Cómo diseñar e implementar estrategias de mitigación y transferencia del ciberriesgo

Una vez realizada la identificación, el análisis y la evaluación de los ciberriesgos, los responsables de su gestión integral (dependiendo del tamaño y madurez de cada organización esta actividad suele ser realizada y/o compartida por alguno de estos roles CISO, CSO, CTO, CRO, RM) deben proceder a aplicar la estrategia de gestión del riesgo más apropiada en cada caso.

Esto es, los ciberriesgos asociados a los sistemas de información (IT) y de operación (OT) deben aceptarse (si la probabilidad y el impacto son bajos), mitigarse (si la probabilidad es alta y el impacto bajo), rechazarse (si la probabilidad y el impacto son altos) o transferirse (si la probabilidad es baja y el impacto es alto).

Dependiendo del apetito al ciberriesgo de la organización y de forma genérica, se suelen llevar a cabo medidas específicas alineadas con las tres primeras estrategias de gestión de riesgos para reducir sus impactos y probabilidades. El riesgo que queda tras la aplicación de estas medidas es lo que se conoce como riesgo residual. La definición y desarrollo de planes, programas y estándares para la gestión de riesgos cibernéticos, alineados con iniciativas ERM; la definición y desarrollo de planes, programas y estándares para la respuesta a incidentes, continuidad y recuperación, alineados con la misión del negocio o el despliegue de proyectos y sistemas para la prevención, detección, respuesta y recuperación son tan sólo algunos ejemplos de iniciativas que permiten reducir el riesgo inicial.

Los ciberseguros, la forma más habitual de transferencia del ciberriesgo

Por otro lado, la forma más común de llevar a cabo la última estrategia, la de transferencia del ciberriesgo, es mediante la contratación de una ciber-póliza de seguros. El objetivo principal de una ciber-póliza es proveer protección ante una amplia gama de incidentes derivados de los riesgos en el ciberespacio (ciberriesgo), el uso de infraestructuras tecnológicas y las actividades desarrolladas en este entorno. Dicho de otra forma, una ciber-póliza debe mitigar los diferentes impactos (que no los riesgos) que se hayan producido por la ocurrencia de distintos incidentes de seguridad.