Por Antonio Ramos, CEO de LEET Security

Como agencia de calificación de seguridad, desde LEET Security estamos percibiendo un claro cambio de tendencia en la relevancia que la ciberseguridad está adquiriendo en el sector asegurador. En particular, en lo relacionado con las denominadas ciber pólizas, que incorporan las coberturas ofrecidas por las compañías para lo que podríamos denominar riesgos ciber.

Este incremento de actividad en el sector está relacionado con una mayor concienciación de las compañías sobre la importancia y la dependencia que tienen las empresas de los sistemas de información. Una cuestión que no viene exenta de retos. En este sentido, uno de los primeros desafíos que nos encontramos es cómo valorar el riesgo de una compañía para calcular el importe de su póliza de manera óptima. Este aspecto es fundamental, porque un precio demasiado elevado dejaría fuera del mercado a muchas compañías y, por el contrario, un precio demasiado bajo, ocasionaría grandes pérdidas para las compañías por selección adversa. 

Desde un punto de vista académico, el riesgo que debe cubrir la póliza ciber sería el riesgo residual (totalmente o en parte) al que estuviera expuesto el asegurado. Este riesgo residual se define como el riesgo inherente de la actividad de la compañía, que es relativamente fácil de determinar por criterios objetivos (actividad, número de clientes y empleados, facturación, etc.), minorado por el nivel de ciberseguridad de las medidas implantadas por dicha organización. Y aquí es dónde surge el problema. ¿Cómo medir el nivel de ciberseguridad de una empresa?

Las soluciones que han adoptado las compañías aseguradoras han sido dos. Por una parte, la elaboración de unos cuestionarios interminables que recogen las medidas de seguridad que la aseguradora desearía que tuviera implementadas su cliente (al igual que ocurre en procesos de Gestión de Riesgos de Terceros, más conocidos por sus siglas en inglés, TPRM). Por otra, la contratación a empresas especializadas de evaluaciones de la visibilidad y el grado de exposición en Internet de sus potenciales clientes.

En el caso de la primera, los inconvenientes son evidentes:

• Complejidad de cumplimentación.
• Multiplicidad de cuestionarios en caso de querer cotizaciones por diferentes aseguradoras.
• Posibilidad de interpretación (disparidad de criterios)
• Y lo que no es menos importante, que el cuestionario permite «saber» si se han implementado esas medidas mínimas, pero no el grado de excelencia en su implementación, por lo que genera una discriminación negativa hacia las empresas que se encuentran más protegidas.

En el caso de la segunda, podríamos pensar a priori que es un mecanismo perfecto, porque permite conocer el nivel de seguridad de esas compañías en Internet. Pero el problema es que la información que proporcionan sólo puede considerarse un indicador, porque no evalúan, en absoluto, la robustez de las medidas de seguridad establecidas. Es como si quisiéramos evaluar las medidas anti-incendios de un edificio contando simplemente con una fotografía del exterior.

Entonces, ¿no hay alternativa? Entendemos que sí.

Desde nuestro punto de vista, la solución es un sistema que permita conocer el nivel de capacidades de ciberseguridad implementadas por una organización en sus sistemas de información, que pueda ser obtenido una sola vez y compartido de manera transparente con todos los grupos de interés que lo requieran; en particular, para el caso que tratamos, las compañías aseguradoras. 

Del mismo modo que todos los inmuebles deben contar con una etiqueta de eficiencia energética, -que mide este concepto de una manera única y fácilmente comprensible para todos los agentes-, también se puede disponer de una etiqueta de ciberseguridad, que muestra el nivel de capacidades implementadas, con un sistema fácil de entender para todos. 

Por ejemplo, en el caso de LEET Security, esa etiqueta muestra tres letras que corresponden cada una de ellas a una dimensión de la seguridad (a saber, confidencialidad, integridad y disponibilidad) y cada una de ellas muestra el nivel alcanzado en dicha dimensión (desde la ‘D’, como nivel más básico, y llegando hasta la ‘A+’). Este sistema ya está siendo utilizado por alguna compañía aseguradora para entender el nivel de riesgo potencial de sus clientes, y otorgando mejores condiciones de asegurablidad a aquellos con mejor calificación, puesto que el nivel de riesgo residual es menor.

Y es que este tipo de etiquetas emitidas por terceros ofrecen un doble beneficio. Por un lado, las compañías aseguradoras pueden ofrecer a sus asegurados una forma sencilla de conocer su nivel de ciberseguridad y, por otro lado, las compañías con estas etiquetas de ciberseguridad también pueden obtener las mejores condiciones posibles en su póliza. Un desafío que puede convertirse en una gran ventaja.