Evaluación e impacto financiero de los cíber-riesgos empresariales

Evaluación e impacto financiero de los cíber-riesgos empresariales

Publicado por el 17/04/2018

Compartir

 

“Reputación y generación de valor en el siglo XXI” (LIBRO) por Jorge Cachinero en libros.com

La información de decenas de millones -inicialmente, se dijo que eran 50 y, ahora, parece que se trata de 70- de los usuarios de Facebook (FB) ha sido comprometida.

La reacción inicial de los mercados le costó a FB, durante las primeras 48 horas desde que se conoció este acontecimiento, $50 billions de capitalización bursátil, es decir, el 10% de su valor en el mercado, y, en los días siguientes, grandes clientes publicitarios de FB, como Tesla, cerraron sus cuentas en la red social y cancelaron sus campañas de publicidad en FB.

El fundador y máximo directivo –Chief Executive Officer (CEO), en inglés- de FB, Mark Zuckerberg, tardó casi una semana en hacer declaraciones públicas sobre esta debacle.

Cabría preguntarse si FB, una compañía tecnológica, estaba preparada para hacer frente a este incidente, si era consciente de la dimensión de sus riesgos cíber, si sabe cuál es el valor financiero, en dólares y centavos, de los mismos, o qué podría haber hecho para reducirlos.

El cíber riesgo para las compañías es omnipresente y puede provenir de un número importante de fuentes.

Sin embargo, la realidad es que la mayoría de las compañías no saben realmente cuál podría ser el impacto financiero de sus cíber-riesgos.

Sólo en los Estados Unidos (EE.UU.), el valor financiero de las pérdidas anuales provenientes del cíber-riesgo es superior a los $500 billions: los clientes pierden la confianza, terminan sus transacciones y dejan de hacer negocios con las compañías afectadas y, si están cotizadas, su valor en los mercados se desploma y sus operaciones se ven obstaculizadas porque su reputación como “seguras” queda cuestionada severamente.

Las compañías suelen sufrir cíber-riesgos serios porque no saben exactamente el nivel concreto al que se enfrentan hasta que sufren un impacto de esa naturaleza.

Es como tener sobrepeso.

Todos sabemos que puede causar problemas cardíacos y otras enfermedades, pero, hasta que no sucede algo, esos riesgos son sólo posibilidades borrosas e indefinidas, por mucho que los médicos recuerden que es necesario alimentarse mejor y hacer más ejercicio físico.

De forma análoga, frente al cíber-riesgo, las compañías, en el mejor de los casos, se limitan a recoger un montón de información sobre las vulnerabilidades de sus sistemas de tecnología de la información sin saber, financieramente y desde el punto de vista del negocio, qué significa: ¿el cíber-riesgo de hoy vale, por ejemplo, $1 billion o $500 millones y cómo puede calcularse?

El dinero habla, como recuerda el adagio, y éste es el mejor criterio desde el que debería planificarse una estrategia de identificación y de protección frente al cíber-riesgo.

Cualquier diagnóstico a la altura del estado del arte de la protección de las compañías frente al cíber-riesgo y que sea inteligible para sus más altos ejecutivos debería incluir los siguientes factores: áreas del negocio en riesgo cíber -por ejemplo, la información sobre clientes o sobre consumidores-, principales vulnerabilidades, consecuencias, amenazas, valor del negocio en riesgo, índice de cíber-riesgo, evaluación financiera del cíber-riesgo actual en euros y soluciones frente a dichos riesgos.

Los cíber-riesgos presentan retos y oportunidades para las organizaciones.

Equivocarse en su evaluación correcta o completa puede crear caminos múltiples para que los atacantes cíber puedan comprometer o dañar de forma significativa los modelos de negocio.

Por el contrario, las compañías pueden, con una actitud rigurosa y financieramente cuantitativa, entender dónde se encuentra el cíber-riesgo en cada momento y de qué forma las inversiones en protección cíber impactan en la reducción de la probabilidad de su desencadenamiento.

La ecuación básica que debe guiar el trabajo de protección frente al cíber-riesgo es CVA=R, o

Consecuencias (C) x Vulnerabilidad (V) x Amenaza (A) = Riesgo (R)

El tratamiento virtuoso del cíber-riesgo debe tener en cuenta estos tres factores y debe hacerlo de una forma cualitativa y cuantitativa, a la vez.

