La compañía corredora de seguros y consultora de riesgos Marsh explica cómo cuantificar los riesgos cibernéticos y conocer su impacto en términos financieros puede ayudar a las empresas a gestionarlos de una manera más adecuada.
Santiago, mayo de 2023.- El riesgo cibernético está presente en la mayoría de las organizaciones. Los retos de la transformación digital, el impacto de casi tres años de trabajo remoto y la mayor sofisticación de los ataques cibernéticos han llevado a muchas empresas a aumentar su inversión en soluciones tecnológicas, en talento calificado, así como en su enfoque de riesgo cibernético, para crear resiliencia.
Sin embargo, un estudio realizado por Marsh y Microsoft sobre el Estado de la Resiliencia Cibernética reveló que solo 26% de las organizaciones utilizan un método cuantitativo para medir su exposición al riesgo cibernético. Muchas organizaciones no cuentan con el conocimiento, ni las capacidades para realizar mediciones del riesgo cibernético en términos financieros, lo que impide comunicar de manera eficiente este tipo de amenazas a todos sus miembros.
Ante este escenario, desde la compañía corredora de seguros y consultora de riesgos Marsh, explican por qué es tan importante cuantificar los riesgos cibernéticos y conocer su impacto en términos económicos de forma que las empresas puedan gestionarlos de una manera más adecuada.
Metodologías
Ángela Cubillos, Líder de Consultoría en Riesgo Cibernético en Marsh Latinoamérica detalla que para entender la exposición al riesgo cibernético de una organización es necesario primero identificar los riesgos a los cuales se enfrenta y después, cuantificar el impacto económico que tendría su materialización. “En esta etapa es importante contar con procesos de gestión de riesgos que incluyan análisis cuantitativos que arrojen resultados objetivos, significativos y relevantes para una adecuada toma de decisiones. Esto les permitirá a las organizaciones realizar una buena gestión del riesgo”, apunta.
Cubillos advierte que las metodologías de análisis cualitativo y los mapas de calor que resultan de los análisis de riesgos no son suficientes para responder las preguntas de los stakeholders, sobre el ROI en ciberseguridad o sobre cuánto dinero podrían perder frente a un escenario de riesgo específico. Por ello, agrega que, entre los beneficios de realizar análisis cuantitativos de riesgos, se encuentran:
1.Identificar los riesgos a los cuales se encuentra expuesta la organización y enfocarse en las situaciones que más le interesan a la misma.
- Identificar cuál es el retorno a la inversión en seguridad, y ver en dónde se invierten estos recursos, lo cual es de alta importancia, teniendo en cuenta que son limitados.
- Permite hablar a los stakeholders en un lenguaje que para ellos sea entendible, y puedan estar en una posición para tomar mejores decisiones desde su perspectiva.
La profesional de Marsh subraya que “la cuantificación de riesgos permitirá a las organizaciones conocer cuál es el valor obtenido de las inversiones realizadas en seguridad, llegado el momento de mitigar o transferir estos riesgos. Además, será un insumo fundamental durante los procesos de toma de decisiones para la gestión efectiva de los mismos”.
Para llevar a cabo un análisis del retorno a la inversión en seguridad (ROSI) es necesario tener en cuenta lo siguiente:
Medir el estado actual del riesgo con los controles actuales
Identificar cómo la inversión propuesta impactaría a cada escenario de riesgo.
Con el apoyo del personal experto dentro y fuera de la organización, hacer un análisis cuantitativo del impacto financiero futuro de cada uno de los riesgos evaluados, en su estado actual y con la inversión propuesta. De esta forma se podrán comparar los resultados y se identificará cómo la inversión impacta las pérdidas estimadas.
Adicionalmente, es importante que las compañías cuenten con las capacidades, recursos y conocimiento, para realizar estos procesos de análisis y cuantificación de riesgos a fin de obtener resultados valiosos para la organización. Para esto, es necesario definir e implementar metodologías cuantitativas de riesgos y capacitar continuamente al personal que las ejecutará. De esta manera, podrán estimar de forma adecuada el impacto financiero de las pérdidas.
También es relevante complementar los análisis realizados con herramientas analíticas, que permitan realizar estimaciones de las pérdidas financieras, contrastando así los resultados arrojados por las metodologías definidas.
“En esa línea, en Marsh, nos hemos dedicado a fortalecer continuamente nuestra experticia en la definición de metodologías cuantitativas de gestión de riesgos cibernéticos, en la evaluación de escenarios de riesgos y en el uso de herramientas analíticas para la estimación de las pérdidas económicas frente a la materialización de riesgos”, concluye Cubillos.
