¿Puede poner una cantidad en dólares al ciberriesgo de su empresa?

Las ciberfiltraciones son una de las amenazas más probables y caras para las empresas. Sin embargo, pocas empresas pueden cuantificar la magnitud real de su exposición al ciberriesgo, lo que les impide protegerse de forma eficaz.

La mayoría de los directivos se basan en las directrices cualitativas de los «mapas de calor» que describen su vulnerabilidad como «baja» o «alta», basándose en estimaciones vagas que agrupan las pérdidas pequeñas frecuentes y las grandes pérdidas poco frecuentes. Pero este enfoque no ayuda a los gerentes a entender si tienen un problema de 10 millones de dólares o uno de 100 millones de dólares, y mucho menos si deben invertir en defensas contra el malware o en la protección del correo electrónico. Como resultado, las empresas siguen juzgando mal las capacidades de ciberseguridad que deben priorizar y, a menudo, obtienen una protección de seguro de ciberseguridad insuficiente.

Ninguna institución tiene los recursos para eliminar por completo los ciberriesgos. Eso significa que es aún más importante ayudar a las empresas a tomar las decisiones estratégicas correctas con respecto a las amenazas a mitigar. Pero ahora mismo, estas decisiones se toman en función de una comprensión incompleta del coste de las distintas vulnerabilidades. Las organizaciones a menudo no tienen en cuenta todas las posibles repercusiones y no tienen una idea clara de cómo las inversiones en controles reducirán la probabilidad de una amenaza. A menudo no está claro si detienen una amenaza o simplemente reducen su probabilidad y, de ser así, ¿en qué medida?

Es esencial que las empresas desarrollen la capacidad de cuantificar su exposición al ciberriesgo a fin de elaborar estrategias que mitiguen ese riesgo. La pregunta es, ¿es realmente posible poner un signo de dólar a los ciberriesgos que cambian rápidamente con datos que son difíciles de encontrar y, a menudo, incluso más difíciles de interpretar?

Es posible que estimar el coste real de una posible ciberviolación nunca se convierta en una ciencia exacta. La buena noticia es que estamos entendiendo por qué las previsiones de ciberriesgos siguen siendo insuficientes. El principal culpable es que las empresas cuantifican los ciberriesgos de la misma manera que otros riesgos operativos, centrándose exclusivamente en las posibles pérdidas directas de ingresos. Sin embargo, las empresas pueden hacer previsiones mucho más precisas si evalúan los ciberriesgos en función de un conjunto más amplio de pérdidas asociadas a los ciberataques.

Las empresas están mucho más cerca de sopesar adecuadamente cuánto deberían gastar para reducir su ciberriesgo y frenar la ciberdelincuencia si tienen en cuenta estos riesgos desde tres perspectivas: la pérdida de ingresos y pagos auxiliares, las pérdidas de responsabilidad y el daño a la reputación. Una de las razones es que son capaces de captar una de las mayores diferencias entre las ciberamenazas y otros riesgos para su empresa: los ciberataques pueden perjudicar a una empresa aunque el autor no obtenga ningún beneficio más que acceder a información confidencial.

Las pérdidas directas de ingresos para las empresas implicadas en un ciberataque pueden ser casi insignificantes en comparación con el daño a la reputación sufrido, lo que a su vez puede provocar pérdidas de ingresos en el futuro. Por eso es esencial que los directivos cuantifiquen los ciberriesgos de manera más amplia. Se puede hacer y, potencialmente, puede ahorrar a las empresas cientos de miles de millones de dólares cada año.

El primer paso para fijar una cifra en dólares a los ciberriesgos es identificar los activos más importantes de la empresa y sus mayores vulnerabilidades. Los ciberriesgos generalmente se dividen en dos categorías: 1) los que implican el cierre de servicios y 2) los que comprometen la información, desde datos confidenciales hasta secretos corporativos y cuentas bancarias.

Sin embargo, las suposiciones varían considerablemente según la empresa y sus clientes. Por ejemplo, el mayor ciberriesgo de una empresa de servicios públicos podría ser la interrupción de una planta nuclear, mientras que el principal ciberriesgo de una aseguradora de salud puede ser perder datos médicos o que un hacker paralice inesperadamente un equipo quirúrgico crítico. Para otra empresa, el mayor ciberriesgo podría ser la incapacidad abrupta de facturar a los clientes o quizás, en el caso de un banco, un cierre que impida a los clientes recibir el pago.

El desafío, entonces, consiste en crear un modelo de ciberriesgo inteligente y bien diseñado que sea capaz de analizar los posibles escenarios de ingresos directos, responsabilidad y pérdida de marca. Porque cuando se produce un ciberataque, las empresas no solo se ven afectadas por las pérdidas que se producen si los clientes dejan de comprar productos y servicios, sino que también se enfrentan a costes auxiliares relacionados con la solución de su problema, como multas reglamentarias, análisis forenses y costes de consultoría.

Las pérdidas de responsabilidad también entran en juego en los casos en que se accede a datos críticos. Es posible que una empresa necesite ofrecer a los clientes años de medidas correctivas, como ofrecer servicios de supervisión crediticia, junto con honorarios y sanciones legales para resolver varias demandas colectivas. Por último, las empresas deben cuantificar cuánto caerán sus ingresos futuros si un ciberataque dañe su marca.

Para entender los límites superior e inferior de su riesgo, las empresas deben recopilar datos empresariales, operativos y técnicos generales que puedan modelarse en función de los escenarios esperados y peores. Utilizando datos internos y externos relacionados con el estado de sus negocios y operaciones, los gerentes deberían poder predecir sus pérdidas cibernéticas esperadas y máximas en un período de uno a tres años, del mismo modo que pueden pronosticar sus ingresos futuros. También pueden estimar qué porcentaje de sus futuros clientes se marcharán si una interrupción se debe a una ciberviolación, o cuánto podrían verse afectados la valoración y los márgenes de sus acciones si un ciberataque manche su reputación. Las empresas también deberían determinar, en parte a partir de los incidentes del pasado, qué solicitudes corren el mayor riesgo.

Con esta información, es mucho más fácil para los directivos determinar si sus empresas tienen el nivel adecuado de protección contra los ciberriesgos y presupuestar posibles gastos adicionales. Las respuestas a preguntas como cuánto debe invertir la empresa en evaluar el estado de la ciberseguridad de sus proveedores son mucho más claras. O qué precio sería apropiado tener más software de autenticación, dada la probabilidad de que se acceda a los datos críticos.

Los directivos también pueden sopesar si deberían invertir en una mayor formación de los empleados y los proveedores o en más controles técnicos para supervisar las posibles ciberinfracciones. En algunos casos, los directivos pueden incluso descubrir que invertir en una nueva línea de productos puede o no valer la pena, dados los ciberriesgos que implica.

Cuantificar los ciberriesgos es un desafío, pero factible, y no puede darse el lujo de no hacerlo. La mayoría de las empresas tienen los conocimientos técnicos y un conocimiento lo suficientemente claro de los riesgos que implica como para ayudar a los directivos a evaluar las desventajas que implica la mitigación de los ciberriesgos con un margen de error mucho menor que en el pasado. Lo que se necesita ahora es el liderazgo de los directivos para priorizar la necesidad de entender mejor cuánto tienen que gastar para reducir sus ciberriesgos y detener la ciberdelincuencia.