Además, el entendimiento correcto del cíber-riesgo, como de cualquier otro riesgo empresarial, operativo o reputacional, es factor directo de la probabilidad de su iniciación.

Determinar dicha probabilidad es básico para una correcta caracterización del riesgo, cíber o no.

En ausencia de probabilidad, las compañías sólo suelen tomar en cuenta la vulnerabilidad ante los ataques potenciales para construir sus mapas de cíber-riesgos.

No es un mal comienzo, pero esa vulnerabilidad no permite calcular correctamente el Return on Investment (ROI) -retorno sobre la inversión, en español- de los cíber-riesgos.

La primera fase en el abordaje correcto de los cíber-riesgos es la de Evaluación.

En esta fase, las compañías deberían plantearse una multitud de preguntas: ¿qué se tiene y cómo es capaz de proteger bien lo que más importa?, ¿cuáles son los niveles de amenazas cíber esperadas y con qué fuerza y con qué frecuencia se pueden manifestar?, ¿cómo se está preparado para responder cuando un cíber ataque ocurra?

En esta primera fase, las compañías, también, deben comprender su biometría organizacional, es decir, deben responder a las siguientes cuestiones: ¿cómo es su red?, ¿existe un mapa de su red actual?, ¿existe una función directiva y un equipo de seguridad dentro de la organización?, ¿tienen éstos alguna limitación para visibilizar completamente dicha red?, ¿con qué facilidad se gestionan los inventarios de activos y la autentificación de identidades?, ¿se conocen todos los intentos previos, exitosos o fallidos, de comprometer a la compañía?, ¿qué se aprendió de los adversarios en sus intentos anteriores y de los objetivos que perseguían?, ¿qué cambios hizo la organización como resultado de aquéllos?, ¿cuál es el nivel de sofisticación de las compañías en el entendimiento de su entorno de amenazas cíber?, ¿son las compañías capaces de caracterizar aquellos grupos de actores mal intencionados que quieren lo que las organizaciones tienen? y, por último, sin afán de ser exhaustivo, ¿qué papel juega toda esta información, en el caso de que exista y haya sido recogida por las compañías, en la definición estratégica de sus planes de negocio?

Esta fase está plagada de preguntas y las anteriores no son más que una pequeña muestra de las que deberían contestarse.

Para ello, es imprescindible la involucración de un espectro amplio de empleados y de departamentos dentro de las compañías.

Los comités ejecutivos de las compañías y los departamentos de legal, de tecnologías de la información, de seguridad, de recursos humanos, de formación y las unidades de negocio deben sumar sinérgicamente sus esfuerzos.

Los consejos de administración -y, dentro de éstos, sus comités de riesgos- tienen un rol crítico en la gobernanza de los cíber-riesgos de las sociedades de las que son sus guardianes.

Todos son decisivos en el proceso de entendimiento de los cíber-riesgos de sus compañías.

Obviamente, toda la información recogida en esta fase es altamente sensible y, por ello, se debe ser extremadamente cuidadoso en su encriptación, una vez compilada, y en la selección y en la restricción estricta de aquellos que puedan tener acceso a la misma.

Al final, el objetivo de esta fase es conocer lo que se tiene, dónde está, quién tiene autoridad sobre ello, quién quiere acceder a estos activos y si éstos están adecuadamente protegidos o si se cuenta con la capacidad para caracterizar este estado de protección de alguna manera.

Este entendimiento básico es el que permitirá que las organizaciones avancen, a continuación, una vez concluida dicha evaluación, a la siguiente fase –Normalización y Configuración Base-, en la que se estructura la información recogida para poder hacer, inmediatamente después, preguntas inteligentes y retadoras sobre ésta.

 

Compartir

ABC.es

El blog de @Jorge_Cachinero © DIARIO ABC, S.L. 2018

Advocacy y Relaciones Gubernamentales globales, IRU @the_IRU | Consejo Científico, Real Instituto Elcano @rielcano | Opiniones personales Más sobre «El blog de @Jorge_Cachinero»

Categorías
Etiquetas
Categorías