Edson Villar, LAC Cyber Risk Consulting Leader de Marsh Rehder y Asociados
[06/05/2019] ¿Qué hacer ante los daños causados por un ciberataque? Antes lo único que se podía hacer era simplemente remediar los daños y -aprendiendo la lección- prepararse para que no ocurra de nuevo. Ahora existen instrumentos sofisticados que nos ayudan incluso con los daños financieros que pueden causar estos ataques: las pólizas.
Efectivamente, de la misma forma en que uno puede asegurar un bien tangible, ahora las organizaciones pueden asegurarse contra los daños causados por los ciberataques. De hecho, como nos contó Edson Villar, LAC Cyber Risk Consulting Leader de Marsh Rehder y Asociados, no es lo único que las compañías dedicadas a la gestión del ciber riesgo pueden hacer; ellas también pueden asesorar a las firmas sobre las medidas y las mejores prácticas que se pueden realizar antes de que ocurra el ataque para mitigar sus efectos.
Sobre las pólizas y sobre la gestión del ciber riesgo en general conversamos con este ejecutivo.
¿Cuáles son los orígenes de la compañía?
Marsh ya tiene varios años en Perú viendo la parte de transferencia de riesgo, originalmente como Rehder, luego como Marsh Rehder; y la práctica de ciberseguridad, o gestión de riesgos en general, ya lleva algunos años. De hecho, nació como una práctica global, posteriormente tuvo un posicionamiento regional, y desde el año pasado ya venimos específicamente viendo los temas de ciberseguridad y gestión de ciberriesgo como práctica dedicada en la región.
¿Qué representa la ciberseguridad?
En general, cuando hablamos de ciberseguridad como tal, la enfocamos en todo el ciclo de vida de una organización; de hecho, voy a citar un framework que es muy conocido, que básicamente dice que tienes que identificar los riesgos -si los riesgos están asociados a terceros, y tienes que identificar cuáles son tus activos críticos. Lo siguiente es poner todas las medidas de protección adecuadas; y hasta ahí normalmente las organizaciones pensaban que llegaba la seguridad hasta hace unos años.
Lo que nos dicen las experiencias de los ataques y las buenas prácticas, es que uno no se puede quedar solo en esos dos momentos, aparecen otros. El tercero, que es la detección, implica que uno tiene que tener capacidades para detectar cuándo puede estar ocurriendo un ciberataque, además uno debe tener las capacidades para responder a un ciberataque, y tener las capacidades para recuperarse de los efectos generados por ese ciberataque.
Y como la compañía va evolucionando entonces tienes que volver a hacer todo el ciclo.
Nosotros hablamos no tanto de ciberseguridad sino de la gestión del ciber riesgo. El ciber riesgo es básicamente todo el riesgo que se genera por el uso de las tecnologías. Entonces, por más medidas que se pongan en la organización es muy difícil que nunca le ocurra un ciberataque o que no sea víctima de la materialización de estos riesgos. Entonces, hablamos de la identificación de los activos críticos, de la definición de un apetito de riesgo (es decir, hasta dónde la compañía se siente tranquila de sufrir un ataque) y de la definición de cuánto es el monto adecuado que puedo permitir en un ataque a la organización. También engloba los temas relacionados con la evaluación de las amenazas, las vulnerabilidades y los riesgos que se pueden tener.
Es después que se ingresa a un tema más estratégico: la cuantificación, es decir, cuánto me puede llegar a costar en términos financieros un ciberataque. Ese tema ya le da un peso más cuantitativo a la gestión de riesgos.
El siguiente punto es definir una estrategia para gestionar los riesgos a los que puede estar expuesta la compañía. Y cuando hablamos de eso básicamente hablamos de evitarlos dejando de utilizar una nueva tecnología -lo cual normalmente no ocurre porque las organizaciones tienen que seguir evolucionando-, asumirlos si es que están dentro de tu apetito de riesgo, mitigarlos a través de las implementaciones de controles y estrategias, o transferirlos a través de una póliza de seguros, que también es parte de la oferta de Marsh.
¿Las cuantificaciones son el paso previo a las pólizas?
Son por dos motivos. El primero y principal: para definir una adecuada estrategia de ciberseguridad, ya que no sería una buena práctica implementar un control que quizás supere a la pérdida máxima que se pueda tener. Y, segundo, efectivamente, la cuantificación también es una herramienta para que luego se pueda identificar el nivel de la póliza que se va a contratar.
¿Cuál es el nivel de preocupación de las empresas por tener una póliza?
En general, la situación en América Latina es similar. Lo veíamos en el Global Risk Report, dentro de las principales preocupaciones de los países más interconectados y avanzados, los ciberataques se encuentran en la punta de los riesgos; sin embargo, en América Latina los tenemos un poco más atrás. A pesar de ello, hay algunas empresas que sí están muy preocupadas y realizan inversiones muy grandes en torno a la ciberseguridad. En general, el tema de la gestión de los ciber riesgos aún no ha sido atacado por muchas empresas, pero poco a poco vamos viendo que va creciendo el interés en las compañías.
El tema del seguro es una opción que efectivamente muchas organizaciones no habían considerado, pero poco a poco estas ofertas -que también van mejorando en el tiempo- van generando mayor interés en las empresas de toda la región y del Perú.
¿Qué es lo que las empresas quieren asegurar?
El año pasado publicamos el último informe de una encuesta que nosotros hacemos sobre ciberseguridad a nivel global y en él, a nivel global y latinoamericano, lo que se aprecia es que la mayor preocupación que tienen las organizaciones -desde el punto de vista de los efectos de un ciberataque- era la interrupción de sus operaciones. De hecho, el 75% de las empresas encuestadas en el mundo dijeron que su preocupación mayor frente a un ciberataque era la interrupción de sus operaciones.
¿Cómo interviene Marsh en la interrupción de las operaciones?
Nosotros lo que tenemos es servicios que están enfocados en ayudar al cliente de punta a punta. En principio, tenemos servicios que están relacionados con la consultoría; es decir, ayudar a la organización a prevenir que este tipo de situaciones ocurran, mediante la implementación de estrategias y buenas prácticas alrededor de la organización.
Pero también tenemos un componente en el que hacemos que la empresa esté preparada para enfrentar un ciberataque. La ayudamos a preparar los planes de respuesta ante los ciberincidentes, planes de gestión de cibercrisis, y también hacemos simulaciones en las que las organizaciones van a ver qué tan preparadas están si mañana sufrieran un ciberataque.
Otro de nuestros tracks en la gestión del riesgo es la póliza de seguros. Las pólizas hoy ya ofrecen algunos servicios que van a ayudar en el momento de una crisis, realizar análisis forense y establecer la estrategia de gestión de la cibercrisis.
Y luego de que se ha sufrido una brecha de seguridad significativa, lo que hacemos es ayudar al cliente a recuperar sus operaciones, a recuperar lo que puede haber sido afectado.
¿La póliza paga por la interrupción de las operaciones?
También lo hace, devuelve el dinero que la organización pueda haber perdido por el lucro cesante debido a un ataque; pero, dependiendo del programa, también le va a acompañar en el momento de la crisis, lo cual es importante porque hay muchas empresas que aún no tienen las capacidades para responder a una cibercrisis en la actualidad.
Jose Antonio Trujillo, CIO Perú