El ciberriesgo es para todos (Parte 2)

Volvemos un mes más para ver la segunda pregunta de nuestra serie del ciberriesgo para todos: ¿Qué impacto o daño tendría si se materializase? Si os perdisteis el artículo anterior, lo podéis encontrar aquí. Esta segunda pregunta sí que comienza a ser más compleja que la cuestión de la probabilidad, pero también es algo que nosotros mismos podemos estimar, de modo que no debemos tener miedo. Podemos emplear un modelo de ayuda basado en tres preguntas sencillas: ¿Qué supondría para mi negocio que el activo o la información se filtrase? ¿Y que no estuviese disponible? ¿Y que se perdiese y no fuese recuperable? Los más avezados de vosotros ya estaréis viendo, en estas preguntas, representada la tríada de seguridad de la información (confidencialidad - integridad - disponibilidad).

Seguiremos empleando el ejemplo del vehículo que ya utilizamos en el artículo anterior. Así, que un coche se filtre no es posible, por lo que ese ejemplo no lo veremos, pero ya podemos empezar a imaginar el impacto que tendría que perdiese las llaves del coche (disponibilidad) o que el coche se rompa y no lo pueda emplear (integridad). Y, sin embargo, seguro que alguno de vosotros se imagina estas dos situaciones y piensa: “bueno, lo malo que sea este impacto depende de las circunstancias”.

¡Y ésa es la clave fundamental! Un mismo riesgo no nos genera el mismo impacto en todo momento, sino que el impacto cambia con multitud de circunstancias diferentes: que pierda las llaves del coche no es crítico si tengo un segundo juego (salvo que piense que alguien pueda usar las llaves perdidas para robarme el coche); que el coche no esté siempre disponible no es crítico, salvo que llegue el momento de ir al hospital o hacer un desplazamiento a mi lugar de trabajo y justo se rompa; o vemos que no es lo mismo que el coche tenga un fallo crítico cuando tiene 12 años y ya venía sospechando que pasaría a que se me rompa con un mes de uso y justo cuando estaba en pleno viaje de vacaciones.

En la ciberseguridad, esto no es diferente: si justo se filtra la información clave del último contrato que estamos negociando y sobre el que tenemos cláusulas de confidencialidad, sería un desastre (eso ya nos da una idea de lo que en ciberseguridad llamamos niveles de clasificación de la información); que la información fiscal y contable no esté disponible no es crítico salvo que estemos en junio y deba proceder a entregar esa documentación sin falta ese fin de semana para hacer el cierre del año fiscal; que justo me falle mi único disco duro nuevo y pierda toda la información que no tenía replicada en ningún otro sitio.

Como vemos, en cualquiera de los casos, el impacto, finalmente, tiene varias vertientes: una económica, en forma de costes directos de reemplazo, de reparación, de búsqueda de elementos alternativos, etc; otra vertiente reputacional, que nos puede acarrear pérdidas de negocio futuras al vincularse el nombre de la empresa a un incidente de seguridad; una más temporal, en términos de tiempo y esfuerzo que hay que dedicar para todas estas gestiones y para intentar recuperar tanto como sea posible, etc; y otra legal, por potenciales sanciones que deriven del incidente como sanciones legales, incumplimiento y rescisión de contratos, etc.

Muchos de estos costes se trasladan directamente en dinero (máxime cuando además son situaciones de emergencia donde se incurre en sobrecostes por tener que ejecutar las tareas con máxima urgencia y prioridad), pero hay otros que nosotros mismos somos conscientes de que existen y no son tan medibles: el factor de estrés que genera la situación o el coste de oportunidad futuro (posibilidades de negocio presentes en el corto o largo plazo que dejan de estar disponibles a causa del incidente) que puede generar el incidente en nuestro negocio, o en nuestra vida si somos particulares.

Es la suma de todas estas vertientes y factores lo que nos da un impacto final de un determinado riesgo. Por lo tanto, el ejercicio a acometer sería: de todo el listado de posibilidades que hayáis elaborado, fruto del artículo anterior (esa lista priorizada en orden de probabilidad que teníamos), empezad a pensar en estas vertientes, proyectad esa situación como si hubiese pasado y pensad cada uno de los impactos que hemos comentado.

¿Y cómo fijamos un impacto si hemos hablado que depende de las situaciones? Pues esa es la segunda clave: depende de nosotros, de nuestra tolerancia al riesgo (apetito de riesgo). Para cada riesgo, vamos a pensar que hay tres escenarios: escenario optimista, pesimista y realista. Esto, llevado a uno de los ejemplos, el robo del coche por ejemplo, se traduciría en lo siguiente: me roban el coche un día que no lo necesito (me toca hacer llamadas pero no impacta mi transporte) sería el escenario optimista; me roban el coche un día típico (me impactan en los desplazamientos habituales al trabajo, recoger hijos, etc.) sería el escenario realista; o me roban el coche el día que iba a salir de viaje, justo cuando voy a salir a la entrevista de mi vida o mientras estoy viajando en otro país, como escenario pesimista (los costes de esto son ya casi inabarcables). Pues dependerá de nuestro carácter (nuestro apetito al riesgo que decimos los profesionales de riesgos) el decir: voy a ser optimista/pesimista/realista y considero el mejor/peor/realista de los escenarios y me preparo para ése.

Por lo tanto, ahora ya sé cómo de probables son los riesgos y el impacto que pueden ocasionar a mi negocio pero, ¿qué hago con esta información? ¿Cómo lo aprovecho en beneficio de mi compañía, en mejorar la seguridad de mis activos para prevenir que eso pase? Pues, queridos lectores, ésa será la lectura ligera con la que os obsequiaré el mes que viene. ¡Nos vemos entonces!