“EL POSEEDOR DEL BOLETO VOLUNTARIAMENTE ASUME TODOS LOS RIESGOS Y PELIGROS INCIDETALES DEL EVENTO QUE CORRESPONDE, YA SEA QUE OCURRAN ANTES, DURANTE O DESPUÉS DEL EVENTO. EL POSEEDOR DEL BOLETO ESTÁ DE ACUERDO EN QUE LA GERENCIA, LAS INSTALACIONES, LA LIGA, LOS PARTICIPANTES, LOS CLUBES, LA EMPRESA QUE EMITE EL BOLETO Y TODOS LOS AGENTES RESPECTIVOS, OFICIALES, DIRECTORES, DUEÑOS Y TODOS LOS EMPLEADOS ESTÁN EXPRESAMENTE EXIMIDOS POR EL POSEEDOR DEL BOLETO DE CUALQUIER RECLAMO O DEMANDA DERIVADA DE DICHAS CAUSAS.”

Al ver la leyenda anterior en un boleto de un partido de futbol, me quedé sorprendida y a la vez me expliqué muchas cosas que a veces uno se pregunta en estos eventos. Por ejemplo, en un concierto, ¿cuántos accidentes pueden pasar?, desde la caída de una grada hasta un ataque terrorista, pasando por infinidad de imprevistos como inundaciones, incendios, temblores, etcétera ¿Cómo puede una empresa atreverse a realizar un evento con toda la potencial carga, tanto económica como de imagen, que puede resultar de un riesgo? No habría seguro que cubriera el 100% de las posibilidades y las combinaciones para indemnizar a los afectados o, en su caso, sería incosteable.

La salida más inteligente es la transferencia del riesgo: en el caso del partido de futbol, la empresa organizadora claramente declara en el boleto que no se hace responsable de ningún riesgo. Trasladando esta situación a la seguridad de la información, tenemos aquí un instrumento que pocas veces utilizamos cuando se trata de riesgos.

Los informes de análisis de riesgos, diagnósticos o auditorías tienden en la mayoría de los casos a tratar de emitir recomendaciones para mitigar todos los riesgos. Suponemos de inicio que el cliente está dispuesto a mitigar todos los riesgos, sin antes pensar ni valorar que hay otras opciones. Recordemos cuáles alternativas existen para el manejo del riesgo:

  • Aceptar el riesgo. Se aplica cuando el control es más caro que la materialización del riesgo. El clásico ejemplo: sale más caro guardar un billete de 100 dólares en una caja de seguridad que cuesta  200 dólares, por lo que puedo vivir con el riesgo de perder el billete, suponiendo que la caja fuera el único control viable
    para protegerlo.
  • Eliminar el riesgo. Se elimina el activo y por tanto el riesgo. Esta solución es la más radical pero puede funcionar en algunos casos. Por ejemplo, la asociación de colonos que lucha por la cancelación del permiso de una gasolinera en la colonia.
  • Mitigar el riesgo. Es la implementación de controles para minimizar la probabilidad de que el riesgo se materialice o bien, que el impacto sea menor.  Dentro de esta opción también se encuentran los controles compensatorios y disuasivos. Los controles compensatorios son soluciones parciales y temporales que se emplean mientras el control definitivo se implementa, mientras que los disuasivos detienen a los individuos de perpetrar un hecho por el simple hecho de existir, por ejemplo, una cámara en el cajero automático.
  • Transferir o compartir el riesgo. Mediante acuerdos con terceros, se deslinda parcial o totalmente del riesgo. El caso más recurrido son los seguros.

En este artículo nos centraremos en la opción de transferir el riesgo, que suele ser la menos recurrida de las opciones; lo veremos a través de casos específicos:

Escenario 1

En el sistema bancario se emiten tokens a los clientes para que realicen sus transacciones a través de los portales vía Internet.

  • Riesgo: que un cuentahabiente mal intencionado alegue transferencias ilegítimas, debido al robo o extravío de su token.
  • Transferencia del riesgo: cuando se entrega el token al cuentahabiente, el banco le pide firmar una responsiva en la que le transfiere todo el riesgo por su uso. El cuentahabiente está obligado a notificar al banco la pérdida del dispositivo, y solo a partir de la notificación es que el usuario no es responsable de las transacciones efectuadas.

Escenario 2

Las fórmulas o patentes en una industria especializada están clasificadas como supersecretas y cuentan con
altísimos niveles de seguridad.

  • Riesgo: algún empleado molesto por determinada situación laboral y que conoce en detalle las fórmulas (need-to-know) puede divulgarlas o modificar un procedimiento de ejecución.
  • Transferencia del riesgo: la empresa cuenta con una póliza de seguro para el caso de violación a la confidencialidad;  además los empleados que tienen acceso a las fórmulas han firmado una cláusula de responsabilidad por divulgación no autorizada, en la que la penalización puede ir hasta la rescisión del contrato o incluso otras acciones legales.

Escenario 3

Una compañía de servicios no cuenta con un plan de continuidad de negocios porque en caso de caída de servicios informáticos la operación puede mantenerse de forma manual sin afectar a sus clientes finales. Sin embargo por razones de cumplimiento de algunas regulaciones, requieren un plan de continuidad de negocios (BCP, por sus siglas en inglés).

  • Riesgo: incumplimiento regulatorio.
  • Transferencia del riesgo: la empresa subcontrata los servicios informáticos, incluyendo que el tercero se responsabilice por contar con un BCP comprobable ante las autoridades.

Escenario 4

Una empresa de desarrollo de sistemas ha comercializado un programa que consolida y emite información de estados financieros a través de Internet.

  • Riesgo: la información de los estados financieros podría ser interceptada por terceros en la red.
  • Transferencia del riesgo: en la adquisición del software, la licencia claramente asienta que la empresa no se hace responsable por el uso del software en medios inseguros y que el comprador deslinda al desarrollador de cualquier responsabilidad por la divulgación no autorizada de su información confidencial.

Escenario 5

Cierta organización requiere operar 7×24, para ello su plan de recuperación de desastres (DRP, por sus siglas en inglés) demanda el traslado de sus servicios en caso de una emergencia a otras instalaciones, sin embargo, no cuenta con un presupuesto para tener un hot-site disponible todo el tiempo.

  • Riesgo: ante un siniestro, no podría restablecer su servicio 7×24.
  • Transferencia del riesgo: se asocia con uno o varios competidores del ramo y, en conjunto, contratan un servicio de hot-site para compartir el costo y transferir el riesgo al proveedor del sitio, con quien firman un contrato con estrictos niveles de servicio.

Escenario 6

Un proveedor de Internet ofrece el servicio de correo electrónico a sus usuarios.

  • Riesgo: el usuario puede perder todos sus correos y datos importantes que tenga almacenados con el proveedor.
  • Transferencia del riesgo: el proveedor hacer responsable al usuario de realizar una copia de seguridad de los datos que almacene en el servicio y declara que si el servicio se suspende o cancela, pueden eliminar sus datos de los servidores del proveedor de forma permanente.

.

En fin, los ejemplos pueden ser innumerables para ilustrar cuál es el espíritu de transferir el riesgo. El mensaje principal es que a la hora de construir un plan de tratamiento de riesgos hay que ser creativos y buscar alternativas de transferencia del riesgo, que incluyen no sólo la transferencia al usuario final del servicio, sino también a terceros especializados, a empresas de seguros, a aliados y a otras entidades que permitan a la empresa concentrarse en su negocio y tener controlados aquellos riesgos que no desea mitigar o que serían muy costosos.

..

[email protected]