Las infracciones cibernéticas son una de las amenazas más probables y costosas para las corporaciones. Sin embargo, pocas empresas pueden cuantificar cuán grande es realmente su exposición al riesgo cibernético, impidiéndoles protegerse eficazmente a sí mismas.
La mayoría de los gerentes se basan en la orientación cualitativa de los «mapas de calor» que describen su vulnerabilidad como «baja» o «alta» basada en estimaciones vagas que agrupan pérdidas pequeñas frecuentes y raras pérdidas grandes. Pero este enfoque no ayuda a los gerentes a entender si tienen un problema de $10 millones o uno de $100 millones, y mucho menos si deben invertir en defensas de malware o protección de correo electrónico. Como resultado, las empresas siguen juzgando erróneamente qué capacidades de ciberseguridad deben priorizar y, a menudo, obtener una protección insuficiente del seguro de ciberseguridad.
Ninguna institución tiene los recursos necesarios para eliminar completamente los riesgos cibernéticos. Esto significa ayudar a las empresas a tomar las decisiones estratégicas correctas con respecto a qué amenazas mitigar es aún más importante. Pero en este momento, estas decisiones se toman en base a una comprensión incompleta del costo de las diversas vulnerabilidades. Las organizaciones a menudo no toman en cuenta todas las posibles repercusiones y tienen una comprensión débil de cómo las inversiones en controles reducirán la probabilidad de una amenaza. A menudo no está claro si están deteniendo una amenaza o simplemente disminuyendo su probabilidad, y si es así, ¿en cuánto?
Es esencial que las empresas desarrollen la capacidad de cuantificar su exposición al riesgo cibernético con el fin de formar estrategias para mitigar ese riesgo. La pregunta es, ¿es realmente posible poner un signo de dólar en los riesgos cibernéticos que cambian rápidamente con datos que son difíciles de encontrar y a menudo más difíciles de interpretar?
Estimar el verdadero costo de una posible brecha cibernética nunca puede convertirse en una ciencia exacta. La buena noticia es que nuestra comprensión de por qué los pronósticos de riesgo cibernético siguen siendo cortos está mejorando. El principal culpable es que las empresas cuantifican los riesgos cibernéticos de la misma manera que otros riesgos operativos, centrándose estrictamente en las posibles pérdidas directas de ingresos. Pero las empresas pueden hacer pronósticos mucho más precisos si evalúan los riesgos cibernéticos en un conjunto más amplio de pérdidas asociadas con los ciberataques.
Las empresas se acercan mucho más a ponderar adecuadamente cuánto deberían gastar para reducir su riesgo cibernético y frenar la ciberdelincuencia cuando consideran estos riesgos desde tres perspectivas: ingresos no autorizados y pagos auxiliares, pérdidas de responsabilidad y daños a la reputación. Una de las razones de esto es que son capaces de capturar una de las mayores diferencias entre ciberamenazas y otros riesgos para su negocio: los ciberataques pueden dañar a una empresa incluso si no hay ganancia para el perpetrador que no sea el acceso a información confidencial.
Las pérdidas directas de ingresos para las empresas involucradas en un ciberataque pueden ser casi insignificantes en comparación con los daños a la reputación sufridos, lo que a su vez puede conducir a pérdidas futuras de ingresos. Es por ello que es esencial que los gestores cuantifiquen los riesgos cibernéticos de manera más amplia. Se puede hacer, y potencialmente puede ahorrar a las empresas cientos de miles de millones de dólares cada año.
El primer paso para poner una cifra en dólares sobre los riesgos cibernéticos es identificar los activos más importantes de su empresa y sus mayores vulnerabilidades. Los riesgos cibernéticos generalmente se dividen en dos categorías: 1) los que implican el cierre de los servicios, y 2) los que comprometen la información, que van desde datos confidenciales, hasta secretos corporativos, hasta cuentas bancarias.
Pero las suposiciones difieren mucho dependiendo de una empresa y sus clientes. Por ejemplo, el mayor riesgo cibernético de una empresa de servicios públicos podría ser una interrupción de la planta nuclear, mientras que el mayor riesgo cibernético de una aseguradora de salud puede ser perder datos médicos o hacer que un hacker paralizara inesperadamente equipos quirúrgicos críticos. Para otro negocio, el mayor riesgo cibernético podría ser la abrupta incapacidad de facturar a los clientes, o tal vez, en el caso de un banco, un cierre que impide que los clientes reciran el pago.
El reto entonces es crear un modelo inteligente, bien diseñado y de riesgo cibernético que pueda analizar posibles escenarios de ingresos directos, pasivos y pérdidas de marca. Porque cuando ocurre un ciberataque, las empresas se ven afectadas no solo por pérdidas resultantes de clientes que dejan de comprar productos y servicios, sino que también se enfrentan a costos auxiliares relacionados con la solución de su problema, como multas regulatorias, análisis forense y costos de consultoría.
Las pérdidas de responsabilidad también entran en juego en los casos en que se accede a datos críticos. Una empresa puede necesitar proporcionar a los clientes años de remediación, como ofrecer servicios de monitoreo de crédito, junto con honorarios legales y sanciones para resolver múltiples demandas colectivas. Finalmente, las empresas deben cuantificar cuánto caerán sus ingresos futuros si un ciberataque ha dañado su marca.
Para comprender los límites superiores e inferiores de su riesgo, las empresas deben recopilar datos generales de negocios, operativos y técnicos que puedan modelarse con los escenarios esperados y en el peor de los casos. Utilizando datos internos y externos relacionados con el estado de su negocio y operaciones, los gerentes deben poder predecir sus pérdidas cibernéticas esperadas y máximas en un período de uno a tres años, de la misma manera que pueden predecir sus ingresos futuros. También pueden estimar qué porcentaje de sus futuros clientes se marcharán si una interrupción resulta de una brecha cibernética, o cuánto podrían sufrir su valoración de acciones y márgenes si un ciberataque mancha su reputación. Las empresas también deben juzgar, en parte de incidentes pasados, cuáles son las solicitudes que corren el mayor riesgo.
Con esta información, es mucho más fácil para los gerentes juzgar si sus empresas tienen el nivel adecuado de protección contra el riesgo cibernético y presupuestar los posibles gastos adicionales. Las respuestas a preguntas como cuánto debe invertir la empresa en evaluar el estado de la ciberseguridad de sus proveedores se vuelven mucho más claras. O a qué costo más software de autenticación es apropiado dada la probabilidad de que se acceda a datos críticos.
Los gerentes también pueden ponderar si deben invertir en más capacitación de empleados y proveedores o en controles más técnicos para monitorear posibles infracciones cibernéticas. En algunos casos, los gerentes pueden incluso descubrir que invertir en una nueva línea de productos puede, o no, valer la pena, dados los riesgos cibernéticos implicados.
Cuantificar los riesgos cibernéticos es un reto, pero factible, y no puede permitirse no hacerlo. La mayoría de las empresas tienen los conocimientos técnicos y una comprensión suficientemente fuerte de los riesgos implicados como para ayudar a los gerentes a evaluar las compensaciones implicadas en la mitigación de los riesgos cibernéticos con un margen de error mucho menor que en el pasado. Lo que se necesita ahora es el liderazgo de los gerentes para priorizar la necesidad de obtener una mejor comprensión de cuánto necesitan gastar para frenar sus riesgos cibernéticos y poner fin a la ciberdelincuencia.
