España se encuentra entre los países que más ciberataques sufren de su entorno, una circunstancia que subraya la necesidad de que las organizaciones, con independencia del tamaño, dispongan de planes de contingencia eficaces.
Una vez protegidas, el siguiente paso pasa por que las empresas sean capaces de medir su capacidad de ciberresiliencia y de ofrecer información objetiva al respecto. Esto resulta imprescindible no solo para saber si realmente están protegidas, sino también para ofrecer una información objetiva y precisa a la hora de contratar otros servicios, como seguros de ciberseguridad, o de relacionarse con otras empresas e instituciones en red. Pero ¿cómo se pueden realizar análisis de riesgos cibernéticos con fiabilidad? ¿Qué información y estándares se deben utilizar para que estos tengan validez universal?
En este encuentro SEG-TEC de Escudo Digital hemos reunido a tres expertos que, desde tres perspectivas diferentes, nos explicarán la conveniencia de medir el nivel de seguridad digital de nuestras organizaciones y además cómo debemos hacerlo para que dichas mediciones sean útiles y tengan valor cara a todas las partes.
Carlos Alberto Saiz Peña, abogado experto en Seguridad Digital en Ecix Tech Group; Manuel Carpio, director de ciberseguridad de Armatum, plataforma del grupo tecnológico español ABAI desarrollada para ayudar a las organizaciones a obtener una valoración económica cuantitativa del Riesgo Cibernético, y Pedro Serrano Huidobro, CEO de Cyber Security Management, empresa de implementación de planes ciber, han mantenido un interesantísimo debate imprescindible tanto para los CISOS como para la alta dirección de las organizaciones.
Por qué toda organización debe medir su riesgo cibernético
El debate comenzó con una breve explicación por parte de los tres expertos sobre las razones por las que toda organización debe medir su riesgo cibernético. A este respecto, Saiz Peña señaló desde una perspectiva más legal que, “medir elementos que interactúan en la ciberseguridad, los riesgos, la amenaza, la vulnerabilidad, es bueno para una compañía porque los sistemas de ciberseguridad no son infalibles, la ciberseguridad nunca es total y esto es una inversión respecto a unos activos a proteger para que una compañía o la administración pública pueda operar con normalidad. Medir los riesgos a los que estamos expuestos para saber asegurarlos, para saber protegerlos es evidentemente fundamental”.
Manuel Carpio añadió que, “para gestionar algo primero tienes que saber medir, y esa medición, incluso de intangibles, como puede ser la seguridad de la información, es hoy posible. Lo que tenemos ponernos de acuerdo es en el método de medida y en los instrumentos, y ya hay estándares internacionales de reconocido prestigio que son convencionales (…) Lo que no me vale es que si viene ‘Pepito’ evalúe un riesgo de un fenómeno determinado, y si lo hace ‘Juanito’, con otro instrumento, el resultado sea distinto. Eso es lo que el mercado no va a entender, por eso el mercado necesita instrumentos válidos y confiables para la medida del riesgo cibernéticos, y que esto se convierta en una convención”.
Para Pedro Serrano, como experto en procesos de digitalización de las empresas, “el análisis de riesgo es clave para abordar cualquier plan de transformación digital. Es muy difícil que si una empresa no es conocedora de los riesgos que presenta ante posibles cibereventos sea capaz de protegerse y de actuar en consecuencia para ser cibersegura. No solamente tenemos que analizar los riesgos, sino que tenemos que ser capaces de medirlos y de cuantificarlos. Si no hacemos estas tres partes haremos seguramente mal una priorización de estos riesgos. Cuando hacemos una evaluación del riesgo del cliente nuestro objetivo es tener un mapa de calor con todos los riesgos levantados en la compañía atiendan a unos criterios de priorización, si no cuantificamos económicamente esos riesgos no podremos llegar ahí (…) Ciberseguridad es un concepto global, no existe ciberseguridad en una sola persona; en un mundo conectado estos se producen en cadena, por eso la normativa nos exige cada vez más cumplir con todo lo que tenga que ver con terceros, con proveedores, con clientes, con ese mundo conectado que es en el que a día de hoy vivimos”.
