''¡Gartner tenía razón!''
- 29/07/2024
- 737
Auror: MSc. Ing. María Carla Silveira Taboadela
Dir.Div.Ciberseguridad ETI
Contexto
Me gustaría empezar el apartado con este análisis de Gartner, donde predice que el 25% de los líderes de ciberseguridad desempeñarán roles diferentes debido al estrés en el lugar de trabajo. Los CISO están a la defensiva, con el único resultado posible de que no sean pirateados o sí lo sean. Un llamado de atención sobre un problema profundo y silencioso, muestra cómo va cambiando el rostro de la industria en el área de la ciberseguridad; un campo en constante evolución. Términos como estrés y presión se vuelven cotidianos para quienes tienen la responsabilidad de proteger la seguridad de la información y los activos digitales de valor que se generen en una organización.
Pero ojito, creer cosas obvias nos mantiene en una realidad irreal. Sobre lo que no percibimos trata este texto. La Gobernanza sobre la Ciberseguridad va de integrar variables ocultas que refuerzan sus principales pilares, aunque la base sea de conocer (en un gran por ciento) términos tecnológicos que traen consigo encasillar a la ciberseguridad en conceptos informáticos. Me atrevería a asegurar que muchas veces olvidamos como la comunicación y la comprensión, habilitan una respuesta coherente y efectiva ante un incidente de seguridad. Lo cierto es que la toma de decisiones oportunas para el negocio requiere también de capacidades explicativas.
La experiencia de mostrar un Proyecto de I+D+i en Ciberseguridad, creo que resume como es de difícil trabajar sobre los retos de continuidad y sostenibilidad, con foco en la gestión avanzada de incidentes. Los desafíos son palpables ante la presencia de catalizadores como Contexto Político, Avance tecnológico, Rotación y Capacitación del personal, Recursos financieros, Escenarios impredecibles y Marcos Legales, entre otros. Aumentar la eficiencia en los procesos de análisis de eventos, extracción de evidencias, clasificación, registro y notificación requieren de un tiempo valioso y de un esfuerzo coordinado que impulse la investigación y el desarrollo de nuevas técnicas y algoritmos para la detección y respuesta a incidentes de seguridad.
Sobre Inversiones
Y aunque pudiera parecerse, en una primera mirada, a una de las películas de la Saga de Indiana Jones, creo que lo más difícil ha sido desempeñar durante la propuesta de proyecto, el rol de Decisor de Inversiones en Ciberseguridad. Entre el Nivel de Riesgo Tolerado y la Rentabilidad deseada, se visibiliza la decisión de inversión. Definitivamente estos son temas que, si generan estrés porque no defines solamente el área de la inversión, sino que debes responder a cuestiones de cuándo y cómo en un análisis integral del contexto (CapEX y OpEX).
Hablar de inversiones también se traduce en perfeccionar la capacidad de adaptarte a las circunstancias, ya que noticias y tendencias marcan la dinámica diaria en una realidad, que te exige la constante evaluación de nuevas soluciones, actualizaciones y ajustes frecuentes en tecnologías asociadas a servicios. La idea es cómo demostrar la necesidad de invertir en Ciberseguridad aun sabiendo que es posible no generar un retorno sobre la inversión tangible. Nuestro rol de CISO cambia entonces a consultor, asesor, educador, comunicador, arquitecto de soluciones, entre otras funciones. (Gartner tenía razón). Trabajemos entonces nuevamente sobre la Gobernanza, pero desde la Percepción del Riesgo.
Algunos términos que manejamos suelen ser: Adopción de Objetivos y Resultados Clave (OKR) y Establecimiento de KPI: métricas individuales, pero lo cierto es que requerimos trabajar sobre una conciencia organizacional más integrada, necesitamos reformular nuestros argumentos sobre iniciativas empresariales sostenibles. Cambiemos la sentencia a: prevenir posibles gastos ante la ocurrencia de un incidente de seguridad. Definitivamente pues volvemos al confort de entender cómo Gestionar el Riesgo, y definir un posible Vector de Ataque a través de la organización de los datos con el objetivo de mantener un conocimiento situacional oportuno.
