EL MAPA DE RIESGOS Y EL PLAN DE CONTINGENCIAS EN EL SEGURO DE

Transcripción

1 EL MAPA DE RIESGOS Y EL PLAN DE CONTINGENCIAS EN EL SEGURO DE CIBER RIESGOS SUMARIO La cobertura de ciber riesgos ya no genera extrañez en cuanto a su necesidad, considerando el incremento exponencial del número de siniestros en la materia, la continua dependencia a la conectividad vía datos en los procesos económicos y el aumento de la contratación por parte de las empresas de esta cobertura; y que si bien en Argentina aun no logra encontrar asiento firme en el mercado, auguramos que sucederá muy pronto. Por ello, el presente trabajo ya no hace foco en el funcionamiento y detalle de las coberturas, sino puntualizando en tres aspectos que considero de suma importancia, tales como la necesidad de contar con medidas de seguridad adecuadas que mitiguen la exposición a siniestros cibernéticos identificados a través del mapa de ciber riesgos y la existencia de un plan de contingencias que permita disminuir los daños a terceros, reactivar la operatividad de la empresa y evitar el menor de los daños en la reputación de la empresa. NOCIONES GENERALES DE LA COBERTURA DE CIBER RIESGO. Los clausulados disponibles en materia de ciber riesgos otorgan amparo por pérdidas causadas a terceros, es decir ante la responsabilidad civil que pudiere generarse a causa de un incidente cibernético, como por ejemplo por la responsabilidad ante la violación de información corporativa y personal (vía divulgación de esta información); o falla de la seguridad de la red y/o datos; como también por perdida propias del asegurado ante una ciber extorsión; costos de recuperación de archivos digitales, gastos ante una investigación administrativa y/o multas regulatorias, gastos de notificación y monitoreo ante una

2 violación de información, gastos para la restitución de la imagen de la empresa o personal, e interrupción del negocio; amparándose así los daños a terceros, honorarios, gastos y costas incurridos por la empresa. LAS MEDIDAS DE SEGURIDAD INFORMATICAS Y EL MAPA DE CIBER RIESGOS Las medidas de seguridad en materia informática son uno de los pilares de la cobertura de ciber riesgos, atento a que si bien no es posible tener certeza absoluta en cuanto a la invulnerabilidad de los sistemas informáticos, la existencia de medidas de seguridad informáticas calificadas permiten disminuir significativamente la exposición de la empresa. El grado de complejidad y necesidad de las medidas de seguridad informáticas dependerá de cada asegurado según su actividad económica, estructura empresarial, dimensión y uso de los datos electrónicos que realice, entre los principales puntos. Existen medidas de seguridad informáticas básicas como: 1. Inventario permanente de software autorizado y no autorizado 2. Inventario de dispositivos autorizados y no autorizados. 3. Firewall actualizados. 4. Revisión de la política del uso de equipos propiedad de empleados y visitantes con acceso a los sistemas de la empresa, y su política de seguridad. 5. Configuración y limitación de usos de dispositivos externos (USB). 6. Encriptación de datos. 7. Back up periódicos y revisión de uso de privilegios administrativos

3 El tipo de medidas de seguridad informáticas dependerán de cada empresa, debiendo estas verificar si las mismas son o pueden ser óptimas para mitigar los daños y responsabilidades ante diferentes exposiciones a riesgo en materia de ciber riesgos. Para ello, es que resulta muy valioso que la empresa confeccione su propio mapa de ciber riesgos. El MAPA DE CIBER RIESGOS constituye una herramienta inicial de suma importancia, previo a la suscripción de la cobertura de ciber riesgos, ya que este mapa permitirá identificar, analizar y evaluar los riesgos que desean ser transferidos y asegurables, como también para diseñar un correcto plan de contingencias y aplicar las medidas de seguridad más adecuadas. Para la confección de un mapa de ciber riesgos es aconsejable definir variables de análisis tales como: I. Identificación de amenazas y vulnerabilidades (identificar estructuras críticas, zonas vulnerables, elaboración de escenarios de riesgos como p. ej. intrusión de malware en sistemas de software que se utilice como punto de venta) II. Agente de la amenaza (p.ej. gobierno, hacktivista, delincuente profesional, empleado, terrorista cibernético, etc) III. Motivo de la amenaza (p. ej.: ganancia financiera, capital intelectual, interrupción del negocio, competencia, ideología, venganza, espionaje, etc.)

