Cómo medir el riesgo en ciberseguridad

How to Measure Cybersecurity Risk

En cualquier negocio moderno, los riesgos en ciberseguridad juegan un papel muy importante a la hora de proteger tu negocio contra agentes maliciosos. Saber medir los riesgos en ciberseguridad puede ayudar a los MSPs a explicar a los usuarios finales cómo funciona la ciberseguridad dado que pueden ser menos expertos en el tema tecnológico.

Los peligros de no entender los riesgos en ciberseguridad

Virtualmente todos los negocios están conectados a internet y de formas mucho más complejas de lo que se pudieran imaginar. Como MSP, tú entiendes cómo están conectados el sistema telefónico de una empresa, sus programas de ventas, sus suscripciones y su página web. Desafortunadamente, los usuarios finales tratan esto como elementos separados.

Una brecha en ciberseguridad puede hacer mucho daño. No importa si es en el procesamiento de pagos o en el PBX — una vez un hacker abre una brecha, es mucho más fácil acceder a otras partes de la red. Información de los clientes. Secretos corporativos. Todo esto o queda bloqueado usando un ransomware o se copia y se vende en la dark web.

Las estadísticas dan miedo: el 90% de los responsables de TI sienten que los ejecutivos C-Suite comprometen la ciberseguridad en favor de otros objetivos. ¿Cómo puedan los MSPs transmitir a los usuarios finales la importancia de entender los riesgos en ciberseguridad a los usuarios finales?

Riesgo en ciberseguridad en términos sencillos

Vamos a empezar con una definición sencilla: ¿qué es un riesgo en ciberseguridad?

Un riesgo en ciberseguridad es una medida de probabilidad de exposición, la pérdida de activos sensibles e información, y el daño en la reputación que puede producirse como resultado de dicha brecha en ciberseguridad.

Uno de los elementos clave es que muchas de estas estadísticas pueden parecer intangibles. ¿Cómo mides, por ejemplo, “el daño en la reputación”? ¿O el coste de perder archivos? ¿O no poder acceder a varias partes de tu sistema?

En el libro «How to Measure Anything in Cybersecurity Risk,» Douglas Hubbard y Richard Seiersen centran su enfoque en medir todo específicamente en términos de riesgos en ciberseguridad. Los principios son bastante sencillos:

  • Identificar los problemas clave que pueden surgir
  • Averiguar cuánto se tardaría en arreglar dichos problemas
  • Factor de pérdida en ventas y oportunidades
  • Crear una unidad monetaria que tenga asociada un coste
  • Determinar en qué áreas centrarse

Mientras que muchas matrices de riesgos en ciberseguridad usan un índice de amenaza (probabilidad entre 1 y 3 de que un ataque ocurra frente al daño que pueda causar), estas matrices no suelen ser demasiado útiles porque no definen la probabilidad del coste de dichos problemas. Una matriz de riesgos en ciberseguridad puede correr el riesgo de subestimar problemas importantes y sobreestimar problemas menos críticos.

El problema de las matrices de riesgos en ciberseguridad

Una matriz de riesgos de ciberseguridad básica de 5 niveles es algo parecido a esto. Existe un sombreado apropiado y está claro que el peor caso es donde se unen “grave” y “seguro”.

The-Problem-With-Cybersecuri-y-Risk-Matrices

Por desgracia, esta sencilla matriz no ayuda mucho a la hora de cuantificar el nivel de riesgo y los problemas prácticos asociados a no evitar dichos riesgos. Una vez llegas a la zona intermedia, especialmente en la fila moderada, ¿cómo estableces tus prioridades cuando todo va de 8 a 12?

Es más, este tipo de pensamiento simplificado provoca que la gente haga estimaciones sin usar las cifras reales. Esto provoca problemas a la hora de medir y cuantificar los riesgos de ciberseguridad de forma que los ejecutivos de nivel C puedan entender.
La gran pregunta para tomar cualquier decisión sobre ciberseguridad debería ser esta: ¿Qué significa esto para el balance de mi empresa?

Cómo medir el riesgo en ciberseguridad: El aspecto práctico

El gran problema es que hay demasiadas incógnitas a la hora de medir los riesgos en ciberseguridad. Pero ese problema no es tan importante como parece.

Hagámonos la siguiente pregunta: ¿Voy a sufrir una brecha en mi ciberseguridad?

Bueno, una vez que sabes que el 62% de las empresas americanas sufrieron algún tipo de brecha en su ciberseguridad en 2021, la respuesta es que es “muy probable”, pero esto no ayuda demasiado.

Así que necesitas dar con algún sistema de valores. Alguna forma de determinar las posibles pérdidas.

Definir y perfeccionar los datos sobre el riesgo en ciberseguridad

Muchos expertos en ciberseguridad son muy precavidos cuando se habla de datos concretos. Es fácil decir que existe un riesgo medio de que algo ocurra, pero de repente “medio” se convierte en un concepto difícil de expresar de forma cuantitativa.

La respuesta típica es “no tenemos la información necesaria para evaluarlo”.

