La madurez de una función de ciberseguridad no se mide solo por su capacidad para detectar amenazas o responder con rapidez, sino también por su capacidad para explicar el impacto de un incidente en términos que el negocio pueda entender y valorar.
La cuantificación no es “ponerle un precio” de forma arbitraria a un evento técnico, sino traducir lo ocurrido en una valoración razonada de su impacto económico, operativo, legal y estratégico, razón por la que es vital integrar la respuesta a incidentes dentro de la gestión del riesgo con el objetivo de reducir el número e impacto de los incidentes y mejorar la eficacia de detección, respuesta y recuperación, convirtiendo cada incidente en una oportunidad para priorizar controles, justificar inversiones, ajustar el apetito de riesgo y tomar decisiones con criterio de negocio, no solo con criterio técnico.
Es decir, significa estimar, con un método consistente, cuestiones como cuánto ha costado responder, cuánto negocio se ha visto afectado, qué pérdida directa ha existido, qué obligaciones regulatorias se activan, qué exposición futura deja abierta el incidente y cuánto valor puede aportar una medida correctiva, por lo que no es solo una cifra final, sino un modelo de interpretación.
Y este matiz importa mucho porque existen organizaciones que creen que ya cuantifican porque reportan número de incidentes, severidad, tiempo medio de detección o tiempo medio de recuperación y, no es que todo eso no sea útil, pero no equivale al ejercicio del que hablamos por cuanto a que son métricas operativas.
¿Por qué es importante cuantificar?
La primera razón es la priorización. Sin cuantificación, la organización tiende a priorizar por intuición, por ruido o por presión del momento y toda metodología, tanto de análísis de riesgos como de cálculo, nos dota de un punto objetivo externo a nosotros que valida o ajusta lo primero.
La segunda razón es la inversión. Un control de seguridad no debería justificarse solo porque “parece buena práctica”, sino porque reduce una exposición que ya ha sido razonablemente estimada, por lo que si un tipo de incidente produce una pérdida relevante o recurrente, la inversión en mitigación deja de ser un gasto abstracto y pasa a ser una decisión defendible.
La tercera razón es la comunicación. Dirección, finanzas, auditoría o consejo no operan bien con indicadores puramente técnicos, sino con rangos de pérdida, exposición residual, materialidad y retorno esperado de las medidas. En ciberseguridad, expresar el riesgo en estos términos resulta especialmente importante, porque, a diferencia de otras funciones más directamente vinculadas a ingresos, su valor rara vez se percibe de forma inmediata pues se manifiesta, sobre todo, en la capacidad de evitar pérdidas, proteger operaciones críticas y preservar la continuidad, la confianza y la resiliencia del negocio, y esto es terriblemente difícil de vender sin una cifra asociada.
La cuarta razón es el aprendizaje. Una organización que cuantifica construye histórico y, cuando este existe, se deja de discutir incidentes aislados para empezar a entender patrones: qué escenarios cuestan más, qué procesos son más frágiles, qué controles funcionan y qué pérdidas se están aceptando sin decirlo explícitamente.
Ahora bien, construir esa metodología no es fácil puesto que los ciberincidentes no son fenómenos lineales, ya que un mismo tipo de incidente puede tener impactos radicalmente distintos según el activo afectado, el momento, el usuario comprometido, las dependencias técnicas, la rapidez de contención o el contexto regulatorio.
Además, también debemos tener en cuenta la dificultad de la fragmentación del dato pues la información necesaria para cuantificar rara vez está en un único sitio (seguridad, IT, finanzas, negocio, legal…) y en ocasiones valores que no están registrados, como los reputacionales. De la misma manera, hay costes diferidos que tendremos que ir agregando a la cifra inicial, como son los proyectos retrasados, auditorías extra, el trabajo en poner a punto esos controles, soporte a clientes, litigios o pérdida de oportunidades
La última dificultad es la falsa precisión pues muchas organizaciones sienten presión por ofrecer una cifra “exacta”, cuando en realidad el impacto de un incidente suele requerir rangos, escenarios y supuestos explícitos y aquí el problema no es la incertidumbre, sino ocultarla.
¿Eso significa que el ejercicio desmerece la pena?
No, siempre que se comunique adecuadamente que existen factores de juego que no se pueden determinar al milímetro, lo cual existe en toda decisión de negocio, por lo que aquí no debe entenderse como un motivo para dejar de hacer el análisis y sacar un valor. Ahora bien, para que esto funcione, necesitamos estandarizar, pues no se puede cuantificar bien si cada incidente se documenta de manera distinta, por lo que además de una metodología, hace falta una ficha común con campos mínimos: tipo de incidente, vector de entrada, activo afectado, proceso de negocio soportado, duración, equipos implicados, horas consumidas, impacto operativo, impacto financiero, impacto legal, exposición potencial y acciones posteriores.
