El ciberriesgo es para todos (Parte 3)

Volvemos con el final de las vacaciones y el final de la serie que iniciamos al principio del verano. Ya tenemos las dos grandes preguntas para evaluar el ciberriesgo: la probabilidad y el impacto que tendría cada riesgo. Si recordamos del primer artículo, teníamos ya los riesgos priorizados de mayor a menor probabilidad y en el segundo les asignamos un impacto esperado en diferentes modelos. Ahora viene la pregunta del millón: ¿qué hacemos con esa información? ¿Cómo la usamos para nuestro beneficio?

Lo primero para lo que nos es útil es para que sepamos dónde tiene sentido invertir en ciberseguridad evaluando los beneficios obtenidos. Por ejemplo, el impacto de un ransomware se había cuantificado en 30.000 € porque era lo que se estimó que costaría un servicio de rescate y recomposición de datos. Pero resulta que, por adquirir un sistema automático de respaldo, ahora el impacto de ese riesgo ha bajado a los tiempos de parada de las máquinas hasta que se restauran, que hemos podido cuantificar en 300 €/h, con unos tiempos esperados de 6 horas (1.800 € es por tanto el impacto asociado ahora a ese riesgo).

Y si hacemos esto con todas las posibles inversiones de seguridad, identificamos lo que en consultoría se conocen como los quick wins, esto es, aquellas inversiones que maximizan la mejora (que más impacto reducen) con el mínimo coste por llevarlas a cabo. Una fórmula que nos permite medir esto de manera sencilla es el ROI (Return Over Investment), esto es, el impacto minimizado por cada euro gastado en esa iniciativa. En el ejemplo anterior del backup, si hemos conseguido una reducción de 28.200 € (30.000 - 1.800 €), tendremos que quitarle el coste del sistema de backup y dividirlo por ese mismo coste para conocer la aportación neta que nos hace cada uno de esos euros de inversión. Pongamos que son 7.000 € en infraestructura y licencias, estaríamos ante un ROI de:

(28.200 - 7.000) / 7.000 = 3,02

Ahora ya podemos hacer esto mismo en el resto y comparar ROI, para invertir nuestro dinero en el que mayor ROI nos ofrezca, pues será el mejor empleo de nuestros recursos económicos.

Pero más importante aún que el punto anterior, es que el ciberriesgo nos ayuda a decidir dónde no invertir. Un servidor, que estudió también economía, aprendió que ésta es la ciencia de la distribución de bienes escasos y finitos entre agentes con necesidades infinitas, lo que requiere de hacer siempre la mejor asignación, la más eficiente. Y lo mismo sucede en el campo de la ciberseguridad. Sabemos de sobra que no contamos con recursos infinitos, de modo que hagamos trabajar los disponibles de la forma más eficiente.

Esto se traduce en cuestiones como que es indiferente que las soluciones de gestión de dispositivos móviles (o MDM por sus siglas en inglés) estén en auge actualmente, si para mi empresa el impacto en móviles es muy bajo o si la probabilidad es casi inexistente; son soluciones o herramientas que me puedo saltar con toda la tranquilidad del mundo. Y, aunque esto pueda parecer tirar piedras sobre mi propio tejado, si tenemos claros estos conceptos, podemos mandar a freír espárragos a todos esos supuestos expertos que nos quieran vender cualquier sistema de ciberseguridad que no nos vaya a aportar valor real a nuestra empresa. No quiere decir que los sistemas no tengan valor añadido, sino que en nuestra empresa no aportan lo mismo que en otras.

Si lo queremos llevar a números, como el ejemplo anterior, estaríamos hablando de nunca invertir en proyectos con ROI menor a 0, pues estaríamos rompiendo el gran principio de la gestión de riesgos: no gastar más en protecciones que lo que supondría la pérdida del activo. Con nuestros ejemplos de los coches sería tan sencillo como pensar en contratar guardias de seguridad y un búnker para evitar que nos roben nuestro SEAT Ibiza, por poner un ejemplo de coche del segmento 1 (más económico). Lo que mi madre, coloquialmente, expresa como: “sale más caro el collar que el perro”.

Pero, curiosamente, cuando luego nos ofrecen soluciones de seguridad de esos llamados “expertos”, no pensamos en estas situaciones con la misma claridad. Si en el ejemplo del sistema anterior de backup nos ofreciesen un sistema cuyo coste superase los 30.000 €, tendríamos que decir no, de la manera más tajante y contundente. Pero es el no haber hecho este ejercicio de riesgos que venimos explicando en estos artículos lo que nos lleva a tomar malas decisiones por desconocimiento.

Como única consideración y advertencia respecto a este tema del ciberriesgo: vemos que no es un simple papel con números, sino que luego tomamos decisiones importantes en base a estos cálculos, llegando incluso a asumir ciertos riesgos o dejar otros sin tratar. Por eso no debe ser un ejercicio puntual, sino que debe ser un ejercicio serio, exhaustivo y recurrente, que debemos revisarlo periódicamente para ver si han cambiado algunas de nuestras asunciones: las probabilidades o cualquier otra cuestión que pueda afectar a los resultados.

Y, con los principales aspectos vistos del ciberriesgo, ponemos fin a esta serie que espero os ayude a empezar esta vuelta de vacaciones con una buena perspectiva de riesgo en vuestras empresas y vida privada. Si alguien tiene alguna inquietud adicional, le invito a que profundice en un último aspecto relevante: el apetito al riesgo empresarial, que ayuda a entender cómo decidir qué riesgos podemos dejar sin tratar y ante cuáles tendríamos que pedir un presupuesto adicional.

¡Nos vemos en el próximo artículo!