¿EN QUÉ PODEMOS AYUDARTE?

CONTACTO

CONTACTO

Cuantificación del riesgo cibernético basada en datos. Parte 2.

Guía estratégica para los directores de seguridad de la información

1. Cálculo del impacto de los incidentes cibernéticos

Continuemos nuestro recorrido para comprender cómo utilizar los datos para impulsar nuestras decisiones estratégicas sobre el desarrollo y la presupuestación de nuestra estrategia cibernética.

Se han realizado varios intentos para calcular el coste por hora del tiempo de inactividad de una organización que se enfrenta a un incidente cibernético (independientemente del tipo).
En 2014, un estudio de Gartner sobre el coste del tiempo de inactividad arrojó una estimación de 5600 dólares por minuto. Más tarde, en 2016, el Ponemon Institute calculó la cifra en 9000 dólares por minuto.

Independientemente del negocio, y aunque varía según la empresa, un ciberincidente siempre es costoso. No obstante, utilizar una media derivada de los datos de las empresas más destacadas puede no ayudar adecuadamente a un CISO a convencer al consejo de administración de la necesidad de invertir en estrategia cibernética. Por lo tanto, para proporcionar algo significativo a su organización, debemos utilizar una calculadora y los datos de su propia empresa.

A pesar de que ni el Ponemon Institute ni Gartner revelan las fórmulas que utilizan para cuantificar las cantidades económicas derivadas de las violaciones de datos, afirman claramente que han tenido en cuenta las actividades legales, normativas y técnicas, así como la estimación de la pérdida de valor de marca, la rotación de clientes y la disminución de la productividad de los empleados.

Fuente: IBM y Ponemon Institute, análisis de Apeiroo

Las cifras representan el coste en millones de dólares estadounidenses de una violación de datos cibernéticos

Todos estos elementos nos dan pistas sobre cómo realizar nuestros propios cálculos sobre las finanzas de los ciberincidentes. En aras de la transparencia, hemos decidido arrojar algo de luz sobre estos componentes. Consideramos muy lamentable que ningún estudio anterior haya publicado una metodología clara para que los CISO calculen por sí mismos los costes de un ciberincidente. Este es nuestro intento de calcular el coste aproximado de los ciberincidentes, teniendo en cuenta los gastos directos, indirectos y de oportunidad:

    • Costes directos: El gasto directo para llevar a cabo una actividad determinada (por ejemplo, contratar asesores externos de respuesta a incidentes, externalizar el servicio de asistencia telefónica).

    • Costes indirectos: La cantidad de tiempo, esfuerzo y otros recursos organizativos gastados, pero no como un desembolso directo de efectivo (por ejemplo, investigaciones internas, comunicaciones internas).

    • Costes de oportunidad: Costes derivados de la pérdida de oportunidades de negocio como consecuencia de los efectos negativos sobre la reputación después de que la violación se haya comunicado a las víctimas y se haya revelado públicamente a los medios de comunicación.

1.1 Cálculo del coste salarial por tiempo de inactividad

Calcular el impacto financiero en la productividad es un proceso sencillo:

Paso 1: Determinar el salario medio por hora de los empleados afectados. Se puede obtener fácilmente a través del departamento de recursos humanos. Es aceptable una estimación media que no se aleje demasiado de la cifra totalmente validada.

Paso 2: Decida el factor de impacto en la productividad del evento de tiempo de inactividad. (Por ejemplo, si se pierde su conexión principal a Internet debido a un ataque de denegación de servicio (DDoS) y no tiene una copia de seguridad, ¿qué significaría eso para todos sus departamentos?) Esto puede ser tan bajo como el 10 % o tan alto como el 100 %, dependiendo de cuál sea la interrupción y de la naturaleza del trabajo de los empleados afectados.

Coste del tiempo de inactividad = E × I% × S

Donde:

• E = Número de empleados afectados
• I% = Factor de productividad (porcentaje afectado por el incidente)
• S = Salario medio por hora

Ejemplo: en un equipo con 500 empleados profesionales que operan en un modelo totalmente en la nube, el cálculo sería el siguiente: 87,97 $ (salario medio por hora) × 90 % (nivel estimado de impacto en la productividad) × 500 (número de empleados afectados) = 39 586,50 $ por hora.

Este es el coste interno directo para la empresa, solo en salarios. Pero, ¿qué hay de los costes de cumplimiento y de oportunidad?

1.2 El método del coste total

Si queremos más detalles para describir la magnitud del problema a los responsables de la toma de decisiones de la organización, debemos dar algunos pasos más. Un método integral consiste en sumar los costes internos directos (el dinero que la organización perderá realmente) a los costes de ingresos (los ingresos perdidos que no se pueden cobrar a los clientes durante el tiempo de inactividad).

