Ataques como NotPetya o WannaCry e incidentes individuales como la violación de datos personales de los clientes Equifax en septiembre de 2017, o el ciberataque que causó a la farmacéutica estadounidense Merck unos daños de 260 millones de dólares, han hecho que las compañías de cualquier tamaño empiecen a considerar la opción de contratar un seguro de ciber riesgo como medida para mitigar las pérdidas económicas producidas por un ciber incidente de seguridad de la información.
La amenaza que entraña un riesgo cibernético es tan tangible como las amenazas físicas a los activos materiales de una empresa. Por esto es lógico que las empresas se planteen la transferencia del riesgo que no pueden controlar; por ejemplo mediante la contratación de un ciberseguro.
La estimación tanto del riesgo tecnológico, que afecta a la continuidad de los procesos de negocio, como del riesgo cibernético que atañe a aspectos intangibles de las empresas como su reputación, o los datos de los usuarios, no es una tarea fácil.
Las compañías aseguradoras tradicionalmente calculan las primas de las pólizas del seguro a partir modelos matemáticos basados en datos históricos. En el caso del ciber riesgo, es evidente la falta de datos históricos de ciber incidentes, su impacto y el vector de ataque explotado; ya que estamos ante una casuística muy joven con relativamente pocos datos registrados, que se agrava por la reticencia en el sector empresarial de notificar y compartir datos sobre incidentes y amenazas.
Esta dificultad para la evaluación del riesgo la sufren también, aunque de forma distinta, los auditores de seguridad informática. Tradicionalmente, y en términos generales el riesgo se calcula con la siguiente fórmula:
riesgo = probabilidad x impacto
El valor obtenido da una visión momentánea del riesgo, que no se adapta a la naturaleza cambiante e imprevisible de las nuevas amenazas que nos encontramos en el ciberespacio. Por lo que se está evolucionando hacia metodologías de análisis dinámico de riesgos (ADR), y de gestión dinámica de riesgos (GDR). Cuyo objetivo es evaluar continuamente el riesgo de seguridad TIC para poder actuar más ágilmente, a pesar de no haber recreado completamente todo el proceso de gestión de riesgos.
Ante el reto de la valoración del riesgo, encontramos distintos enfoques dentro del sector de las aseguradoras. Las propuestas van dirigidas mayoritariamente a cubrir las necesidades de las grandes compañías; pero es cierto que muchas de ellas también intentan dar solución a las pymes, puesto que conforman la mayor parte del tejido empresarial español, y también se ven directamente afectadas.
La forma más básica empleada para evaluar el riesgo es mediante un cuestionario de medidas o buenas prácticas de seguridad. Otras aseguradoras van más allá, y exigen una serie de requisitos entre los que se pueden encontrar los siguientes:
Incluso algunas aseguradoras hacen descuentos dependiendo del nivel de madurez en seguridad de la información del cliente.
En definitiva, se trata que el cliente sea capaz de demostrar que toma una serie de medidas mínimas para prevenir los incidentes de seguridad, y por tanto reducir el riesgo de sufrirlos.
La calificación de ciberseguridad de Leet Security puede ayudar tanto a las organizaciones, como a las compañías aseguradoras durante el proceso de contratación de la póliza en la tarea de evaluación del riesgo cibernético por distintas razones:
All you need is LEET
Suscríbete a nuestras comunicaciones desde este enlace