Cuantificar el ciberriesgo optimiza la toma de decisiones

Share
Por: Patricio Ramón, Socio de Aseguramiento de Riesgos en PwC Ecuador. 

Hoy en día, es común considerar al ciberriesgo como un riesgo a nivel empresarial debido a su   impacto expansivo con afectación a vidas humanas y pérdidas económicas significativas, entre otros. Uno de los principales impactos, sino el mayor, de los ciberriesgos es la afectación a la reputación de una organización y por ende la confianza de los grupos de interés. El impacto reputacional es complejo de cuantificar, sin embargo, tiene efectos como la pérdida de clientes.

Al riesgo, tradicionalmente se lo ha definido por el resultado de combinar el impacto de un evento con la probabilidad de ocurrencia del mismo, sin embargo, en el mundo cyber, la premisa es la incertidumbre y la posibilidad de medir el riesgo con modelos tradicionales, por ejemplo los cualitativos con escalas de alto-medio-bajo, hacen que el resultado sea subjetivo, y al fin de cuentas no represente una herramienta apropiada para tomar decisiones.

Los modelos cualitativos normalmente son usados cuando una empresa recién empieza a evaluar el riesgo cibernético debido a que es posible que no tengan información histórica, ni un esquema de gobierno robusto para poder implementar modelos estadísticos. Si bien se definen escalas para el impacto y la probabilidad donde se asignan valores concretos, por ejemplo, se puede determinar un impacto financiero de acuerdo ciertos rangos o se determina escalas de probabilidad como diario, semanal, mensual, etc., la interpretación de estas escalas puede ser sujeto a diferencias de criterio. Un profesional puede considerar que una potencial ciberamenaza tiene una frecuencia  semanal y otro, definir que sea diario; con esta discrepancia la medición del riesgo variará de forma significativa, por tanto, la necesidad de establecer planes de acción.

Otra aplicación de estas escalas es asignar a la probabilidad, términos como: muy probable, probable, poco probable e inclusive relacionarla a porcentajes de ocurrencia, como del 80% a 100% de las veces, del 60% al 80%, etc., a esta asignación numérica se conoce como escalas ordinales. Sin embargo, la subjetividad prevalece en los modelos cualitativos.

Por lo mencionado anteriormente, una de las principales preocupaciones que tienen los tomadores de decisiones es si las inversiones en ciberseguridad están bien enfocadas y responden a los principales riesgos que enfrenta una organización.  Frente a esta necesidad se debe evolucionar la gestión a medir el ciberriesgo para determinar con mayor precisión, entre otras cosas, el impacto financiero.

Con los modelos cuantitativos, normalmente modelos estadísticos, se puede tener una mayor claridad del impacto real de un riesgo expresado normalmente en valores monetarios, de manera que las decisiones para definir un programa de ciberseguridad estarán mejor sustentadas.

Los modelos cuantitativos de medición del ciberriesgo estiman  de mejor forma el impacto financiero de un evento. Con esa medición del riesgo se pueden establecer programas de ciberseguridad donde se definen los presupuestos de forma eficiente, ya que se conoce con mayor certeza las principales áreas de atención. El plan de inversión será la suma de todas las inversiones a realizar para responder a un evento. Sin embargo, es importante que cuando se materializa un riesgo, existen costos asociados al incidente los cuales suelen ser difíciles de pronosticar como, por ejemplo: demandas de clientes, sanciones de entes de control, pérdida de market share, etc.

En un escenario de madurez, la gestión y cuantificación del ciberriesgo debe estar alineada a la gestión del riesgo empresarial, de forma que se integren sus resultados y los resultados sean consistentes.

La diferencia de cuantificar el ciberriesgo entre una pyme y una gran empresa, radica principalmente en el nivel de madurez de sus procesos de gestión de riesgos, y la disponibilidad de información histórica para implementar modelos cuantitativos en caso de requerirlos. Normalmente las pymes, cuando tienen, manejan esquemas de gestión más simples pero que difícilmente pueden migrar de forma rápida a modelos estadísticos.

En general para la gestión de riesgos cada vez toma mayor fuerza la adopción de herramientas de análisis de datos que permiten procesar grandes volúmenes de información y modelar el riesgo. De ahí existen muchas herramientas principales del tipo GRC, Gobierno, Riesgo y Cumplimiento, que incluye módulos para administración de riesgos que incluyen funcionalidades para su cuantificación.

Existen ciertos factores que pueden aumentar el nivel de ciberriesgo en una organización que va desde los niveles de complejidad de la tecnología, alta dependencia de proveedores, escaza madurez del control interno, hasta dispositivos conectados a la red que no han sido actualizados o carecen de soporte del fabricante. Estos factores son independientes si la organización es una pyme o una empresa grande. Lo óptimo Para tomar medidas para reducir de las ciberamenazas es estructurar un plan de orientado al riesgo de cada organización.

Aspectos mínimos a considerar para definir el ciberriesgo:

  1. Definir una estructura de gobierno donde se definan responsabilidades de la gestión de la ciberseguridad.
  2. Implementar procesos de gestión y respuesta a incidentes.
  3. Implementar procesos de actualización de tecnología, incluyendo parches.
  4. Gestionar el perímetro digital de la organización.
  5. Gestionar la identidad digital.
  6. Monitorear de forma periódica la efectividad de las seguridades, sea a través de auditorías, test de intrusión, herramientas de monitoreo, entre otros.
  7. Capacitar al personal.
  8. Gestionar los proveedores desde la óptica de ciberseguridad.

Además, existen varias formas para evaluar la efectividad de las medidas de seguridad cibernética.

La clave fundamental para medir el riesgo tiene algunas características*

  1. Medición: Determinar cuáles son las variables a medir para la cuantificación del riesgo. Ejemplos típicos son: impacto financiero, frecuencia del evento, efectividad de los controles, etc. Por cada variable se deben establecer las unidades de medición.
  2. Fuentes de datos: Se identifican tres fuentes de información:
    1. Fuentes externas: Información estadística externa, la cual puede ser: i) información a nivel de registro que se refiere a información de incidentes específicos. Esta información es la más confiable. ; ii) Información resumida, la cual está orientada a información general de la industria, por ejemplo promedios de ciertos incidentes en sectores .
    2. Fuentes internas: Se refiere a información generada por la propia organización principalmente en herramientas como SIEM, logs de firewalls, reportes de incidentes, base de tickets de mesa de ayuda, etc.
    3. Información de especialistas: Incluye opiniones, análisis y cualquier información generada por un especialista en ciberseguridad o áreas relacionadas de forma que pueda permitir afinar el análisis de fuentes externas e internas a fin de calibrar los resultados.

La medición finaliza mediante la estructuración de un modelo estadístico. Existen varios modelos reconocidos como: Open FAIR, Simulación de Montecarlo, etc., los cuáles toman los datos obtenidos en las fuentes de información para proyectar el riesgo de un evento de seguridad.

*  Fuente: Cyberrisk Quantification, ISACA 2021.