Fórmula del coste de productividad

Coste de productividad = E × I% × C × H

Donde:

• E = Número de empleados afectados
• I% = Porcentaje en que se ven afectados (por ejemplo, ¿pueden seguir realizando el
50 % de su trabajo incluso después de que se interrumpa el acceso a la aplicación?
• C = Coste medio por hora de un empleado para la empresa (incluido un 30 % de
gastos generales por formación, electricidad, alquiler, etc.)
• H = Número de horas de inactividad

Fórmula de pérdida de ingresos

Pérdida de ingresos = (GR / AH) × I% × H

Donde:

• GR = Ingresos brutos (anuales)
• AH = Cantidad total de horas laborables (anuales). Una estimación válida: 220 días
× 8 horas = 1760 horas por empleado
• I% = Porcentaje de impacto en la capacidad de generación de ingresos
• H = Número de horas de inactividad

1.3 Costes de recuperación y cumplimiento

El cálculo de los costes de recuperación y cumplimiento no tiene una fórmula objetiva, por lo que aquí debemos utilizar estimaciones discrecionales basadas en las circunstancias específicas de su organización. A la hora de elaborar su estimación, debe tener en cuenta las siguientes actividades:

• Investigación del incidente: horas del equipo interno de TI y seguridad, más investigadores forenses externos si es necesario. Los trabajos típicos de investigación forense oscilan entre 25 000 y más de 250 000 dólares, dependiendo de la complejidad.
• Determinación del alcance de la violación de datos: Identificación de los interesados afectados para su posible divulgación reglamentaria y notificación a los clientes. Esto suele requerir herramientas especializadas de minería y análisis de datos.
• Preparación de documentos de notificación y divulgaciones requeridas: honorarios de asesores legales, presentaciones reglamentarias y costos de notificación a los clientes. Los costos de notificación por registro suelen oscilar entre 1 y 5 dólares por persona afectada, más honorarios legales de entre 200 y 500 dólares por hora.
• Servicios de supervisión crediticia y protección de la identidad: a menudo necesarios o esperados en caso de violaciones que afecten a datos personales.
Costes típicos: entre 10 y 30 dólares anuales por persona afectada.
• Reparación y refuerzo del sistema: costes de corregir vulnerabilidades, reconstruir sistemas comprometidos e implementar controles de seguridad adicionales para evitar que se repita.
• Formación posterior al incidente: actualización de la formación en materia de seguridad y formación específica sobre las lecciones aprendidas del incidente.

1.4 Análisis de coste-beneficio: seguro y retorno 

Los siguientes ejemplos demuestran cómo la inversión en un seguro cibernético y en un anticipo por respuesta a incidentes puede superar con creces los costes potenciales de la materialización del riesgo cibernético en el tiempo de inactividad de la empresa.

Ejemplo 1: Empresa de servicios financieros de tamaño medio

Perfil de la organización: 500 empleados, 150 millones de dólares de ingresos anuales, salario medio de 95 000 dólares al año (45,67 dólares por hora).

Inversión Coste anual
Segura cibernético (cobertura de 5 millones de dólares) 75,000$
Retenciones de relaciones con los inversores (100 horas al año) 35,000$
Inversión anual total 110,000$

Costes potenciales de un incidente de ransomware de 48 horas (sin seguro):

• Pérdida de productividad: 500 × 80 % × 45,67 $ × 48 = 877 000
• Pérdida de ingresos: (150 millones de dólares / 1760) × 75 % × 48 = 3 068 000
• Servicios de respuesta a incidentes de emergencia (sin tarifa de retención): 150 000
• Recuperación y reparación: 500 000 $
Exposición potencial total: 4 595 000 $

Retorno de la inversión: La inversión anual de 110 000 $ representa solo el 2,4 % de la exposición potencial por un solo incidente. Incluso si la organización solo sufre un incidente significativo cada 5 años, la inversión genera un rendimiento de 7,4:1.

Ejemplo 2: Organización sanitaria

Perfil de la organización: 2000 empleados, ingresos anuales de 400 millones de dólares, coste medio de las infracciones en el sector sanitario: 10,1 millones de dólares (según IBM/Ponemon)

Inversión recomendada:

• Seguro cibernético (cobertura de 10 millones de dólares): 200 000 dólares al año
• Retenciones de relaciones públicas (200 horas al año): 65 000 dólares al año
• Total: 265 000 dólares al año (2,6 % del coste medio de una infracción)

Dados los elevados costes de las infracciones en el sector sanitario y la exposición normativa en virtud de la HIPAA, esta inversión proporciona una protección financiera fundamental mientras la organización desarrolla la madurez de su programa de seguridad.

Referencias

    1. Barómetro de riesgos de Allianz (2012-2024). Encuesta anual sobre riesgos
      empresariales globales. Allianz Global Corporate & Specialty.
      2. IBM Security y Ponemon Institute. Informe sobre el coste de las violaciones de datos
      (2013-2024).
      3. Cybereason (2022). «Ransomware: el verdadero coste para las empresas».
      https://www.cybereason.com/ransomware-the-true-cost-to-business-2022
      4. Allianz Global Corporate & Specialty (2015). «Guía sobre el riesgo cibernético:
      gestión del impacto de la creciente interconectividad».
      5. Financial Times. «Los gestores de riesgos advierten de que los seguros cibernéticos
      podrían convertirse en un producto inviable».
      6. Gartner (2014). «El coste del tiempo de inactividad».
      7. Ponemon Institute (2016). «Coste de las interrupciones del servicio en los centros de
      datos».