Metodologías fiables a nivel de organizaciones y de Estados
El encontrar métodos de medición objetivos, que ofrezcan resultados cuantificables y generalmente aceptados que sirvan para evaluar el nivel de ciberseguridad de una organización, es posiblemente el principal asunto a convenir por parte de los distintos actores del sector. Sobre la búsqueda de estos estándares, Carlos Alberto Saiz Peña, abogado en Ecix Tech Group, contó su experiencia: “Conozco muchas compañías que han hecho el ejercicio de medición de riesgos, pero cada una con un calibre diferente, bajo una vara de medir diferente. ¿Qué significa? Que los resultados no se pueden armonizar, ni siquiera se pueden elevar a la dirección. Los estándares internacionales son clave para todo esto, porque al final tenemos que hacer una mezcla entre los estándares internacionales y la normativa regional. Tenemos que mezclar ambos mundos y ahí es donde tenemos uno de los grandes retos. También necesitamos medir no solamente el riesgo como empresas, sino también como país. En la asociación ISMS Forum, donde soy vicepresidente, hemos lanzado una iniciativa precisamente para esto, para ver cuál es el riesgo de ciberseguridad en España y cuánto cuesta, es decir, cuánto del PIB nos estamos jugando por no ser todo lo ciberseguros que debíamos ser en organizaciones públicas y privadas. Esto se puede hacer (…) y tenemos buenas palancas para medir no solo los riesgos sino también el valor económico de lo que estamos protegiendo y, por lo tanto, cuánto tenemos que invertir para seguir haciéndolo”.
“En países ya como España, con cierta madurez, con un tejido industrial muy digitalizado, debemos empezar a hablar del rendimiento de las inversiones de ciberseguridad -añadió Manuel Carpio-. No solamente del rendimiento de la ciberseguridad, sino de la inseguridad, ¿cuánto nos cuesta como país la inseguridad tecnológica? Nadie lo sabe y es algo fundamental conocerlo. Ya las empresas empiezan a plantearse el coste económico asociado a la seguridad y a la inseguridad, y esto vamos a verlo cada vez más. Disponemos de metodologías en el mercado de análisis cualitativo, que me dicen si mi riesgo es alto, medio o bajo, o si cumplo más o menos requisitos legales… Todo eso está muy bien, pero no nos podemos quedar ahí, tenemos que dar pasos hacia una mayor implicación en el negocio, y para hablar de negocio necesitamos metodologías que cuantifiquen económicamente el riesgo y que puedan transmitir a la dirección y a otros estamentos, como el político, en términos que sean entendibles por todos, y una forma muy entendible es el impacto económico, hablar en euros de la seguridad y de la ciberseguridad, y hay nuevas herramientas que cubren este campo”.
Pedro Serrano elevó este debate más allá del ámbito empresarial y lo situó al nivel de las grandes organizaciones supranacionales: “Si pensamos en países o en organizaciones como la OTAN o la Unión Europea, esas organizaciones de alto nivel también tienen que garantizarse entre ellos que hay unos niveles de ciberseguridad alineados. Yo no puedo pensar que un país cualquiera de mi organización no está en los niveles de ciberseguridad adecuados. Ahora estamos viendo la guerra de Ucrania, si Europa quiere protegerse no puede ser que un país como Francia, por decir uno, esté protegido de forma diferente que otro como España o Alemania, porque esto es la ley del eslabón más débil. Si Rusia quiere atacar a Europa no va a ir a atacar a Francia y sí quizá va a hacerlo a Eslovenia, por poner un ejemplo, porque sabe que en el mundo conectado una vez dentro de Eslovenia va a ser capaz de parar los aviones que despegan desde Cádiz. Es decir, lo que estamos hablando afecta a todos los niveles de la sociedad. Lo mismo que hablamos de países lo podemos trasladar a empresas; yo no puedo colaborar con empresas que no me den ese nivel de seguridad porque si yo externalizo un servicio y esa empresa no me garantiza que ante un problema son capaces de seguir dándome servicio me van a provocar un problema grave en la continuidad de mi negocio.”
