Ataques como NotPetya o WannaCry e incidentes individuales como la violación de datos personales de los clientes Equifax en septiembre de 2017, o el ciberataque que causó a la farmacéutica estadounidense Merck unos daños de 260 millones de dólares, han hecho que las compañías de cualquier tamaño empiecen a considerar la opción de  contratar un seguro de ciber riesgo como medida para mitigar las pérdidas económicas producidas por un ciber incidente de seguridad de la información.

La necesidad de los ciberseguros

La amenaza que entraña un riesgo cibernético es tan tangible como las amenazas físicas a los activos materiales de una empresa. Por esto es lógico que las empresas se planteen la transferencia del riesgo que no pueden controlar; por ejemplo mediante la contratación de un ciberseguro.

Cálculo del riesgo cibernético y tecnológico

La estimación tanto del riesgo tecnológico, que afecta a la continuidad de los procesos de negocio, como del riesgo cibernético que atañe a aspectos intangibles de las empresas como su reputación, o los datos de los usuarios, no es una tarea fácil.

Las compañías aseguradoras tradicionalmente calculan las primas de las pólizas del seguro a partir modelos matemáticos basados en datos históricos. En el caso del ciber riesgo, es evidente la falta de datos históricos de ciber incidentes, su impacto y el vector de ataque explotado; ya que estamos ante una casuística muy joven con relativamente pocos datos registrados, que se agrava por la reticencia en el sector empresarial de notificar y compartir datos sobre incidentes y amenazas.

Esta dificultad para la evaluación del riesgo la sufren también, aunque de forma distinta, los auditores de seguridad informática. Tradicionalmente, y en términos generales el riesgo se calcula con la siguiente fórmula:

riesgo = probabilidad x impacto

El valor obtenido da una visión momentánea del riesgo, que no se adapta a la naturaleza cambiante e imprevisible de las nuevas amenazas que nos encontramos en el ciberespacio. Por lo que se está evolucionando hacia metodologías de análisis dinámico de riesgos (ADR), y  de gestión dinámica de riesgos (GDR). Cuyo objetivo es evaluar continuamente el riesgo de seguridad TIC para poder actuar más ágilmente, a pesar de no haber recreado completamente todo el proceso de gestión de riesgos.

La postura de las aseguradoras

Ante el reto de la valoración del riesgo, encontramos distintos enfoques dentro del sector de las aseguradoras. Las propuestas van dirigidas mayoritariamente a cubrir las necesidades de las grandes compañías; pero es cierto que muchas de ellas también intentan dar solución a las pymes, puesto que conforman la mayor parte del tejido empresarial español, y también se ven directamente afectadas.

La forma más básica empleada para evaluar el riesgo es mediante un cuestionario de medidas o buenas prácticas de seguridad. Otras aseguradoras van más allá, y exigen una serie de requisitos entre los que se pueden encontrar los siguientes:

  • Tener un antiransomware capaz de parar un ciberataque
  • Disponer de política de backup
  • Haber pasado una auditoría de securidad externa
  • Adopción auditada de un marco de buenas prácticas de seguridad mediante modelos de gestión reconocidos internacionalmente

Incluso algunas aseguradoras hacen descuentos dependiendo del nivel de madurez en seguridad de la información del cliente.

En definitiva, se trata que el cliente sea capaz de demostrar que toma una serie de medidas mínimas para prevenir los incidentes de seguridad, y por tanto reducir el riesgo de sufrirlos.  

Demostrando el nivel de seguridad

La calificación de ciberseguridad de Leet Security puede ayudar tanto a las organizaciones, como a las compañías aseguradoras durante el proceso de contratación de la póliza en la tarea de evaluación del riesgo cibernético por distintas razones:

  • Realiza un diagnóstico de las capacidades de ciberseguridad de los servicios o procesos de negocio.
  • Garantiza el nivel de madurez a lo largo del tiempo dentro del dinamismo de las amenazas actuales mediante las revisiones periódicas.
  • Acredita frente a terceros (por ejemplo, las compañías aseguradoras) su nivel de madurez en ciberseguridad mediante una evaluación independiente y una escala objetiva y mapeable con requisitos específicos.
  • Acredita el cumplimiento de diferentes normativas (ISO 27000, NIST 800-53, ENS, PCI) en un único proceso.

All you need is LEET

Suscríbete a nuestras comunicaciones desde este enlace

 

Puedes seguirnos en twitter.com/leet_security

3 de diciembre de 2018