The Cyber Loop
Un modelo para una ciberresiliencia persistente
Unir a las partes interesadas independientemente de su función, para tomar mejores decisiones sobre el ciberriesgo.
The Cyber Loop
Un modelo para una ciberresiliencia persistente
Unir a las partes interesadas independientemente de su función, para tomar mejores decisiones sobre el ciberriesgo.
Descargar el informeNo hay nada lineal en la ciberseguridad
Los responsables de negocio y de sistemas de las empresas están sometidos a una presión cada vez mayor para maximizar el retorno de la inversión en seguridad (ROSI) en un entorno empresarial y de riesgo cada vez más complejo.
No hay nada lineal en la ciberseguridad
Los responsables de negocio y de sistemas de las empresas están sometidos a una presión cada vez mayor para maximizar el retorno de la inversión en seguridad (ROSI) en un entorno empresarial y de riesgo cada vez más complejo.
El modelo Cyber Loop reconoce que cada organización comenzará el proceso desde un punto diferente: evaluar, mitigar, transferir o recuperar. Una vez dentro del loop, las empresas se convierten en participantes informados en la gestión de riesgos, comprometidos con la revisión continua, la mejora y la inversión en seguridad - guiados por los datos.
¿Conoces el coste total del riesgo cibernético para tu organización?
¿Tienes acceso a datos y herramientas de modelización financiera para medir el retorno de inversión en ciberseguridad (ROSI) de tu organización?
El Cyber Loop
Un modelo para una ciberresiliencia persistente
Evaluar
Información cuantificable para tomar las mejores decisiones.
Comprender cómo los controles de seguridad afectan directamente a la exposición de la cuenta de resultados. El enfoque de Aon para la evaluación es fundamental para tomar las mejores decisiones estratégicas para gestionar el riesgo cibernético. Mediante el desarrollo de escenarios de riesgo cuantificados y la evaluación de la eficacia del control con respecto a estos modelos de pérdida, las empresas pueden decidir rápidamente cómo asignar mejor el presupuesto para maximizar la resiliencia.
Preguntas a las que hay que dar respuesta:
- ¿Dónde es dependiente la empresa de la accesibilidad y disponibilidad de la tecnología, los servicios y los datos?
- ¿Estamos preparados para un evento cibernético? ¿Cuáles son nuestros principales riesgos y qué determina esta exposición?
- ¿Cuál es el potencial impacto financiero de los principales riesgos cibernéticos? ¿Cómo presentamos los impactos financieros a los ejecutivos y al consejo de administración para facilitar una mejor gobernanza e inversión en seguridad?
- ¿Cuál es la madurez de nuestra seguridad y controles, y cómo se alinea con el panorama de riesgos y las necesidades del negocio? ¿Cómo podemos demostrar la eficacia de la aplicación de los controles actuales?
- ¿Cuál es el siguiente paso dentro del Cyber Loop? ¿Mitigar? ¿Transferir?
- ¿Dónde invertimos el presupuesto limitado para obtener el máximo rendimiento? ¿Cómo demonstramos el retorno de la inversión en seguridad (ROSI)?
Recuperar
Mitigar
Construir la resiliencia y minimizar el impacto.
Utilizar controles de seguridad específicos y normas industriales medibles para mejorar la madurez de la seguridad, reducir la exposición y minimizar el impacto financiero de los principales riesgos cibernéticos. El enfoque de Aon para la mitigación cubre la brecha entre la comprensión del riesgo técnico de una vulnerabilidad identificada y la exposición financiera relacionada, de modo que una organización puede tomar decisiones informadas sobre el riesgo para implementar cambios, o correcciones, y maximizar el ROSI.
Preguntas a las que hay que dar respuesta
- ¿Son nuestros controles adecuados y proporcionados al ciberriesgo?
- ¿Son nuestros controles apropiados para permitir de forma segura, el riesgo asociado a nuestra visión del negocio?
- ¿Disponemos de las tecnologías, políticas y estrategias de gobierno adecuadas?
- ¿Cómo reduciremos la exposición en tiempos de cambio, por ejemplo, un nuevo modelo de negocio, socio o tecnología?
- ¿Estamos aprovechando al máximo nuestras inversiones en personal, procesos y tecnología?
