Revelar los costos empresariales del riesgo cibernético: estudio de Ponemon
por Kevin Flynn
Página de inicio del Blog / Noticias y puntos de vista
El estudio revela que las organizaciones no están midiendo de manera precisa los costos empresariales del riesgo cibernético, y que no pueden cuantificar el daño que los ataques cibernéticos podrían causar a sus negocios. Esto conlleva que las organizaciones no tengan la información crítica que necesitan para tomar decisiones sobre la asignación de recursos, las inversiones en tecnología y la priorización de las amenazas.
A diferencia de otras disciplinas de negocios (CRM, ERP, RH), la ciberseguridad no posee métricas empresariales precisas que ayuden a los ejecutivos a tomar decisiones en un lenguaje que los directores y la junta directiva puedan entender fácilmente. Cuando le encargamos a Ponemon Research que analizara los efectos del riesgo cibernético en las operaciones de negocios, nuestro objetivo era explorar cómo cuatro KPI comunes asociados con la Cyber Exposure (exposición cibernética) alertan sobre ciertos tipos específicos de riesgo empresarial. No queríamos evaluar únicamente el impacto medido en dólares, sino explorar cómo el riesgo cibernético influye en la estrategia de negocios, los productos, la cadena de suministro, el flujo de ingresos, las operaciones, la tecnología empresarial, la experiencia de los clientes y el cumplimiento normativo.
Lo que descubrimos (luego de encuestar a 2410 tomadores de decisiones en el área de TI e InfoSec de seis países) es que los KPI y las métricas tradicionales que se usan para evaluar los riesgos empresariales no pueden ser utilizados para comprender los riesgos cibernéticos. Las organizaciones no están midiendo de manera precisa los costos empresariales del riesgo cibernético, y no logran cuantificar el daño que los ataques cibernéticos podrían causar a sus negocios. Por lo tanto, se están tomando decisiones sobre la asignación de recursos, la inversión en tecnología y la priorización de las amenazas sin basarse en información crítica. Además, las organizaciones no pueden establecer una correlación entre los KPI de riesgo cibernético que utilizan actualmente con la mitigación de una filtración de datos o un exploit de seguridad.
En momentos en que las juntas directivas se están interesando más que nunca por la ciberseguridad, el estudio Medición y Gestión de los Riesgos Cibernéticos en las Operaciones de Negocios, realizado por Ponemon Institute en representación de Tenable, revela una falta de confianza entre los profesionales de la ciberseguridad en cuanto a la precisión de sus métricas. Esto lleva a que los directores de seguridad de la información u otros ejecutivos de tecnologías de seguridad se vuelvan reacios a compartir información crítica con respecto a los costos empresariales de los riesgos cibernéticos con las juntas directivas.
Explorando los KPI más comunes
Para el estudio, identificamos cuatro KPI comunes que se utilizan para medir el riesgo cibernético:
- tiempo de evaluación;
- tiempo de reparación;
- eficiencia para priorizar el riesgo cibernético; e
- identificación de activos vulnerables al riesgo cibernético, incluidos los dispositivos de tecnologías operativas (OT) y la Internet de las cosas (IoT).
Aparte, analizamos tres KPI utilizados con frecuencia para medir las consecuencias financieras de un ataque cibernético:
- pérdida de ingresos;
- pérdida de productividad; y
- baja de la cotización en Bolsa.
La gran mayoría de los encuestados (91 %) reconocen que han vivido al menos un incidente cibernético que afectó las actividades de la empresa en los últimos 24 meses. El 60 % experimentó dos o más incidentes en el mismo periodo. Estos ataques causaron filtraciones de datos, o una interrupción o un tiempo de inactividad significativo en las operaciones empresariales, las plantas y el equipo operativo.
La mayoría de los encuestados (58 %) dijeron que los KPI y las métricas tradicionales para evaluar los riesgos empresariales no pueden utilizarse para comprender los riesgos cibernéticos. Cuando se les consultó sobre la cuantificación del daño que los eventos cibernéticos podrían causar a sus negocios, solo el 41 % de los encuestados (988) dijeron que sus organizaciones intentaron estimarlo. Además, solo el 30 % de los encuestados dijeron que sus organizaciones pueden correlacionar la información de los KPI de riesgo cibernético con las acciones necesarias para reducir el riesgo de una filtración de datos o un exploit de seguridad.
De los 988 encuestados que dijeron que sus organizaciones intentan cuantificar el daño que los incidentes de seguridad podrían causar a sus negocios:
- el 54 % afirma que cuantifica lo que costaría el robo de propiedad intelectual;
- el 43 % afirma que calcula la pérdida financiera potencial; y
- el 42 % tiene en cuenta el impacto de la pérdida de la productividad de los empleados después de una filtración de datos o un exploit de seguridad.
¿Qué factores se usan para cuantificar el riesgo potencial de un ataque cibernético?
Fuente: Medición y Gestión de los Riesgos Cibernéticos en las Operaciones de Negocios, Ponemon Institute y Tenable, diciembre de 2018.
Les solicitamos a los encuestados que califiquen la precisión de la información obtenida utilizando los KPI arriba mencionados, medida en una escala de 1 = imprecisa a 10 = muy precisa. Solo el 38 % de los encuestados creen que sus mediciones son muy precisas, mientras que el 44 % piensa que sus mediciones no son muy precisas.
El estudio también revela que las organizaciones no están utilizando los KPI que consideran más importantes para evaluar y comprender las amenazas cibernéticas. Por ejemplo, dos tercios de los encuestados (64 %) identificaron el "tiempo de evaluación" como un KPI importante para evaluar el riesgo cibernético. Sin embargo, solo el 49 % de ellos están utilizando esta métrica actualmente. Notamos discrepancias similares cuando observamos los otros tres KPI analizados en el informe (ver a continuación).