Pero si no se tiene la información para evaluar una cantidad cualitativa, no tienen la información para hacerlo de forma no cualitativa. Al fin y al cabo, ¿cómo saben que es “medio” si no tienen la información?

Vamos a dejarnos de historias. Hablemos de probabilidades para definir correctamente los datos de riesgo. Para ello:

  1. Define una lista de riesgos
  2. Define un periodo de tiempo en el que el riesgo puede ocurrir (normalmente 12 meses)
  3. Asigna un valor subjetivo de entre 0 y 100 a la probabilidad de que ocurra cada evento
  4. Asigna un rango de pérdida monetaria probable a cada evento (la pérdida teórica debe estar en ese rango con una confianza del 90%)

Una brecha puede identificarse como muchas cosas. Podría ser un acceso no autorizado a ciertos registros, pero también podría ser algo mucho más serio. De forma que, como hemos dicho antes, necesitamos asociar un valor monetario a cada brecha específica. Puedes intentar escribir una frase como esta:

La probabilidad de un ataque ransomware en la oficina es del 10%, y existe una probabilidad de un 90% que nos cueste entre 100,000$ y 1 millón$.

Esto aparecería así listado en una tabla:

Risk-Entry-in-Excel-example

¿De dónde consigues estos valores? Eso viene el análisis del tipo de brechas que pueden ocurrir y la exposición de la información que puede darse como resultado de dicha brecha. También viene de una evaluación subjetiva dada tu experiencia.

También podrías expresarlo en tiempo de caída de un servicio, lo cual puede expresarse en pérdidas monetarias:

Existe un 12% de probabilidades de sufrir un ataque DDoS y una probabilidad del 90% de que necesitemos 12-24 horas para recuperarnos, lo que nos supondría una pérdida de entre 1 y 2 millones$ en ventas.

Puedes poner eso en tu hoja de cálculo y las entradas quedarían así:

Risk-entry-example-2

Esto es bastante general, pero estamos usando números, lo que nos pone en una situación mejor que la anterior. Gracias a que estamos usando cantidades monetarias, podemos cuantificar los riesgos de ciberseguridad de nuestro negocio. Y podemos probar y refinar estos números cuanto más observemos los escenarios a los que se enfrenta la empresa.

En este momento, podemos empezar a hablar de ponerlos en la simulación Monte Carlo.

¡Monte Carlo! ¿Es el riesgo en ciberseguridad como apostar?

Las personas que creaban armas atómicas en el proyecto Manhattan en los años 40 eran ávidos jugadores, y crearon escenarios probabilísticos — miles de ellos — para modelar el posible funcionamiento de sus armas. Básicamente usaban un generador de números aleatorios para probar todos estos escenarios y sugerían una curva de probabilidad a todos los posibles resultados en una hoja de cálculo.

Esto dio nombre a una forma de modelar: la simulación Monte Carlo. La idea es que, con el tiempo, todos estos escenarios posibles que tienen rangos de probabilidad diferente acaben igualándose, creando una probabilidad global de riesgo y la pérdida monetaria asociada. Básicamente así es como los casinos ganan dinero: sesgan de forma fraccionada las probabilidades a su favor, de forma que salen ganando en miles de apuestas.

Estos modelos son muy útiles para medir los riesgos en ciberseguridad, dado que cada riesgo puede medirse con una pérdida monetaria.

Hoy en día tenemos en nuestros bolsillos dispositivos con un poder de computación millones de veces superior al que usaron esos científicos atómicos, y lo usamos para jugar a Wordle. Podríamos modelar estos cálculos de forma sencilla.

Puedes encontrar más información sobre crear simulaciones Monte Carlo en la página sorprendentemente útil que tenemos sobre el tema. También hay un archivo Excel que puedes descargarte de la página web Cómo medir cualquier cosa como riesgo en ciberseguridad (en el capítulo 3).

De esta forma no tenemos que hacer nosotros los números. Sin embargo, el resultado es que, si se crean 10.000 de estas simulaciones de Monte Carlo, puedes crear una curva con las cantidades monetarias a la que la firma se puede enfrentar cada año si no cambia o mejora sus prácticas.

El siguiente paso es que los ejecutivos de nivel C escuchen.

¡Quiero riesgo en ciberseguridad cero!

Por supuesto, no todo el mundo aceptará que existan riesgos en cuanto a la ciberseguridad. Lo suelen manifestar con frases como “No quiero ningún riesgo” o “no existe riesgo alguno”. Ambas actitudes son problemáticas, pero la segunda lo es mucho más. Pero hablemos de la primera.

No existe el riesgo cero

Aunque muchos negocios hablan de riesgos y tienen equipos de ciberseguridad, existe un sentimiento general de “estar controlado” y no necesitan hablar de ello. Esto es porque se le ha categorizado como un riesgo operativo, como un huracán, una ola de calor u otro desastre.

Desafortunadamente esto significa que incluso los gobiernos y otras organizaciones sufren de esta indecisión general sobre los riesgos en ciberseguridad. Esto, a pesar de que es normal ver todas las semanas que alguna organización importante ha sufrido algún tipo de ataque.

