Transparencia económica de la ciberseguridad

Al comienzo de las medidas restrictivas como parte de la pandemia, sucedió lo siguiente: Muchas empresas, que pasaban urgentemente del modo de desarrollo al modo de ahorro, anunciaron a las divisiones una reducción proporcional de todos los costos en un 15% y, en respuesta, solicitaron a las divisiones de servicios que informaran qué cambiaría exactamente a partir de esto.

Todas las unidades, excepto una, hicieron frente rápidamente a la tarea. Informaron en qué servicios caería la calidad y cuáles no estarían disponibles por completo. Las divisiones consideraron varias opciones y eligieron la más benigna para el negocio: para la mayoría de las divisiones, evaluar constantemente cuánto nos cuesta este o aquel servicio es casi una rutina diaria.

Y solo una unidad respondió: “Nada va a cambiar”. Era un servicio de ciberseguridad. ¿Por qué pasó eso? Está claro que si, por ejemplo, se reduce la flota de vehículos en financiación, lo que significa menos personas y combustible, peor calidad de los repuestos, etc., entonces es bastante fácil calcular cómo cambiará el intervalo de tráfico, cuánto la cola de solicitudes y el tiempo medio de ejecución.

Es decir, muchos procesos comerciales se calculan utilizando modelos matemáticos bastante simples. Desafortunadamente, esto tiene poca aplicación a la ciberseguridad. La ciberseguridad es como un enlace: cuanto mejor es, más discreto es.

Si la mayoría de los procesos comerciales se miden por eventos que han ocurrido, entonces el resultado de las actividades de los ciberdefensores no son eventos que han ocurrido, sino eventos que no han pasado.

También es imposible descartar el hecho de que los profesionales de ciberseguridad son personas específicas que eligieron esta profesión por una razón. Muy a menudo, los recortes en la financiación de la ciberseguridad no provocan cambios visibles durante algún tiempo.

Modelos de riesgo

Por supuesto, para los amantes de las matemáticas, hay hermosos modelos de riesgo y puedes calcular, mostrar y justificar cualquier cosa. Pero los negocios consisten en asumir riesgos, y los riesgos de seguridad cibernética siempre palidecen en comparación con los riesgos geopolíticos u otros habituales.

Si el riesgo no es del cien por cien, a los ojos de la empresa se convierte inmediatamente en un cincuenta por ciento. Incluso cuando los modelos de riesgo son una parte rutinaria del negocio (banca, seguros), la principal herramienta empresarial para hacer frente a los mismos es la provisión de fondos para compensar los daños y no las acciones destinadas a reducirlos.

¿Qué pasa con las industrias menos maduras en términos de evaluación de riesgos?

Usando terminología económica, podemos decir que la calidad de la ciberseguridad no es elástica en cuanto a los recursos, es decir, un cambio en los recursos no conduce a un cambio proporcional en la calidad. Esto también es cierto con respecto al aumento de recursos: aumente el presupuesto de ciberseguridad varias veces y la empresa no notará nada especial, así como no ocurrirán eventos inaceptables.

Papel en la transformación digital

Pero cuanto más lejos, más la ciberseguridad se convierte en un elemento de transformación digital. En parte debido al hecho de que la funcionalidad y el rendimiento de los sistemas digitales que forman negocios deben concentrarse en una mano.

Y en parte debido al hecho de que al estar fuera de la digitalización, sin comprender el contexto comercial de los sistemas digitales, es imposible protegerlos de manera efectiva. También debido a los constantes cambios en la funcionalidad comercial, las plataformas digitales y la infraestructura en la que se implementan: los rápidos cambios en el objeto de protección requieren una rápida adaptación.

Regresar a Noticias
T-Cert / Tigo Copyright©, Guatemala todos los derechos reservados.