Tres formas de cuantificar el riesgo de interrupción de negocio por ataque cibernético
La interrupción del negocio cibernético (BI, por sus siglas en inglés) puede ser el riesgo de más rápido crecimiento de la industria. Sin embargo, investigaciones indican que la mayoría de las organizaciones aún no han estimado el impacto financiero potencial de una interrupción causada por un evento cibernético.
Si bien los costos de una violación de la información personal pueden estimarse a partir de datos históricos, los costos informáticos de BI son más difíciles de determinar de antemano debido a que los costos dependen de varios factores, incluyendo los detalles del evento cibernético, el modelo de negocio de la organización afectada y su respuesta. Para este tipo de eventos, un análisis basado en escenarios puede proporcionar valor al determinar una base de hechos hipotéticos y calculando el impacto del costo resultante.
Cuando se utiliza un análisis basado en escenarios para cuantificar el riesgo de BI, se enfoca en tres factores clave:
1.Estimación precisa de la probabilidad y el impacto financiero de un evento cibernético BI
Tradicionalmente, los riesgos cibernéticos se han descrito como de alto, medio o bajo riesgo. Pero este enfoque ofrece poco para guiar la toma de decisiones de gestión de riesgos sobre BI. El riesgo cibernético BI debe ser expresado cuantitativamente en términos de probabilidad (probabilidad dentro de un período de tiempo especificado) y severidad (en dólares). Los potenciales escenarios de BI que defina deben estar dentro de un rango preseleccionado de probabilidad basado en consideraciones de gestión de riesgos. Por ejemplo, puede buscar transferir riesgos de cola en el rango de "1 en 100 y más allá". Conocer este objetivo inicialmente puede ayudar a concentrar los esfuerzos en la definición de los escenarios más útiles para la gestión de riesgos.
2.Identificación de las Opciones de Mitigación
Si se cuantifica confiablemente en un escenario realista y representativo, el riesgo de BI cibernético puede ayudar a identificar oportunidades de medición de mitigación. Para las exposiciones significativas de BI cibernético, tales medidas de mitigación podrían incluir cambios en los procesos de negocio, re-arquitectura de la infraestructura de IT para mejorar la resiliencia, mejorar las capacidades de restauración o fortalecer los controles técnicos de seguridad cibernética. Con decisiones potencialmente costosas, se necesitan estimaciones creíbles de su exposición de BI cibernético para identificar las estrategias que tendrán el mayor impacto.
3. Identificación de Opciones de Transferencia de Riesgo
El BI a menudo no está asegurado porque no se invierten el tiempo y esfuerzo para cuantificar completamente el riesgo antes de la pérdida. Sin embargo, recientemente varias aseguradoras han introducido nuevos productos que permiten una amplia cobertura de las exposiciones de BI cibernético. Una larga experiencia con la integración de la cobertura de BI no cibernético en las pólizas de seguro de propiedad demuestra que la identificación y cuantificación de la exposición (y por lo tanto los límites requeridos) es esencial. El desarrollo de una comprensión cuantitativa de la exposición al BI cibernético es, por lo tanto, el primer paso para diseñar estrategias efectivas de transferencia de riesgo. Para optimizar sus inversiones financieras en la gestión del riesgo del BI cibernético, las decisiones sobre mitigación y transferencia de riesgos deben ser complementarias y coordinadas.
Centrarse en el logro de estos tres resultados clave ayudará a su organización a desarrollar una estrategia eficaz de gestión y recuperación del riesgo de BI cibernético, y superará los desafíos que plantean los eventos cibernéticos potencialmente devastadores