Transferencia del riesgo mediante pólizas de seguros
Por Francisco Menéndez
Cuando nos enfrentamos a la implantación de un Sistema de Gestión de Seguridad de la Información (SGSI), y ya hemos logrado determinar cuales son los riesgos fundamentales, hemos de decidir de qué manera vamos a actuar contra esos riesgos.
Las diferentes posibilidades de actuación ante un riesgo son:
- Asumir el riesgo: se acepta el riego potencial sin tomar medidas.
- Evitar el riesgo: si la prestación de un servicio supone un gran riesgo, el servicio se deja de prestar.
- Gestionar el riesgo: establecimiento de una serie de controles y contramedidas que permiten mitigar o limitar el riesgo a unos niveles aceptables.
- Transferir el riesgo: se traspasa el riesgo a otra compañía (contrato de outsourcing, póliza de seguro) .
Un modo habitual de transferir el riesgo es cubrirlo mediante un seguro. Esta opción tiene sus ventajas y sus inconvenientes. La ventaja más destacada es que es más sencilla que aplicar y seguramente más económica, ya que nos evitamos la adopción de inversiones, contratación de personal, etc. necesarios si decidiéramos gestionar el riesgo. Por el contrario, la desventaja más clara es que se trata de una medida paliativa, que únicamente se podrá aplicar cuando ya se ha producido el daño y que sólo permitirá recuperar los aspectos económicos. La adopción de un seguro forma parte, por lo tanto, de la estrategia de continuidad de negocio.
La decisión más común es una solución mixta, gestionar el riesgo en aquellos aspectos que la empresa pueda abarcar y donde se cumpla la premisa fundamental de que el coste de la gestión del riesgo nunca debe superar al coste del impacto sobre el negocio que intenta evitar; y un seguro para los riegos no gestionados.
La póliza deberá cubrir varios aspectos de la Seguridad de la Información; y deberá estar dividida en módulos o apartados que permitan adaptarla con facilidad a las diferentes situaciones. Los apartados fundamentales son los siguientes:
- Instalaciones y equipos: cubrirá los daños a las instalaciones de proceso de información y equipamiento correspondiente.
- Recuperación de datos: cubrirá los daños a los medios de almacenamiento y a la información almacenada en ellos, tanto on-line y off-line (en funcionamiento o no) como en tránsito. Las políticas deberán explicitar que toda información que vaya a transitar de un lugar a otro, deberá ser previamente copiada o escaneada (documentación en papel).
- Gastos extra: destinado a cubrir aquellos gastos extras necesarios para restablecer las operaciones. Contratación de personal o compañías especializadas, compra de equipamiento, etc.
- Interrupción del negocio: deberá cubrir la pérdida de beneficios netos producida por la ocasional interrupción momentánea del negocio.
- Valor de la documentación no informatizada: cubrirá por el valor declarado de la documentación no informatizada que se haya quedado dañada o perdida definitivamente.
- Errores y omisiones: deberá cubrir económicamente y con protección legal ante un posible error, omisión o negligencia de un profesional que cause daños a un cliente.
Conviene recordar que los seguros cubren únicamente perdidas financieras. Ante una incidencia de gran magnitud (desastre), además de los aspectos financieros, tendremos que hacer frente a una pérdida de imagen, de prestigio y de confianza.
Únicamente un completo Sistema de Gestión de la Seguridad de la Información, con un adecuado y preciso análisis de riesgos que nos permita establecer un Plan de Continuidad de Negocio, permitirá una respuesta adecuada ante un desastre. Salir airoso de un desastre supondrá el efecto contrario, aumentará nuestro prestigio y generará una gran confianza entre nuestros clientes, socios, etc.
Según los datos que se disponen del año 2005, el 93% de las empresas que perdieron datos cerraron en menos de 5 años.
"El reposo no es el destino del hombre, y la seguridad es sólo una ilusión"
(Blaise Pascal)
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!