La segunda es trabajar con catálogos previos de costes hora por perfil, valor aproximado por hora de procesos críticos, umbrales de materialidad, taxonomías de incidentes y criterios para estimar impacto reputacional o regulatorio que no no eliminan el juicio experto, pero reducen la arbitrariedad.
La tercera es entender y separar claramente tres conceptos: pérdida real, pérdida potencial y coste de remediación, pues mezclarlos distorsiona la conversación. Por ejemplo, no es lo mismo el fraude efectivamente ejecutado que la transferencia maliciosa evitada, ni lo mismo el daño causado que la inversión posterior para que no vuelva a ocurrir.
Y, la última, es trabajar con rangos en vez de forzar una cifra única, conviene estimar mínimo, probable y máximo, como hace ENISA en el último estudio sobre el coste de incidentes en infraestructuras críticas. La exactitud y el control al milímetro casi nunca existe y, cuando hablamos de cuantificar, perseguir una precisión aparente puede ser más peligroso que reconocer de forma explícita los márgenes de incertidumbre sobre los que realmente se está trabajando.
¿Cómo montamos esa calculadora?
- Coste de la respuesta, que es la parte más visible: horas internas de SOC, sistemas, identidades, soporte, responsables de área, dirección, legal, cumplimiento y comunicación. Hemos tenido a los equipos dejando de hacer X para reforzar Y, por lo que en una segunda vuelta, eso que han tenido que dejar de hacer, también habría que calcularlo si, por ejemplos, los plazos estaban ajustados y les ha tocado hacer horas extra.
- Impacto operativo pues un incidente no necesita “tirar” un sistema para costar dinero. Basta con degradar aprobaciones, ralentizar operaciones, bloquear accesos, retrasar cierres, obligar a revisiones manuales o interrumpir servicios críticos.
- Pérdida financiera directa: fraude, pagos indebidos, ingresos no percibidos, penalizaciones contractuales, compensaciones o costes de restauración.
- Exposición legal y regulatoria. Si ha habido acceso indebido a datos personales, secretos empresariales, documentación contractual o información de clientes, pueden activarse costes de análisis, notificación, asesoría y seguimiento.
- Impacto reputacional, que debe tratarse siempre con prudencia y evitando estimaciones arbitrarias, pero que puede aproximarse a partir de indicadores observables (en función del tipo de negocio) como el coste de campañas de recuperación o comunicación, la caída de oportunidades comerciales, la pérdida de clientes atribuible tras el incidente, el incremento de consultas, reclamaciones o bajas, el descenso en tasas de conversión o renovación y cualquier deterioro medible en la confianza de clientes, socios o usuarios.
- Criticidad del activo y del proceso, pues emismo incidente técnico en un buzón genérico y en la cuenta de un director financiero no vale lo mismo, porque no habilita los mismos riesgos ni afecta a los mismos procesos.
- Calidad del dato. Toda cuantificación debería declarar sobre qué información se apoya, qué parte es estimación y qué parte está validada.
Y una vez lo tenemos, ¿cómo lo comunicamos?
La cuantificación no debe comunicarse como una hoja de cálculo descontextualizada sino como un relato ejecutivo con cinco elementos: qué ocurrió, qué se vio afectado, qué coste real se estima, qué exposición potencial existía y qué acciones reducen el riesgo residual.
Hay además una regla básica, que es que demos expresar incertidumbre sin debilitar el mensaje, lo que pasa por ser más maduro decir que “la pérdida probable está entre 60.000 y 90.000 euros, con mayor concentración en respuesta, disrupción operativa y remediación”, que ofrecer una cifra aparentemente precisa pero mal sustentada.
Conclusión
El verdadero valor de la cuantificación es que no solo permite medir mejor, sino decidir mejor, permitiendo distinguir entre ruido e impacto real, daño materializado y exposición potencial, medidas cosméticas y controles que verdaderamente reducen riesgo, aunque también obliga a algo esencial en cualquier organización madura, que es reconocer la incertidumbre, trabajar con criterios homogéneos y comunicar el riesgo en términos comprensibles para quienes tienen que asumirlo, priorizarlo o mitigarlo.
Y para ello, una pequeña aproximación 😉 Calculadora ciberincidentes