Cubrir o no cubrir el riesgo ‘ciber’: El sesgo a la hora de tomar decisiones
La digitalización aporta muchas ventajas, pero también conlleva algunos riesgos que se deben tener en cuenta. En este post sobre seguridad cibernética, abordamos la conveniencia de contar con una red de seguridad para afrontar posibles incidentes.
Durante los últimos años, y de una manera más específica en los últimos meses, estamos asistiendo a un crecimiento muy relevante de los riesgos asociados a la digitalización, la conectividad y el uso y tratamiento de la información. En definitiva, a todo lo relacionado hoy con la actividad de cualquier empresa.
A la carrera, y casi por imposición, hemos pasado de un entorno de trabajo en el que se compartía solo cierta información, en el que la digitalización era un objetivo de medio plazo mediante planes más o menos ordenados de implementación, a un ecosistema en el que, por supervivencia, toda la información se comparte, se aloja en nubes, se interconecta en cualquier momento y lugar. La conectividad y el teletrabajo son dos claves para entender como la pandemia lo ha cambiado todo.
Riesgos Cibernéticos vs. Riesgos Materiales: Diferencias en la Percepción del Riesgo
Esta ‘nueva realidad’ debería hacernos readaptar la manera en que analizamos los riesgos de las compañías, formulando cuestiones como: cuáles son mis activos estratégicos, cuál es mi situación en términos de seguridad y, sobre todo, cuál es mi plan de continuidad de negocio.
Respondidas todas estas cuestiones, hay una reflexión que se puede trasladar a los clientes en lo relacionado con la toma de decisiones. Solemos, en muchas ocasiones, tomar decisiones pensando en términos de coste y no de aversión al riesgo, para capitalizar un riesgo residual que puede comprometer la viabilidad de un negocio.
En los riesgos materiales tomamos decisiones por defecto, ya que conocemos las amenazas que tenemos —incendio, robo, etc— que nos pueden provocar una serie de pérdidas (tanto materiales como de responsabilidad por daños a terceros). Por este motivo, realizo una inversión en seguridad (muy acotada) para minimizar este riesgo de pérdida y, finalmente, asumiendo que la seguridad al 100% no existe y que, por lo tanto, tengo un riesgo residual, tomo la decisión de transferir ese riesgo al mercado asegurador y me cubro con una póliza multirriesgo.
Sin embargo, ante los ‘riesgos ciber’, actuamos de una manera diferente; bien porque no tenemos interiorizado realmente que es un riesgo tan real o más que el anterior, bien porque pensamos en términos de coste.
El caso es que aquí, conociendo esas amenazas que pueden provocar pérdidas al negocio —implican paralizaciones, sanciones, reputación etc —, realizo una inversión en seguridad, en el mejor de los casos inversiones costosas, eligiendo entre cientos de proveedores con tecnologías diferentes,). En este caso, sin embargo, entiendo que, o no existe riesgo residual una vez hago estas inversiones, o soy consciente del riesgo pero , en este caso me lo quedo, a diferencia de como actúo con el riesgo material.
Cada vez más, simplemente como espectador de la proliferación de la industria de la ciberdelincuencia en un ecosistema digital y de teletrabajo, es necesario readaptar nuestra manera de ver una cobertura ‘ciber’ como un sobrecoste y contemplarla más como una red de seguridad complementaria (no sustitutiva) de las inversiones que puedo realizar en cuestiones de ciberseguridad.
A la hora de abordar los riesgos, la diferencia de percepción entre los riesgos cibernéticos y los materiales es evidente. Mientras que en los riesgos materiales se suelen tomar decisiones por defecto, con los cibernéticos la inversión en seguridad puede resultar más complicada o incluso relegada por consideraciones de coste.
Redefiniendo la cobertura: ¿Un seguro cibernético como complemento o sustituto de la seguridad digital?
En este sentido, siempre puedo poner todas las medidas de seguridad que se consideren necesarias, haciendo inversiones más o menos costosas, eligiendo de entre los muchos proveedores con tecnologías diferentes. Sin embargo, eso no me garantiza que al final tenga que interconectar con proveedores y clientes que no realizan la implementación que yo hago en materia de seguridad y teniendo ahí, por tanto, el riesgo de un incidente que pueda provocar una situación crítica – recordemos que la seguridad al 100% no existe.
En resumen, y haciendo una analogía de la empresa como si fuese un castillo, puedo ponerle murallas, arqueros, catapultas, un foso con agua, cocodrilos en el foso y hasta un mariachi… Pero al final la puerta la tendré que abrir en algún momento. Ahí puedo tener el riesgo, y una vez dentro, una ciberpóliza puede ser la mejor inversión que actúe como red de seguridad.