Discrepancias en el uso y la importancia de los KPI
| KPI | Utilizado por (% de encuestados) | Considerado esencial (% de encuestados) |
|---|---|---|
| Tiempo de evaluación del riesgo cibernético | 49 % | 64 % |
| Tiempo de reparación del riesgo cibernético | 46 % | 70 % |
| Identificar activos de OT y IoT | 34 % | 62 % |
| Eficiencia de priorización | 38 % | 57 % |
Fuente: Medición y Gestión de los Riesgos Cibernéticos en las Operaciones de Negocios, Ponemon Institute y Tenable, diciembre de 2018.
Medición del riesgo cibernético: nadie dijo que fuera fácil
Los encuestados identificaron siete razones clave por las que sus organizaciones continúan enfrentando desafíos de ciberseguridad, las cuales incluyen:
- Un área de Seguridad de TI con escaso personal.
- La falta de recursos para gestionar vulnerabilidades.
- La proliferación de dispositivos de IoT en el lugar de trabajo.
- La complejidad de la infraestructura de seguridad de TI.
- La falta de controles sobre el acceso de terceros a información confidencial.
- Dependencia de procesos manuales para responder a vulnerabilidades.
- Visibilidad insuficiente de la superficie de ataque de la organización.
Si bien ninguno de estos problemas puede repararse rápida y fácilmente, pensamos que enfocarse en los siguientes cinco pasos le ayudará a colocar a su organización en el camino correcto para construir una estrategia de ciberseguridad que priorice los negocios.
- Identificar y mapear cada activo en cualquier entorno informático.
- Comprender la Cyber Exposure (exposición cibernética) de todos los activos, incluso las vulnerabilidades, las configuraciones erróneas y otros indicadores de estado de la seguridad.
- Comprender las exposiciones en contexto, para priorizar su reparación en base a la criticidad de los activos, el contexto de la amenaza y la gravedad de la vulnerabilidad.
- Priorizar qué exposiciones corregir primero, en caso de que existan, y aplicar la técnica de reparación correspondiente.
- Medir y analizar la Cyber Exposure (exposición cibernética) para tomar mejores decisiones empresariales y tecnológicas.
Aparte de los consejos arriba mencionados, el informe Medición y Gestión de los Riesgos Cibernéticos en las Operaciones de Negocios, finaliza con un proceso de cinco pasos para medir y gestionar el riesgo cibernético que usted puede poner en práctica en su propia organización hoy mismo.
Acerca de este estudio
El informe Medición y Gestión de los Riesgos Cibernéticos en las Operaciones de Negocios, se basa en una encuesta de 2410 tomadores de decisiones en el área de TI y seguridad informática en los Estados Unidos, el Reino Unido, Alemania, Australia, México y Japón. Todos los encuestados están involucrados en la evaluación y administración de las inversiones en soluciones de ciberseguridad dentro de sus organizaciones. En este informe, se presentan los hallazgos globales unificados. Descargue su copia gratuita aquí.
Artículos relacionados
Cybersecurity Snapshot: U.S. Gov’t Unpacks AI Threat to Banks, as NCSC Urges OT Teams to Protect Cloud SCADA Systems
March 29, 2024Check out new guidance for banks on combating AI-boosted fraud. Plus, how to cut cyber risk when migrating SCADA systems to the cloud. Meanwhile, why CISA is fed up with SQLi flaws. And best practices to prevent and respond to DDoS attacks. And much more!
Enhancing Transportation Cybersecurity and Fleet Management for the DoD
March 25, 2024Few things can halt operations across the Department of Defense like a critical failure of logistics and transportation. From automated asset inventory to malicious-activity detections through baselining, learn how Tenable OT Security can protect these critical functions within the DoD and work towards the federal government’s zero trust mandate in OT environments.
Cybersecurity Snapshot: NSA Picks Top Cloud Security Practices, while CNCF Looks at How Cloud Native Can Facilitate AI Adoption
March 22, 2024Check out the NSA’s 10 key best practices for securing cloud environments. Plus, learn how cloud native computing could help streamline your AI deployments. Meanwhile, don’t miss the latest about cyberthreats against water treatment plants and critical infrastructure in general. And much more!
Cybersecurity Snapshot: U.S. Gov’t Unpacks AI Threat to Banks, as NCSC Urges OT Teams to Protect Cloud SCADA Systems
March 29, 2024Check out new guidance for banks on combating AI-boosted fraud. Plus, how to cut cyber risk when migrating SCADA systems to the cloud. Meanwhile, why CISA is fed up with SQLi flaws. And best practices to prevent and respond to DDoS attacks. And much more!
Enhancing Transportation Cybersecurity and Fleet Management for the DoD
March 25, 2024Few things can halt operations across the Department of Defense like a critical failure of logistics and transportation. From automated asset inventory to malicious-activity detections through baselining, learn how Tenable OT Security can protect these critical functions within the DoD and work towards the federal government’s zero trust mandate in OT environments.
Cybersecurity Snapshot: NSA Picks Top Cloud Security Practices, while CNCF Looks at How Cloud Native Can Facilitate AI Adoption
March 22, 2024Check out the NSA’s 10 key best practices for securing cloud environments. Plus, learn how cloud native computing could help streamline your AI deployments. Meanwhile, don’t miss the latest about cyberthreats against water treatment plants and critical infrastructure in general. And much more!
- Federal
- Financial Services
- Government
- Internet of Things
- Metrics
- Research Reports
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning