La evaluación estratégica del ciberriesgo: un nuevo enfoque para ayudar a la consecución de objetivos empresariales

Para evaluar operativamente el ciberriesgo, las organizaciones pueden optar por llevar a cabo procesos de evaluación del nivel de madurez basadas en estándares como son la ISO 27002 (2013) – Information technology -Security techniques – Code of practice for information security controls o el NIST Cybersecurity Framework v1.1 (2018) – Framework for Improving Critical Infrastructure Cybersecurity, por poner tan sólo algunos ejemplos; o iniciar un proyecto de evaluación y tratamiento de riesgos, utilizando metodologías internacionalmente reconocidas como la ISO 27005 (2014) – Information technology – Security techniques – Information security management risk management, Magerit v3.0, CRAMM, etc.

Procesos de evaluación del nivel de madurez del ciberriesgo: características

La realización de este tipo de ejercicios, absolutamente necesarios para entender en profundidad la exposición al ciberriesgo de las organizaciones se caracterizan por:

• Proporcionar información técnica realizada por y para el personal técnico de la organización. Esta información, muy valiosa para definir un plan director que permita implementar controles para la mitigación del ciberriesgo, en muchas ocasiones, no es entendible por el C-Level al no contextualizarse en la propia operación de la organización. Esto es, en entender cómo influye el ciberriesgo a la normal operación de los procesos esenciales de la organización y como afecta a su cuenta de resultados.
• Enfocar el estudio hacia los controles desplegados (técnicos o procedimentales), en el caso de los procesos de evaluación del nivel de madurez y hacia la enumeración e inventario de los activos existentes, en el caso de los proyectos de evaluación de ciberriesgos. Estos enfoques deberían ser complementados teniendo en cuenta las amenazas existentes y futuras que pueden materializarse en la organización. El ciberriesgo es evolutivo y dinámico, por eso el hecho de poner el foco en las amenazas, y no tanto en los activos (que normalmente son menos variables), permitirá tener un diagnóstico de la exposición al ciberriesgo más fidedigno.
• Facilitar información sobre la valoración realizada de los ciberriesgos (producto de la probabilidad de ocurrencia por el impacto o pérdida) asociada a los activos (sistemas, servidores, aplicaciones, etc.). De nuevo esta información que es muy útil para tratar el ciberriesgo aplicando la estrategia más adecuada (mitigación, transferencia, aceptación o evitación), queda en muchas ocasiones lejos del entendimiento de personas no duchas en este tipo de procesos y que probablemente entenderían mejor una información en la que el hilo conductor fuera, por ejemplo, cómo afecta el ciberriesgo a un determinado proceso, unidad de negocio, entidad, etc.

Desde Willis Towers Watson, creemos que como complemento (o incluso dependiendo del objetivo y alcance del proyecto como sustitución) a este tipo de iniciativas, las organizaciones deben llevar a cabo una evaluación estratégica del ciberriesgo que se caracteriza por:

En la etapa de evaluación de los ciberriesgos

• Definir un conjunto de escenarios de ciberriesgo clave a partir de las amenazas más importantes que afectan actualmente (o que pueden afectar en un futuro) a la organización.
• Establecer rangos de pérdidas (en vez de cifras absolutas) que permitan considerar la inestabilidad y constante evolución y dinamismo de los ciberriesgos.
• Cuantificar las pérdidas, aplicando técnicas estadísticas y modelos estocásticos que permitan entender el “impacto estratégico” que puede tener la ocurrencia de un determinado incidente de ciberseguridad en la organización. Esto es, poder saber qué perdida podría causar la materialización de una amenaza, con rangos de probabilidades inferiores al 10% (por poner tan sólo un ejemplo).

En la etapa de tratamiento de los ciberiesgos

• Facilitar el retorno de inversión (ROI) de las diferentes estrategias que se pueden llevar a cabo reducir la probabilidad y/o impacto de los ciberriesgos. Es decir, conocer qué se está obteniendo al invertir recursos en gestionar los ciberriesgos.

En la etapa de comunicación de los ciberriesgos

• Diseñar entregables que pongan en contexto los valores de las pérdidas esperadas en relación a ratios financieros (como el EBITDA por ejemplo), de manera que de forma intuitiva, se puedan priorizar aquellos escenarios que deben ser tratados con mayor o menor prioridad. En principio, aquellos escenarios que tienen mayor afectación sobre el EBITDA y/o sobre los procesos corporativos, serían aquellos que deberían mitigarse o transferirse de manera prioritaria.

La evaluación estratégica del ciberriesgo aporta valor a los diferentes componentes del C-Level

• A la dirección general visibilidad e información acerca de cómo los ciberriesgos pueden dificultar la consecución de los objetivos estratégicos.
• A la dirección financiera visibilidad sobre cómo los ciberriesgos pueden afectar a la rentabilidad y salud financiera de la organización; y sobre cuál es el ROI de las diferentes estrategias de gestión (mitigación y transferencia).
• A la dirección de operaciones, visibilidad sobre cómo los ciberriesgos pueden afectar a las operaciones de la organización, afectando principalmente al EBITDA.
• A la dirección de riesgos, visibilidad sobre cuáles son los principales ciberriesgos existentes; conocimiento sobre cómo la estrategia de transferencia puede reducir el impacto de un incidente en la organización; e información sobre cómo optimizar límites y primas si ya se ha transferido.
• A la dirección de sistemas y/o seguridad, información sobre la probabilidad y cuantificación del impacto que pueden tener determinados escenarios y un “Business Case” que ayuda a justificar inversiones en proyectos para mitigar el ciberriesgo.

Contacto

---

Fernando Sevillano, Ph.D

Head of Cyber Risk Consulting Western Europe

email Email phone +34 654 519 235

---