Seguros de Responsabilidad Civil, Seguro de Defensa Jurídica, Seguro de Caución |
Cuadro VII |
Si deseas leer más artículos parecidos a Identificación y Detección del Riesgo los encontrarás en Ciberseguros.
Te interesa: