La medición del retorno de la inversión (ROI) en ciberseguridad es un asunto recurrente para los departamentos de seguridad informática y los CISO. Ante una amenaza que algunos consideran como una mera hipótesis, ¿cómo se pueden contabilizar gastos que no son hipotéticos? Y, lo más importante, ¿puede cambiarse la forma en que la gente piensa realmente? Así, se pasa de un paradigma cuyo foco es evitar costos a un modelo que promueve las inversiones.
Como dijo el CISO de una empresa líder en la industria de la aviación: "hemos estado tratando de identificar los posibles riesgos y daños y la probable ocurrencia de ciberataques durante los últimos quince años, para no perdernos con las inversiones de seguridad necesarias". Sin embargo, a veces son difíciles de justificar y, de este modo, algunas empresas sólo hacen cambios drásticos en sus estrategias una vez que se ha producido el primer ataque.
Las cuestiones relativas a la eficiencia y la rentabilidad de los gastos de seguridad son, en efecto, cuestiones recurrentes. Ya hablemos del ROI o del ROSI (Return On Security Investment), la pregunta se plantea de la siguiente manera: ¿cómo se vincula un gasto real con una amenaza imprevisible? ¿Y se puede persuadir a los directores ejecutivos de que las inversiones no productivas son necesarias, es decir, que no ayudan directamente a las empresas a ganar dinero mediante la generación de ingresos cada vez mayores? La creciente cobertura mediática de los incidentes de seguridad, sin embargo, pone este tema en la agenda.
Evitar costos: un paradigma excesivamente restrictivo
Es innegable que los niveles de madurez de los Comités Ejecutivos han mejorado en cuanto a la comprensión de los riesgos ciber en los últimos años. En la mayoría de los casos, la creciente concienciación ha dado lugar a importantes aumentos en los presupuestos asignados a los departamentos de seguridad informática.
No obstante, muchos CISOs revelan que sus directivos les piden cuentas regularmente, y están sujetos a revisar sus presupuestos a la baja. "De hecho, hemos visto cómo los presupuestos de algunas empresas se han estancado en los últimos meses", dijo Benjamin Leroux, Director de Marketing e Innovación de Advens, una empresa especializada en ciberseguridad.
A menudo es complicado para un CISO demostrar el beneficio de los gastos en seguridad, ya que el paradigma que prevalece sigue siendo el de evitar costes. Así pues, es preferible explicar que los gastos de protección permitieron evitar la pérdida de X millones de euros, en lugar de decir que ganaron Y millones con su implemenytación. O, como dijo Ian Schenkel, vicepresidente de EMEA de Flashpoint: "Es más bien como vender seguros: Los CISO deben tratar de poner un valor a lo que no ha sucedido – las brechas y disrupciones que su estrategia prevendrá".
Sin embargo, la evaluación de los costos de un ciberataque puede resultar muy compleja. Ya sea en términos del rescate a pagar y/o de las interrupciones en las operaciones, los impactos pueden servir como puntos de referencia, siempre que se utilice la escala apropiada. Según el informe del 2019 de la compañía de seguros Hiscox, el costo medio de los ciber-incidentes para una pequeña empresa se estima en 14.000 euros. Esta cantidad debe compararse con las cantidades declaradas por empresas como Demant, uno de los principales fabricantes de audífonos del mundo, que prevé una pérdida de 95 millones de dólares a raíz del ransomware que afectó a sus instalaciones de producción y distribución en Polonia, México, Francia y Dinamarca. O Eurofins Scientific, que perdió 75 millones de euros debido a otro ransomware. Estos ejemplos ofrecen una gran cantidad de información mientras que, aún según el informe Hiscox, el coste generado por todos los ciber-incidentes es de una media de 110.000 euros.
Junto con este impacto financiero, deben tenerse en cuenta las posibles sanciones regulatorias. En efecto, a nivel europeo, el RGPD ha impuesto multas en porcentaje del volumen de negocios (4% del volumen de negocios mundial) a todas las empresas que han sido negligentes en la protección de los datos que tratan. En julio de 2019, British Airways se enfrentó a una importante multa tras una fuga de datos.
Pero algunos otros costos son difíciles de evaluar, cuando se trata de la interrupción de la actividad. "Hay incidentes para los cuales las evaluaciones fluctúan considerablemente. Por ejemplo: ¿cuál es el costo de una hora de indisponibilidad de un sitio de comercio electrónico durante el período de ventas, después de un ataque DDoS?", dice Benjamin Leroux. "Además, no hay que olvidar los costos indirectos, ni el impacto de un ciberataque sobre la imagen de una marca".
Además de estos cálculos ya complejos, hay que tener en cuenta dos aspectos. El primer aspecto es que las soluciones de ciberseguridad suelen ofrecer soluciones que no son puramente ciber. Por ejemplo, un cortafuegos ofrece gestión de la calidad de servicio, filtrado de URL y gestión de múltiples enlaces, y por lo tanto proporciona una mejor conectividad para los usos más importantes. En una línea similar, las características de SSL VPN o IPsec VPN ofrecen la oportunidad de implementar el teletrabajo o el mantenimiento a distancia. Y esto puede aumentar la productividad. En términos generales, la adición de una capa de ciberseguridad puede ayudar a modernizar algunas prácticas que solían requerir la presencia de seres humanos. El segundo aspecto se refiere a las licitaciones, es decir, a los grandes compradores, en las que las medidas relativas a la seguridad informática esbozadas por los licitadores ocupan un lugar privilegiado, o incluso son ahora el criterio de decisión. La ciberseguridad puede entonces convertirse en un elemento diferenciador entre una empresa y sus competidores.
