Inicio / Protege tu empresa / Blog / Si no inviertes en seguridad corres un alto riesgo

Si no inviertes en seguridad corres un alto riesgo

Publicado el 24/09/2013, por INCIBE
calculadora

La seguridad es un compromiso, está basada en el equilibrio entre lo que cuesta recuperarse de los ocasionales incidentes y lo que gastaremos en protección y prevención. La ciberseguridad no es diferente. En una parte de la balanza el precio que tendremos que pagar por asumir los riesgos a los que estamos expuestos, es decir, lo que podríamos perder, o dejaríamos de ganar, de no hacer nada. En la otra parte el esfuerzo, en tiempo y dinero, que supone poner en marcha las políticas, procedimientos, medidas y herramientas para prevenir o evitar los daños que no hacerlo podría ocasionar. En un ejemplo sencillo, en caso de un hipotético ataque por malware, lo que costaría apostar a que no nos pasará y asumir los posibles daños por pérdida de datos, indisponibilidad y reputación, frente a lo que cuesta instalar, operar y mantener la herramienta adecuada. Y así para todas las posibles amenazas a las que estemos expuestos: intrusiones, denegación de servicio, pérdida de datos confidenciales, suplantación de identidad, incumplimiento legal,...

La búsqueda de este equilibrio se conoce, en la jerga empresarial, como «análisis de riesgos» y consiste en cuantificar los daños provocados —el impacto— si, hipotéticamente —probabilidad—, las amenazas se hicieran realidad. El fin último es seleccionar las medidas, económicamente viables y suficientemente efectivas, que permitan reducir los riesgos a un nivel aceptable. Esto sólo es posible si los responsables conocen y asumen este análisis y están convencidos de la utilidad de implementar medidas de seguridad y de la idoneidad de las mismas.

Un método para definir lo que para cada empresario es un «nivel aceptable» es lo que se conoce, en inglés, como risk appetite. Este «apetito» por el riesgo va desde la «desgana o aversión» hasta el «hambre», con estados intermedios. En el primer caso, la desgana o aversión por el riesgo, el empresario decide no correr el riesgo, intentar por todos los medios evitar los posibles efectos, es conservador. En el segundo, el hambre de riesgo, todo lo contrario, sí estaría dispuesto, apuesta, se la juega, es arriesgado.

En la gráfica, el límite —esa... línea roja— separa los riesgos que aceptamos, en general los de menor impacto y probabilidad, de los que no. Para todos los que pertenezcan al área de los «no aceptables», hay que tomar medidas. Según nuestro «apetito» situaremos la línea más hacia abajo (sin apenas hambre de riesgo) o hacia arriba (muy hambrientos).

risk appetite

Según el reciente informe de Kaspersky Lab’s «Global Corporate IT Security Risks 2013 survey», en el último año el 91% de las empresas han sufrido algún incidente externo de seguridad TIC y el 85% reportan incidentes internos. Estos incidentes han causado daños financieros y de reputación cuyas pérdidas exceden el coste de poner en marcha las medidas de seguridad que les habrían ayudado a evitar pérdidas de información, indisponibilidad de sistemas y otros gastos. Parece evidente que la balanza está descompensada a favor de las pérdidas.

El informe está basado en encuestas a 2.895 empresas de 24 países, de las cuales 112 están en España. De todas ellas apenas la mitad disponen de políticas y procedimientos para afrontar las amenazas de las TIC. Aunque el informe demuestra también que poner en marcha una medida, tan sencilla como implementar políticas de seguridad en dispositivos móviles, puede reducir significativamente los riesgos en el entorno corporativo.

Con estos datos, se diría que su risk appetite es de «hambrientos» pero, no es así, el informe indica que no reconocen las pérdidas a las que se exponen por no abordar la seguridad. Así, el 60% de los responsables de seguridad de empresas declaran que no disponen de suficiente tiempo ni dinero para desarrollar las políticas de seguridad TIC, para poner en marcha las medidas. Sin embargo las pérdidas por un incidente grave suponen de media para las grandes empresas 497.000 € y para las pymes alrededor de 38.000 €. Y un ataque dirigido puede costar más de 1,7 millones de € en pérdidas financieras directas y costes adicionales. No es hambre de riesgo,... ¿es desconocimiento?

Ante este panorama que muestra que hay muchos incidentes y con frecuencia son muy costosos, para hacernos una idea de la importancia de abordar la ciberseguridad, estas son algunas de las preguntas que tendremos que plantearnos:

  • ¿qué activos de información tenemos y cómo los valoramos?
  • ¿en qué medida son vulnerables estos activos? (en términos de probabilidad)
  • ¿cuál es el coste de perder esta información o de que se vean comprometidos estos activos? (impacto)

Y por otra parte:

  • ¿cuánto cuesta protegerlos?
  • ¿cuánto cuesta recuperarse de un incidente en caso de que ocurra?
  • ¿qué riesgos estamos dispuestos a aceptar?
Etiquetas: