Contacto@ciberlegal.cl
+569 8419 1661
Complejo problema se ha generado hoy en día para la pequeña y mediana empresa en Chile, básicamente por la gestión interna y el tratamiento que le han dado, en relación a la relevancia que debiera tener la Ciberseguridad y el tratamiento de la información que manejan.
Los sistemas informáticos y activos de información, tales como servidores, base de datos,
archivos confidenciales, estaciones de trabajos o aplicaciones web, entre otros, se ven
constantemente expuestos a una amplia gama de amenazas (deliberadas, accidentales,
ambientales, de origen interno o externo) que pueden tener efectos catastróficos sobre la
organización.
La organización en caso de tener una baja inversión en ciberseguridad podría, por
ejemplo, ser víctima de robo de información o sabotajes, extorsiones (Ramsonware), fugas
y robos de datos personales (Leaks), o incluso, víctima de un espionaje informático
efectivo.
El principal problema al momento de enfrentarnos a la presentación de servicios de ciberseguridad y aquellos relativos al manejo de información sensible para la empresa, es la incredulidad e ingenuidad por parte de quienes tienen a su cargo el mando de la empresa, llámese gerente general, gerente comercial, directores o accionistas.
En el sector privado nos referimos al concepto de ciberseguridad, desde el prisma de la gestión de los riesgos a los cuales se ve expuesta la empresa, al analizar los ataques que se perpetran en ella, quien los realiza y su finalidad, nos adentramos a la definición de cibercrimen, entendido aquel como “Actos criminales cometidos usando redes de comunicaciones electrónicas y/o sistemas de información, o cometidos contra tales redes o sistemas.
Un cibercrimen es un acto delictual en un sentido amplio; como tal, debe ser reconocido (esto es, tipificado y penado) dentro de la legislación de un país para poder ser perseguido.” 1
1 Fuente: Comission of the European Communities. Fuente en https://ec.europa.eu/home-affairs/what-we-do/policies/organized-
crime-and-human-trafficking/cybercrime_en
Al realizar una asesoría por los profesionales del área, en forma previa, deben identificar los activos de información y así poder determinar la criticidad de éstos y 1 Fuente: Comission of the European Communities. Fuente en https://ec.europa.eu/home-affairs/what-we-do/policies/organized- crime-and-human-trafficking/cybercrime_en consecuencialmente la identificación de amenazas y vulnerabilidades a los cuales está expuesta la organización.
Las empresas tienden a actuar de modo reactivo, bien sea porque no contemplan políticas de ciberseguridad internamente implementadas, bien sea por el nivel de alta sofisticación que actualmente tienen los ataques externos.
Relevante es que la gerencia y administración de la empresa, se les instruya respecto de la denominada “Administración de la Seguridad”, entendida como el uso de las tecnologías de seguridad en el mundo real para proteger los recursos de una organización.
Detectado el problema, los actores internos deben tener claro los procesos a implementar, por ejemplo, las certificaciones a las cuales se hayan sometido o deseen integrar, tales como la ISO 27001 u otras, y particularmente en lo que guarda relación con el cumplimiento de estándares de seguridad, mediante políticas de seguridad de la información, es decir las reglas que se deben seguir para mantener una organización segura.
La empresa no sólo debe someterse a requerimientos propios de su giro comercial, sino incluso al de sus clientes, por ejemplo, en el caso de bancos e instituciones financieras, quienes si bien, son responsables ante la Comisión para el Mercado Financiero por el manejo de información, su tratamiento y las medidas de seguridad que deben implementar para cautelar dicha obligación, no es menos cierto que contractualmente, sus proveedores deben someterse a altos estándares de cumplimiento, tales como manejo de información confidencial, protección de activos intangibles, procesos internos, sujeción a normativa regulatoria, etc.
Para poder lograr lo anterior, no sólo es importante la parte técnica, también se deben generar capacidades en el ámbito interno de la empresa, es decir, en la organización en cuanto tal, a través de procesos en distintas áreas, destinando recursos de la empresa en tales capacitaciones y procesos.
Tales procesos buscan dar cumplimiento a la denominada “Triada de la seguridad de la información”, siendo ésta:
– Información disponible cuando sea requerida;
– Solo para usuarios que deban acceder a la información;
– Que sea modificada por usuarios válidos.
EL FACTOR DE MEDICIÓN ROSI.
No encontramos un único concepto en materia de Ciberseguridad, pero, relevante resulta
la definición que entrega la International Telecommunication Union (ITU): “Conjunto de
conocimientos, técnicas, normas y buenas prácticas para prevenir, gestionar y mitigar los
riesgos en el ciberespacio, con el objetivo de preservar la confidencialidad, integridad y
disponibilidad de la información.” 2
De suma relevancia es la prevención e inversión, la cual en el caso de los organismos del
Estado se cautela a través del presupuesto con que cuenta la repartición; y en el caso de la
empresa privada, con el presupuesto que le asignan los accionistas o propietarios a la
administración, por lo que en este último caso, es relevante, exponerles a los primeros,
por parte de los segundos, la necesidad de invertir en ciberseguridad.
Debemos determinar cuál es el retorno que tendrá la inversión en ciberseguridad para la
empresa, puesto que los propietarios tienden a ver a la ciberseguridad,
independientemente de su conocimiento en materias tecnológicas, como un gasto
realizado sobre “intangibles”.