Evaluación de riesgos: un ejercicio multifacético
En un momento en el que cada vez más personas subrayan el papel esencial que desempeña la ciber-resiliencia, debemos tener en cuenta que, la mayoría de las veces, la cuestión no es si su empresa será atacada, sino más bien cuándo se producirá el ciberataque. Si la evaluación de los costos de un ciberataque que (todavía) no se ha producido es un ejercicio teórico, esto último, sin embargo, se convierte cada vez más en una realidad operativa. La actualidad de la ciberseguridad está llena de numerosos ejemplos. Y en nuestro barómetro de 2019 sobre la ciberseguridad, mostramos que el 48% de las empresas preguntadas habían sido objeto de uno o varios ciberataques en los últimos meses.
Por último, explicar por qué es complejo calcular el retorno de la inversión en seguridad informática implica tener en cuenta el hecho de que nuestro sector es aún joven y, sobre todo, poco conocido. Sólo tenemos una pequeña retrospectiva y no tenemos suficientes datos fiables para implementar modelos robustos.
Por otra parte, la difusión (a menudo alimentada por los medios de comunicación) pone de relieve los grandes casos en los que los costes alcanzan varios centenares de millones de euros, aunque sólo son la punta del iceberg. Por el contrario, muchas PYMES especialmente expuestas, como recientemente la empresa francesa Lise Charmel, que entró en suspensión de pagos, se muestran reacias a proporcionar las cantidades debidas a ataques de los que fueron víctimas. La opacidad en nuestro sector hace, por lo tanto, que el cálculo de las estimaciones sea aún más difícil.
El ABC del enfoque del riesgo
A pesar de los obstáculos mencionados anteriormente, existen soluciones. La ANSSI (Agencia Nacional de Ciberseguridad de Francia), por ejemplo, ha desarrollado el método EBIOS de gestión de riesgos para ayudar a las organizaciones a identificar y comprender los riesgos que les son específicos. "El objetivo es desarraigar los elementos irracionales del análisis de riesgos convencional, que se basa principalmente en estimaciones", subraya Benjamin Leroux. "En este método, se enumera cada tipo de ataque, caracterizado según su impacto y asociado a un coste. De este modo, es posible poner en marcha un plan de gestión de riesgos (programas antivirus, cortafuegos, campañas de sensibilización, organización, etc.) que puede ser realmente evaluado". Así pues, el análisis en términos de ROI puede realizarse quitando el importe a invertir de las pérdidas previstas.
Una vez realizado el cálculo, es esencial medir la eficacia del plan de gestión de riesgos, con una lógica de control. En esta etapa surge otra dificultad: si he puesto en práctica una solución para detectar un incidente, pero no ocurre nada, ¿es porque no se produjo ningún incidente o porque mi solución no fue eficaz? Aunque los informes o los frecuentes cuadros de gestión sobre los intentos de ataque proporcionan parte de la respuesta, todavía existen dudas. "En estos casos, las empresas realizan auditorías y pueden pedir a los pentesters que realicen tests de penetración para comprobar la eficacia", explica Benjamin Leroux. Pero, una vez más, es difícil demostrar realmente la rentabilidad de las inversiones ciber, ya que estos tests de penetración no permiten a las empresas ganar dinero en el sentido estricto del término.
Por último, en el enfoque convencional del riesgo, también es importante racionalizar las medidas de protección. Un nuevo reto al que hay que hacer frente en materia de ciberseguridad, ya que se trata de optimizar la ciber-mezcla sin dejar de lado el principio de pluralidad y el principio de la tecnología de doble barrera. Y esto no es nada fácil.
Para dar un salto cualitativo en la ciberseguridad
Sin embargo, existe un modo alternativo, es decir, un modelo en el que la promoción de las inversiones en ciberseguridad puede ayudar a ganar dinero. "Últimamente, el banco Société Générale ha puesto en marcha OPPENS, un servicio de asesoramiento en seguridad destinado a las empresas muy pequeñas/PYMEs", señala Benjamin Leroux. ¿Para qué? Para vender el know-how desarrollado en casa a las empresas con el fin de promover estas inversiones. Otro caso paradigmático en Francia: la Imprimerie Nationale, la imprenta oficial que hace todos los pasaportes y documentos de identidad. En 2018, implementaron la aplicación INWallet, una solución para proteger las identidades digitales. "En ambos ejemplos, la venta de servicios de ciberseguridad permite ampliar los servicios que prestan y, por lo tanto, ganar dinero", continúa.
A medio camino entre el análisis de riesgos y la racionalización de las medidas de protección, la medición del ROI en ciberseguridad es compleja, pero más esencial que nunca. Lo que vemos que se está produciendo es la necesidad de cambiar el paradigma, de pasar de un análisis estrictamente cuantitativo a un análisis que incluya el factor cualitativo. La perspectiva cambia cuando pasamos de un ROI estrictamente monetario, basado en un enfoque de costos, a un ROI basado en el valor de las inversiones en seguridad. Ya es hora de que los directivos vean la ciberseguridad como una oportunidad, y no como una amenaza.