Els ciberriesgos i les possibles maneres de mitigar-ne els danys

La pèrdua dels actius d’informació, bé per un accident fortuït (causes naturals, errors humans, …) o causa d’un atac intencionat és una preocupació creixent per a les empreses de totes les mides i sectors. Tota activitat té riscos, en el món real i en el virtual. Les conseqüències d’un incident poden afectar dades comercials, patents, finances, equipament, etc. i la reputació de les persones o de la marca, en definitiva al negoci.

Tradicionalment, les empreses contracten assegurances bé per obligació legal o per cobrir aquells accidents, que si ocorren, poden afectar el negoci de forma irreversible o que no serien capaços d’abordar amb els seus propis recursos. En aquest escenari algunes asseguradores han començat a cobrir despeses per incidents cibernètics.

Pel que fa a ciberseguretat, quan fem una anàlisi de riscos, revisant el nostre entorn i els nostres processos interns, tenim resposta a aquestes preguntes:

  • Què pot passar ?, Quan i on? i Com i per què?
  • Com valorar les possibles conseqüències com costos, pèrdues o sancions?

I una vegada que tenim clar quins són els riscos (probabilitat) i el valor de les conseqüències o el seu impacte. Haurem de reflexionar sobre:

  • Com prioritzar les mesures a prendre?
  • Quant ens costarà?
  • Quins recursos necessitem?

Amb tot això tindrem prou dades per saber com tractar els riscos, sempre des d’un enfocament cost / benefici. Per a això tenim quatre opcions: evitar-los, mitigar-los, acceptar-los o transferir-los.

  • Els evitem deixant de fer l’activitat que és arriscada, generalment perquè tractar de mitigar el risc és molt car i hi ha una alternativa menys arriscada per a aquesta activitat. Seria equivalent a prendre una ruta alternativa, amb menys riscos.
  • Els reduïm o mitiguem aplicant mesures o controls tant organitzatius (polítiques, procediments, formació, …) com tècnics. Això és el adequat quan el cost és proporcional al benefici que obtindrem, és a dir: el risc després d’aplicar les mesures és molt menor.
  • Els acceptem si creuem els dits i esperem a que no passi res. Podem fer-ho si el risc (probabilitat que ocorri) és molt baix i el seu impacte no ens faria fora del terreny de joc.
  • Els vam transferir en el cas que sigui molt car reduir-los o mitigar-los. Podem fer-ho contractant una assegurança o externalitzant el servei amb cobertures de seguretat associades (que podrem verificar si tenen algun d’aquests segells de confiança).

Les assegurances que cobreixen riscos de ciberseguretat estan començant a aparèixer en el mercat com una forma d’aplicar l’opció de transferència del risc. Les cobertures no són només legals o econòmiques, sinó que també són tècniques.

La seguretat total no existeix. Les pòlisses d’ciberriesgos són ara una opció a valorar.

Fuente Instituto Nacional de Ciberseguridad

Notícies Recents

Comença a escriure i premeu Intro per buscar