¿Qué impacto genera la falta de medidas de ciberseguridad del tejido empresarial español en el PIB nacional? ISMS Forum se propuso responder a esta pregunta en el XII Foro de la Ciberseguridad, celebrado el pasado mes de mayo. "Igual que sabemos el impacto de la falta del cambio climático en el PIB que es del 2,6% y del coste de la ciberdelincuencia en el mundo que supone el 8% del PIB global, podríamos calcular el coste de la falta de medidas de seguridad en las empresas y su impacto en el PIB", señaló entonces Daniel García, managing director de ISMS Forum, apuntando que su intención era crear un indicador de ciberinseguridad, el primero de este tipo en España.
ISMS Forum ya ha cumplido su objetivo. En la XXV edición de la Jornada Internacional de Seguridad de la Información, celebrada hace unos días en el Estadio Cívitas Metropolitano, ha presentado este indicador ante los más de mil expertos en ciberseguridad que han atendido a la cita. En una de las mesas redondas de este evento se hicieron públicos los primeros datos, aún preliminares, que reflejan que el coste de la ciberinseguridad en nuestro país podría equivaler, como mínimo a un 0,1 del PIB español, y como máximo de hasta un 8%. Es decir, las pérdidas ocasionadas por la ciberinseguridad podrían alcanzar los 110.000 millones de euros.
Con este proyecto, que se irá abriendo a las instituciones y entidades públicas, ISMS Forum busca determinar cómo afectan las carencias de ciberseguridad a la creación de valor por parte de las empresas, utilizando mediciones económicas que lo visibilicen.
La metodología del indicador de ciberinseguridad
Según explican desde ISMS Forum, el punto de partida para generar los datos del indicador ha sido definir los sectores en los que se iba a trabajar. Entre ellos, se engloban la industria manufacturera, el sector energético y de recursos naturales, el financiero y asegurador, el de comercio al por mayor y por menor, el campo de las tecnologías de la información/comunicación y el de los servicios empresariales.
Para cada sector se han formado grupos de expertos, los cuales valoran los riesgos residuales de ciberinseguridad que afronta su industria en varias categorías de amenazas, de acuerdo con la Taxonomía de Referencia para la Clasificación de Incidentes de Seguridad recomendada por la Red Nacional de SOC (CCN-CERT). Los resultados presentados corresponden a la primera ronda de consultas a los expertos.
Estos resultados se irán refinando aplicando el método DELPHI, con el fin de llegar a valores de consenso, reducir la dispersión en el rango de las respuestas e incrementar la validez y fiabilidad del estudio. Todo ello con la meta de que el indicador de ciberinseguridad sea capaz de ofrecer estimaciones del impacto en los distintos sectores de actividad analizados, además del riesgo económico agregado que supone la ciberinseguridad a nivel nacional.