Los ciberriesgos y las posibles maneras de mitigar sus daños

La pérdida de los activos de información, bien por un accidente fortuito (causas naturales, errores humanos,…) o debido a un ataque intencionado es una preocupación creciente para las empresas de todos los tamaños y sectores. Toda actividad tiene riesgos, en el mundo real y en el virtual. Las consecuencias de un incidente pueden afectar a datos comerciales, patentes, finanzas, equipamiento, etc. y a la reputación de las personas o de la marca, en definitiva al negocio.

Tradicionalmente, las empresas contratan seguros bien por obligación legal o para cubrir aquellos accidentes, que si ocurren, pueden afectar al negocio de forma irreversible o que no serían capaces de abordar con sus propios recursos. En este escenario algunas aseguradoras han comenzado a cubrir gastos por incidentes cibernéticos.

En lo relativo a ciberseguridad, cuando hacemos un análisis de riesgos, revisando nuestro entorno y nuestros procesos internos, tenemos respuesta a estas preguntas:

  • ¿Qué puede pasar?, ¿Cuándo y dónde? y ¿Cómo y por qué?
  • ¿Cómo valorar las posibles consecuencias como costes, pérdidas o sanciones?

Y una vez que tenemos claro cuáles son los riesgos (probabilidad) y el valor de las consecuencias o su impacto. Tendremos que reflexionar sobre:

  • ¿Cómo priorizar las medidas a tomar?
  • ¿Cuánto nos va a costar?
  • ¿Qué recursos necesitamos?

Con todo esto tendremos datos suficientes para saber cómo tratar los riesgos, siempre desde un enfoque coste/beneficio. Para ello tenemos cuatro opciones: evitarlos, mitigarlos, aceptarlos o transferirlos.

  • Los evitamos dejando de hacer la actividad que es arriesgada, generalmente porque tratar de mitigar el riesgo es muy caro y existe una alternativa menos arriesgada para esa actividad. Sería equivalente a tomar una ruta alternativa, con menos riesgos.
  • Los reducimos o mitigamos aplicando medidas o controles tanto organizativos (políticas, procedimientos, formación,…) como técnicos. Esto es lo adecuado cuando el coste es proporcional al beneficio que obtendremos, es decir: el riesgo después de aplicar las medidas es mucho menor.
  • Los aceptamos si cruzamos los dedos y esperamos a que no pase nada. Podemos hacerlo si el riesgo (probabilidad de que ocurra) es muy bajo y su impacto no nos echaría del terreno de juego.
  • Los transferimos en el caso de que sea muy caro reducirlos o mitigarlos. Podemos hacerlo contratando un seguro o externalizando el servicio con coberturas de seguridad asociadas (que podremos verificar si tienen alguno de estos sellos de confianza).

Los seguros que cubren riesgos de ciberseguridad están empezando a aparecer en el mercado como una forma de aplicar la opción de transferencia del riesgo. Las coberturas no son sólo legales o económicas, sino que también son técnicas.

La seguridad total no existe. Las pólizas de ciberriesgos son ahora una opción a valorar.

Fuente Instituto Nacional de Ciberseguridad

Noticias Recientes

Empiece a escribir y pulse la tecla “Enter”