4 IV. Método de ataque (p.ej. troyano, software corregido, instalación de gusanos, robo de datos de DNS, robo de laptop, cpu, celulares, afectación de infraestructuras de internet, malware, suplantación de identidad, escalado de privilegios, etc. ) V. Activos posibles de vulneración ( p. ej. información confidencial personal o corporativa, números de tarjetas de crédito, registros de salud, secretos comerciales, infraestructuras IT, planta física, información contable, etc) VI. El impacto de ataque sobre la organización (p.ej. daños a los activos, daños a la reputación, caída de la cotización bursátil, interrupción del servicio, perdida de datos, pérdida de ingresos, multas y sanciones administrativas; y su afectación a la reputación, servicios y finanzas de la empresa, etc.) VII. Probabilidad de ocurrencia ( según el tipo de amenaza y el nivel de seguridad informática, determinación de un grado alto, medio y bajo de ocurrencia) VIII. Respuesta ante un ataque (p.ej. campaña de restitución de la imagen, eventos de relaciones públicas, gestión de crisis, restauración de sistema, notificación a clientes investigación forense, plan de contingencias, etc.) Del mapa de ciber riesgos surgirá el grado de cada amenaza que pudiere afectar a la empresa, entendiéndose estas como eventos informáticos que pueden desencadenar un incidente en la empresa, produciendo daños materiales y/o responsabilidades civiles.

5 LINEAMIENTOS PARA LA ELABORACION DE UN PLAN DE CONTINGENCIA La elaboración de un plan de contingencias permitirá un mejor desenvolvimiento ante la ocurrencia de un siniestro de riesgo cibernético y una rápida recuperación de la actividad, anticipando las acciones planificas a desarrollarse proactivamente para disminuir los daños ocasionados, prevenir y reducir futuros incidentes, y reactivar la economía de la empresa. Además de elaborar el mapa de ciber riesgos del cual se obtendrán la identificación y graduación de los riesgos con mayor y/o menor afectación a la empresa en relación a las medidas de seguridad informáticas, la planificación en cuanto al proceder ante un siniestro será de suma importancia. Dicha planificación implica establecer pautas claras en materia de planes de comunicación y manejo de crisis a nivel interno de la empresa, como también estrategias operativas comerciales y legales, elaborando protocolos documentados de acciones según tipo de siniestro. Saber qué hacer en las primeras horas, días y semanas después de un ciberataque es crucial. Si bien los incidentes informáticos se materializan en los sistemas de cómputos de la empresa, no debe perderse de vista el capital humano que será quien de forma conjunta y según sus roles, permitirá una rápida recuperación y/o mitigación de consecuencias, demandando un trabajo coordinado entre las diferentes gerencias de una empresa. Es posible identificar las siguientes fases necesarias para la planificación de un adecuado plan de contingencias ante un siniestro informático: 1) Revisión de componentes de la empresa, considerando la organización estructural y funcional, servicios y/o bienes producidos; inventario de recursos informáticos y humanos.

6 2) Elaboración del mapa de riesgos ciber riesgos. 3) Identificación de soluciones según la gradualidad del siniestro, estableciendo alternativas de solución; determinando procedimientos y medidas para la recuperación de los sistemas, datos y operaciones informáticas luego del siniestro, con el objetivo de mantener la actividad comercial de la empresa 4) Ensayo del plan de contingencias. 5) Revisión periódica de la conveniencia del plan. No existe una forma infalible de prevenir un ciber ataque, como tampoco un único plan de contingencias, pero sin dudas este ayudara a una mejor performance de la empresa ante incidentes como a una correcta traslación de los riesgos al mercado asegurador.

7 CONCLUSIONES La importancia de elaborar evaluar las medidas de seguridad informáticas, junto con la creación de un mapa de ciber riesgos y un plan de contingencias, favorecerán en la cobertura de Riesgo Cibernético, no solo a la empresa asegurada ya que podrá identificar, comprender, cuantificar y mitigar los riesgos que desea transferir a la aseguradora y estar preparada para la ocurrencia de los mismos, sino también a la propia aseguradora que podrá conocer el nivel de asegurabilidad y exposición del cliente ante incidentes cibernéticos. Parafraseando a Denis Waitley, será mejor planear para lo peor, y esperar lo mejor.