Transferencia del riesgo mediante pólizas de seguro
Anuncio
104 Perspectiva Empresarial Transferencia del riesgo mediante pólizas de seguro ALGUNAS COMPAÑÍAS DE SEGUROS HAN COMENZADO A COMERCIALIZAR PRODUCTOS DISEÑADOS PARA LOS RIESGOS DERIVADOS DE LA SEGURIDAD DE LA INFORMACIÓN riesgo. Se establecen una serie de puede optar por traspasar el riesgo a Francisco Menéndez Piñera controles y contramedidas que otra compañía (contrato de permitan mitigar o limitar el riesgo a outsourcing, póliza de seguro) AUDITOR/IMPLANTADOR SGSI unos niveles aceptables para la CONTEIN XXI GRUPO SIGEA empresa. La decisión más común es una Transferir el riesgo: ante ciertos solución mixta: por un lado, gestionar riesgos difíciles de gestionar y/o con el riesgo en aquellos aspectos que la poca probabilidad de ocurrencia, se empresa pueda abarcar y donde se cumpla la premisa fundamental de que el coste de la gestión del riesgo C uando nos enfrentamos a la implantación de un Sistema de Gestión de Seguridad de la Información (SGSI), y ya hemos logrado identificar cuales son los riesgos fundamentales a los que se encuentra sometida nuestra información y su impacto en el negocio, hemos de decidir de qué manera vamos a actuar contra esos riesgos. Las diferentes posibilidades de Se trata de una medida paliativa que sólo permitirá recuperar, en parte, los aspectos económicos del desastre nunca debe superar al coste del impacto sobre el negocio que intenta evitar; y, por otro, transferir aquellos otros riesgos que no estemos en condiciones de gestionar. Un modo habitual de transferir el riesgo es cubrirlo mediante un seguro. Esta opción tiene sus ventajas y sus inconvenientes. La ventaja más destacada es que es más sencilla de aplicar y seguramente más económica, actuación ante un riesgo son: ya que nos evitamos la adopción de Asumir el riesgo: se acepta el riesgo inversiones, contratación de personal, potencial sin tomar medidas. Esta formación, etc. necesarios si opción únicamente puede ser decidiéramos gestionar el riesgo. Por considerada cuando la probabilidad de el contrario, la desventaja más ocurrencia es mínima, tendiendo, a evidente es que se trata de una nula y/o el coste de las contramedidas medida paliativa, que únicamente se sea superior al del posible impacto de pondrá en funcionamiento cuando ya la incidencia sobre el negocio. se haya producido la incidencia; y que Evitar el riesgo: si la prestación de sólo permitirá recuperar, en parte, los un servicio supone un gran riesgo, el aspectos económicos del desastre. servicio se deja de prestar. Mal asunto La adopción de un seguro forma si nuestro negocio se basara parte, por lo tanto, de la estrategia fundamentalmente en este servicio. de continuidad de negocio. Se suele Gestionar el riesgo: esta es la decir que Gestión de la Continuidad manera habitual de actuar contra un del Negocio es un concepto que nº 17 diciembre 2007 106 Perspectiva Empresarial sustituye al, utilizado anteriormente, Plan de Recuperación de Desastres; de hecho mucha gente piensa que son sinónimos. En realidad, no se trata de una mera sustitución de vocablos, sino de una evolución del concepto motivada por una mayor amplitud de miras. El concepto inglés Business Continuity Management (BCM) es traducido habitualmente como Gestión de la Continuidad del Negocio; sin embargo, también se suele traducir, de manera más acertada en mi opinión, como Estrategia de Continuidad del Negocio. Esta estrategia se compone de una serie de elementos que, posteriormente se implantan, se someten a pruebas y se mejoran. Estos elementos son: Definir la política de continuidad del negocio No es fácil encontrar pólizas de LOPD, incluso entre personas Alineamiento con el resto de seguros que cubran los riesgos relacionadas con las Tecnologías de la políticas de la empresa relacionados con la seguridad de la Información). Realizar el análisis de impacto en el información. Desde luego, no se negocio (BIA) puede acudir a la primera compañía Sin embargo, últimamente algunas compañías de seguros han Realizar un análisis de riesgos comenzado a comercializar algunos específico del BCM productos específicamente diseñados Identificar y evaluar las opciones para reducir el riesgo Identificar y evaluar las actividades de misión crítica Desarrollar los planes y procedimientos de gestión de crisis Desarrollar los planes y procedimientos de recuperación de negocio para los riesgos derivados de la Ante un desastre, afrontarlo adecuadamente y salir airoso, tendrá efectos muy positivos en la compañía seguridad de la información. Es un terreno complejo, donde intervienen muchos elementos y muchas variables, algunas de ellas de difícil valoración. De todas