Por ejemplo, en febrero de 2023 hubo un asalto masivo a los servidores italianos de VMWare ESXi , donde los hackers intentaron robar datos encriptados. Consiguieron infiltrarse y encriptar varios objetivos a pesar del hecho que los hacks usaban una vulnerabilidad que fue corregida hace dos años. ¿Por qué? Porque nadie se molestó en actualizar el software de los servidores durante dos años.

En algún momento alguien tomó la decisión de no comprobar el estado de los servidores, ya fuera un MSP que terminó su contrato o porque se despidió al único personal que sabía hacerlo. Es más, podría haber sido el resultado de que las personas al mando no tienen ni idea de la cantidad de carga que tiene su personal de ciberseguridad, lo que provoca empleados desbordados que están monitorizando cientos de posibles vulnerabilidades sin tregua.

Este es el resultado de una actitud “no hay riesgo” con respecto a la ciberseguridad. Así es como un MSP tiene que tratar con sus clientes: El riesgo existe, y hay empresas que están gastando millones a pesar de tener procedimientos establecidos de ciberseguridad. Tú podrías ser el siguiente.

Quero riesgo cero

Por supuesto el enfoque en ciberseguridad “no quiero ningún riesgo” tiene sus problemas. Las empresas que adoptan esta postura acaban siendo demasiado cautelosas cuando se le presentan oportunidades y acaban perdiendo frente a operadores más ágiles.

Por ejemplo, observa a alguno de nuestros competidores. Hemos hablado de Mitel, Avaya y algunos más por no tener la flexibilidad suficiente para adaptarse a soluciones en la nube con suficiente agresividad, lo que está provocando que se encuentren bastante atrasados en este aspecto. Aunque no achacamos esto a una actitud de no quiere riesgo alguno, muestra cómo una reacción lenta en un mundo online, puede provocar problemas importantes.

Así que es poco realista. En muchos casos, merece la pena acercarse a las empresas que adoptan este enfoque y convertirlas con delicadeza. Sin embargo, hace falta una mano suave para dirigirlos hacia una nueva generación de productos. Necesitarás mostrarles cómo medir el riesgo en ciberseguridad de una forma que sea práctica.

De la madurez al riesgo, a la proactividad

Afortunadamente, esto no es para nada común pero muchas empresas pequeñas y medianas tienen una apatía notable hacia la ciberseguridad. La tratan como una característica que estaría bien tener. Sin embargo, los MSPs necesitan asegurarse de que los negocios entiendan que, si se encuentran bajo un ataque de malware aleatorio, podría perder toda la funcionalidad de su negocio.

Ahora, muchas organizaciones han adoptado un enfoque basado en la madurez para la ciberseguridad. Básicamente se encuentren en la fase en la que están:

  • Creando capacidades
  • Reforzando la ciberseguridad
  • Estableciendo enfoques reactivos a ciber eventos
  • Creando equipos operacionales
  • Creando VPNs y usando MFA
  • Teniendo CIOs

Esto es útil, pero realmente es solo el principio. Al menos están empezando a adaptar buenas prácticas de ciberseguridad, incluso si no las están usando a su favor. McKinsey & Company describe este enfoque como “fundamental”.

Las empresas empiezan a destacar cuando adoptan enfoques de ciberseguridad basados en riesgos. Esto significa que ellos:

  • Administran y miden el riesgo usando marcos de gestión de riesgos a nivel empresarial
  • Establecen apetitos de riesgo para los KRIs (indicador de riesgo clave) y KPIs
  • Implican a los accionistas y los integran en su ciberseguridad
  • Miden e informan sobre las reducciones de riesgo, no sobre las capacidades de ciberseguridad.

El objetivo final es ser proactivo con tu ciberseguridad: Se consigue si:

  • Se adoptan tecnologías de ciberseguridad de siguiente generación como ML y análisis basado en IA para detección temprana de amenazas
  • Se tiene seguridad embebida en todos los productos de la organización (productos seguros por diseño)
  • Se incorporan todas las partes, desde clientes a partners pasando por reguladores a la ciberseguridad y la resistencia empresarial

Este camino muestra claramente cómo debe medirse el riesgo en ciberseguridad y cómo adaptar la cadena organizacional para que sea más madura. Pasarás de matrices de riesgo sencillas a un modelo que se centra en cuantificar y medir riesgos. Por último, buscarás de forma activa cómo reducir el riesgo haciendo uso de estos modelos y centrándote en que tus productos y servicios reduzcan sus riesgos de forma medible en este modelo proactivo.

Aun así, no es posible que un artículo de unas 2.000 palabras te dé una visión general del riesgo en la ciberseguridad — puede que incluso un grado sea insuficiente. Sin embargo, es esencial conocer formas efectivas de abordar el riesgo en ciberseguridad y saber cómo las empresas están empezando a madurar en el mercado — y saber que otras no están haciendo nada.

¡Si deseas leer más artículos de fondo sobre ciberseguridad, suscríbete a nuestra revisa de forma gratuita!

Social Sharing

Deja un comentario