Nuestra intención ahora, es trabajar de manera estratégica, táctica y operacional, ejecutando prácticas de Seguridad Ofensiva y Defensiva en la identificación de vulnerabilidades y la medición del impacto financiero de una amenaza. La visión va de incorporar a ROSI (Return on Security Investment) como método para evaluar las inversiones en Ciberseguridad o, en otras palabras: evaluar la rentabilidad de las medidas de seguridad.
Partimos entonces de la hipótesis de que todas las empresas se enfrentan a incidentes cibernéticos y que la inversión en Ciberseguridad debe ir orientada a resultados. Pero antes de hacer un ejercicio más aterrizado, quiero compartirles desafíos identificados en el proceso de ejecución de inversiones y que además generan estrés son:
- Gestión de Presupuestos para la ejecución de Proyectos
- Financiamiento oportuno en la compra de tecnologías que garanticen disponibilidad, rendimiento, despliegue y escalabilidad de soluciones.
- Demoras en la adquisición de recursos tecnológicos para la implementación de los Servicios
- Financiamiento y gestión de presupuestos para la ejecución de los muy necesarios programas de entrenamiento periódicos y certificaciones, para la puesta en marcha de las soluciones y de los recursos tecnológicos.
Sacando Cuentas
Ahora sí, trabajamos con:
- Expectativa de pérdida anual (ALE): cuánto se puede perder sin invertir en seguridad (analizamos el historial de incidentes de mi organización)
- Tasa anual de ocurrencias (ARO): probabilidades de que ocurra un incidente de seguridad cibernética dentro de un año
- Expectativa de pérdida única (SLE): pérdida financiera total de un único incidente de seguridad, abarca costos directos e indirectos.
- Expectativa de pérdida anual esperada (EALE): ALE, más los ahorros que ofrece la solución de seguridad en la detención de amenazas.
Fórmulas:
ALE = ARO x SLE
ROSI = (BI-CI) /CI
ROSI = (Beneficio de la Inversión – Costo de la Inversión) / Costo de la Inversión.
ROSI = (BI-CI) /CI
- BI: Beneficio de la Inversión (ALE asociada a una inversión en Ciberseguridad)
- CI: Costo de la Inversión (costos totales basados en adquisición, implementación y operación)
Presentación del problema:
Supongamos que haciendo un análisis de mi historial de incidentes he detectado que hay 5 incidentes de alto impacto para mi organización con un costo valorado en $35 000 USD porque afecta mi operación y también la imagen (costos directos e indirectos) y con la adquisición de mi propuesta de solución (un firewall NGFW) podré bloquear hasta el 90 % de los ciberataques. Los costos asociados a mi inversión rondan los $50 000 USD.
Solución del Problema
ROSI = (Cantidad de Incidentes de alto impacto x Valor de las Pérdidas por la ocurrencia de Incidentes x Valor de mi propuesta de solución – Costo de la inversión) / (Costo de la inversión)
ROSI = (5 x 35000 x 0.9 - 50000) / 50000
ROSI = 107500/50000
ROSI = 2.15
ROSI = 215 %
Respuesta: la inversión en seguridad genera un retorno del 215 %, o unos 107.500 dólares anuales. Luego se justifica la inversión.
Conclusiones
En mi experiencia, creo que ROSI trabaja sobre la inclusión de variables exitosas en situaciones de máxima crisis cibernética, y que permite transparentar temas ante el BoD como la cuantificación del riesgo, la selección de tecnologías de impacto, la ciberresiliencia, y la continuidad del negocio. Una mirada más amplia sobre el tema nos permite captar al menos tres beneficios directos:
- Se logra un análisis con menos sesgo en cuanto al retorno de la inversión y la ganancia tras un análisis directo sobre la identificación de amenazas y vulnerabilidad
- La propuesta de inversión permite transparentar la necesidad real de invertir en Ciberseguridad de manera estratégica, tras el impacto de un incidente de seguridad.
- Fortalecimiento de una cultura organizacional en materia de Ciberseguridad a través de una comunicación asertiva.
Finalmente, cierro comentando que la inclusión de estos términos cuantitativos, no sustituyen a los análisis cualitativos, sino que complementa la visión dentro de una organización. Invertir en prevención es una excelente inversión.
Referencia
https://www.gartner.com/en/newsroom/press-releases/2023-02-22-gartner-predicts-nearly-half-of-cybersecurity-leaders-will-change-jobs-by-2025