formas, sí podemos llegar a definir algunos puntos esenciales a la hora de negociar una póliza de este tipo. La De esta forma, los planes de póliza deberá cubrir varios aspectos recuperación de desastres (o planes de la Seguridad de la Información; y de contingencia) han pasado a ser un de seguros que se nos ocurra con una deberá estar dividida en módulos o subconjunto de la Estrategia de embajada de este tipo. Los agentes apartados que permitan adaptarla Continuidad del Negocio. Como se de seguros, la inmensa mayoría, no con facilidad a las diferentes puede ver, tampoco es correcta, están preparados para entender situaciones. Incluso, se puede aunque sí bastante gráfica, la asuntos relacionados con el riesgo considerar la opción de contratar socorrida sentencia de que el plan de asociado con la seguridad de la pólizas independientes para cada continuidad del negocio es la suma información; y en el mejor de los apartado y a compañías de seguros de los planes de contingencia. Debe casos, nos contestarán que sí, que ya distintas. Los apartados haber algo más, una estrategia, han contratado seguros relacionados fundamentales son los siguientes: alineada con la general de la con la LOPD para algunos clientes. Instalaciones y equipos: cubrirá empresa, que dirija todo el proceso (Por cierto, me sigue sorprendiendo la los posibles daños a las instalaciones de gestión de la continuidad del cantidad de gente para los que de proceso de información y negocio. seguridad de la información equivale a equipamiento correspondiente. nº 17 diciembre 2007 107 Perspectiva Empresarial prestigio y de confianza que, aún no habiendo sufrido importantes pérdidas económicas, puede llevar a la desaparición de la empresa en el medio plazo. Únicamente un completo Sistema de Gestión de la Seguridad de la Información, con una política de seguridad de la información, un preciso análisis de riesgos que nos permita establecer una serie de controles adecuados para gestionar la seguridad de dicha información y una Estrategia de Continuidad de Negocio, podrá proporcionar un mínimo de seguridad ante un posible desastre. En el caso de llegar a sufrir un desastre, afrontarlo adecuadamente y salir airoso, a pesar del fuerte impacto inicial, tendrá efectos muy positivos en la compañía, aumentará nuestro prestigio, la empresa saldrá reforzada y generará una gran confianza entre nuestros clientes, socios, opinión Recuperación de datos: cubrirá pública, etc. La empresa se convertirá los daños a los medios de almacenamiento y a la información almacenada en ellos, tanto on-line y off-line (en funcionamiento o no) como en tránsito. Las políticas deberán explicitar que toda información que vaya a transitar de un lugar a otro, deberá ser en un ejemplo a seguir y conseguirá La adopción de un seguro forma parte de la estrategia de continuidad de negocio previamente copiada o escaneada la mejor campaña de imagen posible. Continuamente aparecen estadísticas que reflejan lo poco que duran las empresas que han sufrido una pérdida grave de información. Según los datos que se disponen del año 2005, el 93% de las empresas que perdieron datos importantes, (documentación en papel). cerraron en menos de 5 años. Gastos extra: destinado a cubrir Actos fraudulentos: ocasionados, aquellos gastos extras necesarios para la mayor parte de las veces, por en que la opción de afrontar ciertos restablecer las operaciones. personal propio. riesgos mediante una póliza de seguro Contratación de personal o compañías Daños a terceros: deberá cubrir, es una buena opción, siempre y especializadas, compra de jurídica y económicamente, ante un cuando sea complementaria a la equipamiento, etc. posible error, omisión o negligencia gestión del riesgo. No creo que me Interrupción del negocio: deberá que cause daños a un tercero, ya sea cueste mucho convencerles de las cubrir la pérdida de beneficios netos persona física o jurídica. ventajas de las medidas preventivas producida por la ocasional interrupción momentánea del negocio. Para finalizar, me gustaría insistir (gestión) sobre las paliativas (seguro), Conviene recordar que los seguros aunque es ésta una lección que la Valor de la documentación no cubren únicamente pérdidas historia demuestra que al género informatizada: cubrirá por el valor financieras, y nunca al 100%. Ante humano le cuesta aprender. declarado de la documentación no una incidencia de gran magnitud informatizada que haya quedado (desastre), además de los aspectos dañada o se haya perdido financieros, tendremos que hacer hombre, y la seguridad es sólo una definitivamente. frente a una pérdida de imagen, de ilusión” Blaise Pascal. “El reposo no es el destino del nº 17 diciembre 2007