- Con un presupuesto limitado, ¿Qué procesos pueden aportar un valor adicional en mejoras en las primas y la cobertura de los seguros?
Transferir
Proteger tu balance.
Aprovecha las soluciones de transferencia de riesgos significativas y genuinas para proteger el balance. El enfoque de Aon para la transferencia ayuda a las empresas a identificar y cuantificar la máxima pérdida cibernética probable, para permitir a las partes interesadas más senior, entender la magnitud de la pérdida potencial. Con este conocimiento, las empresas pueden tomar decisiones sobre el apetito de riesgo y los niveles adecuados de transferencia de riesgo.
Preguntas a las que hay que dar respuesta
- ¿Cuánto riesgo estamos dispuestos a soportar?
- ¿Dónde invertimos el presupuesto de seguridad para obtener la máxima protección del balance?
- ¿En qué se diferencia el mercado de ciber de los seguros tradicionales? ¿Qué debemos saber?
- ¿Qué vehículos de transferencia y soluciones de capital alternativos están disponibles, por ejemplo, cautivas, células? ¿Qué otras alternativas hay accesibles fuera de nuestra región?
- ¿Estamos preparados para abordar el mercado de los seguros? Si no es así, ¿qué datos hay que recopilar?
- ¿Qué datos necesitamos incluir para presentar una solicitud de seguro que garantice una póliza ciber?
Recuperar
Impulsar la recuperación de pérdidas operativas y financieras.
Recibir una respuesta experta, a medida, para la empresa tras un evento cibernético. El enfoque de Aon para la recuperación abarca la respuesta experta y rápida a los incidentes, pero va más allá y comprende la necesidad de cuantificar eficazmente el impacto y gestionar las reclamaciones de terceros y el rembolso de la pérdida del seguro. Esto garantiza la máxima recuperación posible de los costes y ayuda a las empresas a alcanzar una posición neutral de cashflow.
Preguntas a las que hay que dar respuesta
- ¿Tenemos un plan de respuesta a incidentes y de recuperación de desastres?
- ¿Qué expertos contrataremos en caso de infracción? ¿Están aprobados estos expertos por las aseguradoras?
- ¿Tenemos protocolos comunes para la respuesta a incidentes, la gestión de crisis y la continuidad del negocio?
- ¿Conocemos las coberturas que operan en nuestras pólizas que pueden responder a un evento cibernético?
- En la crisis inmediata, ¿quién nos asesorará sobre cómo proteger mejor nuestros intereses en relación con la reclamación al seguro?
- ¿Quién presentará las pérdidas, incluida la cuantificación del impacto de la interrupción de la actividad en toda la organización?
- ¿Quién gestionará el proceso de reclamación y dirigirá el siniestro para lograr una recuperación exitosa de la pérdida en virtud de la póliza?
Ocho medidas que tu organización puede adoptar hoy para reforzar la estrategia de ciberseguridad
Revisar los planes de continuidad de negocio y de recuperación de desastres (BCDR) para asegurarse de que tienen en cuenta las ciberamenazas y que se prueban periódicamente.
Evaluar las vulnerabilidades.Esto permite a las organizaciones presupuestar y abordar estratégicamente las áreas críticas.
Revisar la gobernanza, los controles, las funciones y las responsabilidades y desarrollar barreras de protección para evitar los ataques de ransomware.
Cuantificar las pérdidas financieras asociadas a un incidente, una brecha o una interrupción.
Particpar en simulacros de brechas y ejercicios de simulación para poner a prueba la preparación ante incidentes.
Comprobar las protecciones contractuales y hacer que se revisen todas las pólizas de seguro, para asegurarse de que la organización está cubierta frente a las pérdidas financieras derivadas de una brecha.
Utilizar de forma proactiva la inteligencia sobre amenazas para vigilar las tácticas, técnicas y procedimientos (TTPs) de los ciberatacantes
Nunca pierdas de vista la estrategia del Cyber Loop.
Las empresas acceden en el Ciber Loop para lograr una resiliencia persistente. Las partes interesadas se reúnen para evaluar su situación en el ciclo.
Se toman mejores decisiones sobre el riesgo cibernético.
Un caso concreto
Explora ejemplos de casos haciendo clic en los puntos del Cyber Loop que aparecen a continuación.