El método ROSI por sus siglas en inglés, “Return On Security Invesment”, que traducido
sería Retorno de la Inversión en Seguridad de la Información (Sonnenreich, Alabanese, &
Stout, 2013). 3
Para presentar el método ROSI, se deben efectuar ciertos requerimientos previos antes de
realizar el cálculo que nos entregué la tasa de retorno de inversión en seguridad, a saber:
– Identificar los activos de información;
– Identificar las amenazas y vulnerabilidades que éstos puedan presentar;
– Valoración de los activos de información que se desean proteger a través de la
inversión en ciberseguridad.
Es decir, se debe identificar, analizar, evaluar y tratar los riesgos, tanto desde el punto de
vista de la probabilidad de que estos eventos causen daños o sucedan y cuál será el
impacto dentro de la organización.
2 ISO/IEC 27032:2012 | ITU Publications X.1205
3 Gutiérrez Campoverde, 2016, página 2.
Luego, es necesario establecer el análisis de riesgos, número de ocurrencias de un
incidente dentro de la empresa, en un lapso determinado, por ejemplo, en el último año,
el impacto que tuvo, a saber, la interrupción de la continuidad operativa y por último el
nivel de riesgo al cual se encuentra expuesta la empresa (proceso iterativo).
El método ROSI, es una estimación del posible retorno de la inversión, por lo que debemos
efectuar una determinación previa, lo más precisa posible a fin de efectuar las
valorizaciones de rigor, que nos lleven a las reales necesidades de la empresa, frente a una
inversión en ciberseguridad.
Dicho análisis puede efectuarse a corto plazo (lapso de 1 año), mediano plazo (2 a 5 años)
o largo plazo (de 5 años en adelante). 4
Determinados que sean los riesgos, se debe establecer el impacto que tendrán dentro de la operatividad de la empresa, en cifras monetarias, debiendo tener en cuenta, los siguientes factores 5 :
• Costo por hora del personal afectado.
• Costo por hora del personal necesario para la recuperación del sistema afectado.
• Costo de pérdida de productividad por hora de inactividad.
• Costos por posibles daños a terceros
• Costos de recuperación de equipos
Lo anterior nos entrega el denominado Costo Unitario de Impacto, por sus siglas CUI, para cada riesgo, lo que analizado junto al número de ocurrencias Anuales (NOA), sirve para poder cuantificar efectivamente el problema.
Rango CUI (Dólares) Criticidad CUI
0 – 100 Menor
101 – 200 Aceptable
201 – 300 Inaceptable
> 300 Catastrófica
El análisis nos entregará el valor que es relevante para el cálculo del ROSI, esto es el Costo
de Recuperación de Impacto Anual (CRIA), la cual representa el valor monetario de
recuperación de los daños causados por la materialización de una amenaza, en el periodo
de un año para cada uno de los riesgos, la cual viene dado por la formula CRIA =
CRIÅ~NOA
4 Sandoval, 2015, Definición de actividades a corto mediano y largo plazo.
5 Sánchez y Segura, 2006, pagina 6
Obtenido el resultado, se puede calcular el ROSI, para lo cual, debemos restar al valor de la inversión, el valor del CRIA y si el resultado da positivo, la inversión ha sido retornada en términos de ahorro a la empresa.
En caso de ser negativo, significa que para el primer año la inversión aún no es retornada y se debe continuar iterando el cálculo para determinar el tiempo que llevará obtener los resultados esperados, es decir, como se indicó, el retorno puede ser a corto, mediano o largo plazo.
Para que los tomadores de decisiones dentro de la Compañía puedan determinar lo importante que resulta invertir en prevención y control y tal cual se expresó al desarrollar el método ROSI, es que se hace necesario detectar los activos de la empresa, tanto físicos como intangibles y los riesgos a los cuales se encuentran expuestos y de esa forma establecer, bajo un espectro netamente económico, el retorno directo que tendrá la inversión en seguridad.
De igual forma resulta clave capacitar en materia de Ciberseguridad al factor humano de
la empresa, como el eslabón más fuerte en la cadena interna, sin aquello, toda la inversión
realizada en los activos de la empresa, se verán desperdiciados si el personal de la
empresa no sabe identificar un phishing o los métodos de ingeniería social que usan los
ciberdelincuentes.
En definitiva, la inversión en ciberseguridad cumple un doble propósito, el primero
proteger los activos, tangibles e intangibles en la empresa en particular, pero además al
capacitar al factor humano en ella, generamos un efecto expansivo que llega a la sociedad
toda, disminuyendo la brecha digital en estas materias, con ciudadanos más preparados y
empoderados en materia la protección de sus datos personales, concurriendo en conjunto
a tener una sociedad más Cibersegura.
Si Ud. aún piensa que la Ciberseguridad es un gasto, le cuento que en el ambiente de la
Ciberseguridad se suele señalar que “o has sido hackeado y lo sabes o has sido hackeado y
no lo sabes”. En definitiva, todos en mayor o menor medidas han sido víctimas de un
ciberdelito. Y ahora que sabe que la ciberseguridad es una inversión; ¿Sigue pensando que
la Ciberseguridad es un costo menor que no trae consecuencias para su negocio?
Esperemos que no.