Metodologías y herramientas para evaluar mejor las vulnerabilidades y proteger los activos de la empresa de los ciberataques
En 2018, el coste estimado de una filtración de datos ascendió a 3,5 millones de euros, lo que supone un aumento de aproximadamente el 6,8 % con respecto al año anterior. La mayoría de las empresas siguen adoptando una estrategia básica de reparación, ya que las filtraciones de datos pueden costar menos que las medidas de seguridad preventivas. Además, la medición del impacto real de los incidentes relacionados con los costes necesarios para la recuperación completa es una tarea difícil. En general, los modelos actuales son inadecuados. El proyecto HERMENEUT, financiado con fondos europeos, permite a las compañías evaluar mejor su exposición a los ciberriesgos y el impacto que los ciberataques tendrían en sus activos al calcular las posibles pérdidas financieras. Paolo Roccetti, investigador sénior y jefe de equipo de la empresa coordinadora del proyecto, Engineering Ingegneria Informatica, comenta: «Prestamos especial atención a activos como la reputación, el capital humano y la marca. Simplificamos las cosas lo suficiente como para que las compañías con pocos conocimientos sobre ciberseguridad también puedan utilizar la solución propuesta». El equipo de HERMENEUT desarrolló una metodología y una herramienta de apoyo a la toma de decisiones para evaluar y cuantificar las posibles consecuencias económicas de los ciberataques sobre los activos de una empresa, así como las pérdidas relacionadas con sus activos intangibles. La herramienta de evaluación de riesgos de código abierto incluye los modelos y el conocimiento creados durante el proyecto. Ofrece a los usuarios nuevas funcionalidades para facilitar el cálculo de los costes tangibles e intangibles de un ataque, así como un análisis y una evaluación basados en el riesgo y en los costes de las contramedidas de protección adecuadas.
Apoyo a evaluaciones holísticas y más sencillas de la ciberseguridad
Otro resultado innovador fue el método holístico para analizar la relación entre los costes y los beneficios de la ciberseguridad y el cumplimiento de muchos objetivos fundamentales en la lucha contra los ciberataques. Entre ellos se incluyen el desarrollo de un modelo mejorado de evaluación de las vulnerabilidades organizativas y los riesgos para los activos tangibles e intangibles y un modelo de costes para la identificación y la cuantificación de los costes intangibles para las compañías. La solución HERMENEUT está diseñada para apoyar la toma de decisiones en materia de ciberseguridad por parte de los directores de seguridad de la información, ejecutivos y miembros del consejo de administración de una amplia gama de empresas, desde pymes hasta grandes compañías. «Esto hace que las entidades empresariales sean autónomas a la hora de establecer una primera postura cibernética sin los enormes costes de tener que realizar una evaluación de riesgos por parte de un consultor que a menudo es demasiado compleja para volverla a aplicar y actualizarla», indica Roccetti. La postura cibernética es la medida de la resistencia de una empresa a las amenazas de la ciberseguridad.
Fomento de una cultura de gestión de riesgos
Por último, los socios del proyecto esbozaron una serie de recomendaciones políticas sobre modelos económicos de costes cibernéticos y soluciones de gestión de riesgos, y sobre cómo aprovechar las mejores prácticas existentes. El objetivo es informar a los responsables políticos europeos y a otras partes interesadas principales, como las autoridades reguladoras, los operadores del mercado y las aseguradoras, sobre las prioridades fundamentales en este ámbito y sobre dónde debería invertir Europa. Engineering Ingegneria Informatica, con sede en Italia y un agente clave en la transformación digital de empresas y organizaciones públicas y privadas con cerca de 11 000 profesionales en sesenta y cinco lugares diferentes de todo el mundo, se basa en los resultados del proyecto y busca acercar la solución al mercado. Roccetti concluye: «Gracias a HERMENEUT, las organizaciones individuales y varios sectores empresariales disponen ahora de un conjunto de herramientas para mejorar su evaluación de las vulnerabilidades a los ciberataques y de sus activos tangibles e intangibles en riesgo. También ayudará a los responsables de la toma de decisiones a estimar el riesgo cibernético y a entender qué medidas de mitigación adoptar».
Palabras clave
HERMENEUT, ciberataque, ciberseguridad, activos intangibles, vulnerabilidades, filtración de datos, ciberriesgo, evaluación de riesgos, gestión de riesgos
