23/09/2019

El ABC de la ciberseguridad

El presupuesto medio que las empresas dedican a ciberseguridad se ha duplicado desde el 2012. Sin embargo, Latinoamérica se encuentra atrasada en relación con los índices mundiales. En esta nota redactada por la empresa socia Alfa technologies, nos hablan de la importancia de cómo y por qué se debe invertir en ciberseguridad.

Los ataques cibernéticos a las empresas ocurren constantemente. La mayoría no se conoce públicamente, especialmente cuando se trata de extorsiones (Ramsonware) o de espionaje comercial.

Desde el año 2012, el presupuesto medio que las empresas dedican a ciberseguridad en el mundo prácticamente se ha duplicado, pasando de 2,8 a 5,1 millones de dólares. Si bien lo anterior refleja el crecimiento en inversión a nivel mundial, Latinoamérica se encuentra abiertamente atrasada en relación a los índices relevantes de inversión en ciberseguridad. Así, el Global Cybersecurity Index realizado por la International Telecommunications Union (ITU) indica que los mejores posicionados en América Latina son México (57), y Brasil (67), en tanto Chile se encuentra en el lugar 55, después de Perú (51) y Colombia (52).

Los últimos ataques a bancos e instituciones financieras en Chile han generado un efecto de interés y preocupación mayor por la implementación de medidas relativas a la ciberseguridad.

A diferencia de los ataques que se perpetran sobre los estados, particularmente aquellos perpetrados a nivel físico, tales como corte de cables de fibra submarinos, ataques a PITs, etc., el mundo privado, se ve más expuesto a ataques a nivel lógico, bien sea a protocolos como BGP hijacking, DNS hijacking o a software, como un malware que ataca una infraestructura o área específica de la organización y que afecta su normal funcionamiento o bien puede incluso perder datos sensibles de carácter comercial, como estrategias de ventas o bases de cliente que impactarán directamente en su negocio.

Finalmente, no faltan los ataques a los teléfonos móviles que son los menos conocidos, pero no los menos probables.

 

Midiendo la inversión en ciberseguridad

Un ambiente razonablemente seguro debe permitir que la información esté disponible cuando sea requerida, solo para usuarios que deban acceder a la información y que sea modificada por usuarios autorizados.

Es posible determinar cuál es el retorno que tendrá la inversión en ciberseguridad para la empresa, lo que ayuda a convencer a los responsables de autorizar inversiones que tienden a percibir estos costos como un gasto realizado sobre “intangibles”.

Según el método ROSI por sus siglas en inglés, Return On Security Invesment -que traducido sería Retorno de la Inversión en Seguridad de la Información-, se deben efectuar ciertos requerimientos previos antes de realizar el cálculo que nos entregue la tasa de retorno de inversión en seguridad: identificar los activos de información, identificar las amenazas y vulnerabilidades que éstos puedan presentar, y valorar los activos de información que se desean proteger a través de la inversión en ciberseguridad.

El análisis puede efectuarse a corto plazo (lapso de 1 año), mediano plazo (2 a 5 años) o largo plazo (de 5 años en adelante).

Establecidos los riesgos, se debe considerar el impacto que tendrían dentro de la operatividad de la empresa en cifras monetarias: costo por hora del personal afectado, costo por hora del personal necesario para la recuperación del sistema afectado, costo de pérdida de productividad por hora de inactividad, costos por posibles daños a terceros, costos de recuperación de equipos.

Lo anterior nos entrega el denominado costo unitario de impacto (CUI), para cada riesgo, lo que analizado junto al número de ocurrencias anuales (NOA), sirve para poder cuantificar efectivamente el problema.

 

Rango CUI (Dólares) - Criticidad CUI

0 – 100 Menor

101 – 200 Aceptable

201 – 300 Inaceptable

> 300 Catastrófica

 

El análisis nos entregará el valor que es relevante para el cálculo del ROSI, esto es el Costo de Recuperación de Impacto Anual (CRIA), que representa el valor monetario de recuperación de los daños causados por la materialización de una amenaza, en el periodo de un año para cada uno de los riesgos, la que viene dado por la fórmula CRIA = CUIA ~ NOA.

Obtenido el resultado, se puede calcular el ROSI, restando al valor de la inversión, el valor del CRIA y si el resultado da positivo, la inversión ha sido retornada en términos de ahorro a la empresa.

En caso de ser negativo, significa que para el primer año la inversión aún no es retornada y se debe continuar iterando el cálculo para determinar el tiempo que llevará obtener los resultados esperados, es decir, como se indicó, el retorno puede ser a corto, mediano o largo plazo.

 

 

Juan Pablo López M.

Gerente Ciberlegal de la empresa socia Alfa Technologies

¿DUDAS O CONSULTAS?
CONTÁCTANOS

Escríbenos y te contactaremos a la brevedad.