La ciberseguridad es cara… ¿comparada con qué?
Durante el año 2020 y lo que llevamos de 2021 hemos estado viendo cómo, cada día más, la ciberseguridad es una de las piedras angulares de la continuidad de los negocios. Independientemente del sector de la organización y de que sea pública o privada, el uso de sistemas informáticos está tan integrado con el resto de procesos que el prescindir de ellos afecta de manera estructural a la productividad pudiendo llegar, en ocasiones, a causar problemas de suministro en sectores críticos.
Se suele decir en muchas ocasiones que la ciberseguridad es cara pero, aunque nos pueda parecer que tiene un coste elevado, para poder opinar si algo es caro o barato tenemos que tener algo con lo que compararlo. Para muchos productos y servicios esta comparación es razonablemente directa porque podemos ver el beneficio directo que nos proporciona: un servicio puede costar 15.000 euros al año pero si calculamos que el beneficio que vamos a obtener del mismo son 30.000 euros al año, nos puede resultar barato. Sin embargo calcular el retorno de inversión en ciberseguridad no es para nada trivial ya que su beneficio no se ve en ganancias sino en evitar pérdidas.
Si tomamos como ejemplo el ataque a la compañía estadounidense Colonial, conocemos que el ransomware sufrido en 2021 les ha costado, al menos, el pago de 5 millones de dólares en bitcoins (de los que el FBI ha recuperado bitcoins por un valor aproximado de 2.3 millones de dólares). A esto hay que sumar la pérdida de negocio del 6 al 9 de mayo de 2021, además del impacto a nivel nacional al tratarse de una infraestructura crítica. Y, no debemos olvidar los efectos de la crisis reputacional (la investigación del ataque ha llegado al congreso de los Estados Unidos de América).
Un ejemplo similar lo tenemos con el ataque que ha sufrido la multinacional cárnica JBS, por el que han pagado un rescate estimado en 11 millones de dólares de bitcoin. De nuevo, a esta cantidad se debe sumar el coste ocasionado por la pérdida de negocio o de bienes, recordemos que la carne es un producto perecedero, y el impacto reputacional.
También tenemos el caso de Electronic Arts. El pasado 10 de junio reportaron un incidente de seguridad en sus sistemas informáticos dónde, según la información proporcionada por la prensa, los atacantes robaron el código fuente del FIFA21 y del motor de videojuegos Frostbite dentro de más de 780 GB de datos. Ambas piezas de software son productos clave para su negocio: uno como éxito de ventas y otro como herramienta de desarrollo. Esto hace que la pérdida potencial de ventas por el pirateo de su software, tanto presente como futuro, sea muy difícil de cuantificar.
Por ello, el papel de todas las ramas de la ciberseguridad (diseño y arquitectura de aplicaciones y sistemas, consultoría, cumplimiento, respuesta a incidentes, monitorización, informática forense y auditoría) es clave para tratar de reducir al máximo la exposición de las organizaciones, es decir, conseguir que un ataque no sea rentable para los atacantes ya que el coste/beneficio es muy bajo.
Además, hay que tener en cuenta que todas estas actividades son cíclicas. La tecnología, como bien sabemos, evoluciona a toda velocidad. Lo que hace que las medidas tomadas hoy puedan no ser las mismas que las que habríamos tomado hace seis meses o las que tomaríamos dentro de seis meses. Y, para poder aportar el máximo valor durante esos ciclos, se debe optar por equipos con un gran conocimiento técnico y que, de manera adicional, no pierdan de vista las necesidades de las organizaciones.
Por todos estos motivos, desde GMV recomendamos el diseño de programas específicos para nuestros clientes, focalizándonos en sus necesidades y en su estado actual para ayudarles a adquirir madurez en el ámbito de la ciberseguridad y conseguir disminuir, todo lo posible, el ratio coste/beneficio de los posibles atacantes.
Estos programas deberían empezar siempre desde un diagnóstico inicial para poder conocer en qué estado se encuentra la organización y definir qué es lo que necesita. Habrá casos dónde el foco deba ponerse en las primeras fases: rediseño de arquitecturas y procesos. En otras ocasiones lo que se necesita es más monitorización y unos servicios de ciberdefensa potentes. Algunos otros la validación periódica de su nivel de exposición. Pero en la mayor parte de los casos, la respuesta es una combinación de todas las anteriores para mejorar aquellas dónde la organización ya ha invertido e implantar las que no existen.
Como decía, es habitual oír que la ciberseguridad es cara. Pero, realmente cuando se realiza esta afirmación lo que se está comparando es el gasto de implantarla frente al gasto actual. Lo que resulta muy complicado de cuantificar, a menudo imposible hasta que no se ha sido víctima de un ataque, es el coste de implantar medidas frente al coste de ser atacado con éxito. Esta comparación es la que pone en perspectiva que la ciberseguridad tiene un precio elevado pero es la diferencia entre una situación dónde se pierden millones a una dónde se pueden contener esas pérdidas.
Autor: Paula González
Jefa de sección de Auditoría de Secure e-Solutions de GMV