En un mundo cada vez más digitalizado, la ciberseguridad se ha convertido en una preocupación fundamental para las organizaciones. Sin embargo, medir y describir las mejoras en ciberseguridad sigue siendo un desafío. En un artículo reciente, Paul Rosenzweig plantea la falta de métricas universalmente reconocidas y aceptadas para medir y describir las mejoras en ciberseguridad. Esta falta de métricas cuantitativas deja a los tomadores de decisiones en la difícil posición de basar sus decisiones en medidas cualitativas.
Rosenzweig está trabajando con el Instituto R Street para construir un consenso sobre métricas útiles. Si bien su búsqueda de métricas cuantitativas es valiosa, no se debe ignorar la naturaleza dinámica del desafío de garantizar la ciberseguridad, así como el papel crítico de los procesos y procedimientos. La ciberseguridad no se trata solo del equipo y las herramientas utilizadas, sino también de cómo se utilizan por las personas y cómo la organización garantiza que el equipo, las herramientas y los métodos de uso se mantengan actualizados. Las medidas cualitativas que son discernibles y reproducibles son y seguirán siendo esenciales para ayudar a guiar decisiones de inversión y operativas sólidas.
Según un informe del Consejo de Asesores Económicos (CEA) sobre “El Costo de la Actividad Cibernética Maliciosa para la Economía de los Estados Unidos” (febrero de 2018), la actividad cibernética maliciosa impuso a la economía de los Estados Unidos un costo que oscila entre $57 mil millones y $109 mil millones solo en 2016. A nivel mundial, las empresas gastaron $81.6 mil millones en seguridad de la información en ese mismo año. Sin embargo, la comparación entre los costos de la actividad cibernética maliciosa en la economía de los Estados Unidos y la cantidad de dinero gastado en ciberseguridad en todo el mundo no revela mucho. No se sabe cuánto se gastó en ciberseguridad solo en los Estados Unidos, ni cuáles habrían sido los costos para la economía de los Estados Unidos si no se hubiera gastado esa cantidad en ciberseguridad. Tampoco se sabe cuáles habrían sido los costos adicionales de las medidas de ciberseguridad necesarias para eliminar los $57 mil millones a $109 mil millones en costos para la economía de los Estados Unidos, ni si los costos de eliminar el riesgo se acercan al infinito a medida que los costos restantes de la actividad cibernética maliciosa se acercan a cero.
A pesar de estas incertidumbres, la información disponible muestra que muchas organizaciones simplemente están gastando muy poco en ciberseguridad. No están implementando medidas de bajo costo que podrían reducir sustancialmente la incidencia de la actividad cibernética maliciosa, y no están manteniendo sus defensas actualizadas. Los actores cibernéticos maliciosos han aprendido que las entidades pequeñas y medianas constituyen el punto débil de la infraestructura cibernética de los Estados Unidos, y también saben que a través de este punto débil es posible imponer costos sustanciales en toda la economía.
En conclusión, medir la ciberseguridad es esencial para tomar decisiones informadas y garantizar la protección de las organizaciones. Si bien las métricas cuantitativas son importantes, no se deben pasar por alto las medidas cualitativas y la importancia de los procesos y procedimientos. Es fundamental que las organizaciones inviertan adecuadamente en ciberseguridad y mantengan sus defensas actualizadas para protegerse de la creciente amenaza de la actividad cibernética maliciosa.