Una evaluación económica cuantificable
Asumiendo la importancia de encontrar herramientas que sean capaces de ofrecer información objetiva, validada por el sector, y cuantificable por parte de estos tres expertos, el director de ciberseguridad de Armatum explicó el funcionamiento de esta plataforma desarrollada para dicho fin: “Hemos desarrollado una plataforma que calcula el retorno de las inversiones en ciberseguridad, calcula las pérdidas potenciales por ciber inseguridad y prioriza las medidas tendentes a mitigar el impacto económico de la ciberseguridad. Y se basa en estándares internacionales, algunos tan conocidos como Open FAIR, que es algo parecido a la ISO pero nacido en Estados Unidos, y otros muchos. Utilizamos simulaciones Montecarlo y hay mucha estadística; realmente la herramienta es un alarde estadístico. Hay otro estándar que a mí me encanta, y somos pioneros a nivel mundial, que es el estándar Gordon-Loeb para el cálculo de la inversión óptima en ciberseguridad. Nosotros lo hemos adoptado y podemos decir a una empresa en función de sus inversiones actuales cuál es su nivel óptimo; el nivel óptimo es aquel a partir del cual las inversiones ya no son eficientes porque la reducción de pérdidas no compensa con la inversión. En España yo no conozco ninguna empresa que esté cerca, porque ese tampoco es el objetivo, pero sí es cierto que lo que me separa de mi inversión óptima es un buen indicador acerca de cuál es el grado de compromiso que una dirección de una empresa tiene con la ciberseguridad. Utilizamos otros estándares, para el cálculo del retorno de las inversiones empleamos el de la Agencia Europea, de ENISA, y otros muchos que ahora sería largo de explicar. En Armatum todo lo que usamos son estándares porque entendemos que el instrumento de medida tiene que ser estándar, no puede ser una caja negra que yo me he inventado, tiene que ser algo sujeto a público escrutinio de acuerdo a una metodología”.
No obstante, cabe esperar que la incorporación y generalización de herramientas como Armatum en el ámbito de las organizaciones vaya produciéndose, a medida de que estas sean conscientes de la importancia de realizar mediciones del riesgo cibernético de alta precisión. De hecho, como explica Saiz Peña, en el ámbito de los seguros de ciberseguridad, estas auditorías necesitan ser más rigurosas: “Todavía no son habituales estas herramientas, pero esperamos que lo sean. Creo que necesitamos ser más precisos porque es bueno para todos. Es bueno para la industria, es bueno para el asegurado, para la empresa a la que va a asegurar, y para que todo el mundo empiece a hablar de euros y de posibles impactos en ciberseguridad. De lo contrario, hablaremos de costes de primas que la empresa probablemente verá disparadas, va a dudar de si las coberturas son las adecuadas, el CISO no se va a sentir del todo a gusto porque va a sentir que va a perder cierto presupuesto porque se pagan ciertas primas que son demasiado caras bajo su punto de vista… Y todo eso para que deje de ser una conversación ‘del aire de los peces’ hay que aterrizarlo a números. Cuanto más respeto se tenga con una metodología común más confianza va a dar a todas las partes”.
El CEO de Cyber Security Management, acostumbrado como está a diseñar planes de digitalización y de ciberseguridad para organizaciones, también cree que el entorno empresarial sigue mostrando algunas resistencias para aplicar metodologías de medición avanzadas: “El nivel de concienciación en España está creciendo por parte de las compañías, pero aún falta. Aún se ve en muchas ocasiones como un gasto en lugar de como una inversión; ese es uno de los hándicaps a la hora de hablar con las empresas. Salvada esa barrera ya entramos a cómo valoran los análisis de riesgos. Muchas compañías aún están dudando en la efectividad de estos análisis y lejos del punto de la cuantificación, pero sí es cierto que ha habido una evolución y estamos más en positivo. Aunque sí es cierto que cuesta convencer de la necesidad de hacer análisis del ciberriesgo porque eso tiene un coste, y eso se ve como un gasto. Las compañías aún necesitan una mayor concienciación, sobre todo cuando hablamos de pymes, que están siendo brutalmente atacadas”.
CISOS y CEOS: el arte de reportar
En el encuentro entre estos tres expertos se tocaron muchos otros aspectos relacionados, como la forma de encontrar un equilibrio entre los departamentos de seguridad digital y la alta dirección a la hora de justificar determinados gastos en ciberseguridad, una materia etérea a la que los CISOS y los CEOS encuentran problemas para utilizar un mismo lenguaje. Sobre esta cuestión ofrecemos un corte del encuentro en la que los tres intervinientes mostraron su experiencia en este tipo de situaciones, así como la fórmula que actualmente solucionaría estas diferencias.
Fueron muchos otros los asuntos que se pusieron sobre la mesa a colación de la importancia de medir el riesgo cibernético de las organizaciones. Y la forma en la que actualmente se hacen estas auditorías en los distintos sectores y cómo van a ir evolucionando no podía quedar al margen de este debate, como se puede ver en este último extracto.
En el video que encabeza este resumen se puede ver la versión completa de este Encuentro SEG-TEC de Escudo Digital, donde merece especialmente la pena atender a las conclusiones con las que estos tres expertos lo concluyeron.