- Evaluar
- Mitigar
- Transferir
- Recuperar
Un caso concreto
Explora ejemplos de casos haciendo clic en los puntos del Cyber Loop que aparecen a continuación.
- Evaluar
- Mitigar
- Transferir
- Recuperar
Punto de acceso:
Evaluar
Rechazo de una renovación de la póliza: cómo un contratiempo marcó el inicio de un proceso de Cyber Loop
Una organización presenta lo que cree que es una simple solicitud de renovación del ciberseguro sólo para recibirla devuelta firmada: Rechazada.
¿Por qué? La superficie de ataque se ha extendido desde la típica venta al por menor hasta la fabricación, que implica actividades operativas (OT) y la influencia de la economía digital.
- Entra en el Loop en la evaluación. Tras identificar las necesidades críticas, el distribuidor entra en la mitigación, para transferir con éxito el riesgo y renovar su póliza.
- No es el final del proceso. Reconoce la necesidad de un análisis de impacto cibernético, para asegurarse de que la transferencia de riesgos actua,l refleja la exposición al riesgo Ciber.
- Mejoras recomendadas y cuantificación del ROSI. Entra de nuevo en la transferencia.
Punto de acceso:
Mitigar
Los miembros del C-Suite buscan garantías: ¿Es sólida nuestra estrategia de gestión del riesgo Ciber?
Aunque se había implementado una estrategia de mitigación, esta organización no estaba segura de haber minimizado la superficie de ataque lo más máximo posible.
¿Por qué? El panorama de las amenazas es dinámico y el riesgo de interrupción de negocio y de pérdidas financieras va en aumento.
- Entender el modelo de ciberseguridad Kill Chain para identificar las vulnerabilidades y detener los ataques.
- En colaboración con el equipo interno, creó un registro de riesgos y un programa de pruebas de seguridad basado en la aplicación de capas de control.
- Se ha convertido en un programa plurianual de revisión del ciclo, con mitigatión y evaluación dinámicas y continuas.
- Mitigar
- Evaluar
- Mitigar
- Transferir
Punto de acceso:
Transferir
Un riesgo demasiado grande: El cambiante panorama tecnológico es un factor de alarma en el mercado de seguros tradicionales.
Una empresa que analizó el potencial coste de un evento cibernético de impacto. Preocupada, la empresa hizo una solicitud de contratación de una póliza de Ciber: Rechazada.
¿Por qué? Los controles de mitigación no demostraban que tuvieran una política de seguridad fuerte.
- Colaboró para entender la postura actual e identificar los requisitos clave del mercado.
- Basó su inversión en la tecnología y en el negocio, incluyendo su plan estratégico a futuro.
- Utilización de modelos basados en escenarios para desplegar herramientas, desarrollar procesos y reforzar la postura.
- Póliza de ciber cotizada y emitida.
- Transferir
- Mitigar
- Transferir
Punto de acceso:
Recuperar
La crisis de Daybreak: El ataque de ransomware se extiende rápidamente y afecta a la cuenta de resultados y a la reputación
Una empresa de gestión de viajes líder en el mundo sufre un ataque de ransomware. Los efectos se extienden a todas las áreas del negocio, con ramificaciones en o desde actores externos, incluyendo reguladores, inversores y clientes.
¿Por qué? Los eventos cibernéticos dan lugar a un incremento de costes y a un daño irreparable a la reputación, mucho después de que se produzca el compromiso.
- El CEO apoya para ayudar al equipo de seguridad interna a responder al ataque y a recuperarse completamente de él.
- El equipo de tecnología forense y el equipo de IR ayudan a restaurar los sistemas, a enfrentarse a los atacantes y restablecer el funcionamiento normal de las operaciones.
- La organización entró después en el Cyber Loop con un programa de evaluación y mitigación de riesgos cibernéticos.
- Recuperar
- Evaluar
- Mitigar
Es hora de convertirse en un protagonista en la gestión del riesgo.
Para comprender la perspectiva de “The Cyber Loop”, es fundamental que las partes interesadas -en toda la empresa - se reúnan para evaluar dónde se encuentran en la estrategia circular de la ciberresiliencia. Aprovechar el valor de los datos para tomar mejores decisiones.