Skip to main content

¿Cómo calcular el ROI en ciberseguridad?

Descubra cómo puede calcular el retorno de inversión en ciberseguridad para su organización.
Cyber security ROI

El riesgo cibernético está presente en la mayoría de las organizaciones. Gran parte de ellas continúan aumentando su inversión en soluciones tecnológicas, financiación de riesgos, talento calificado, así como en su enfoque de riesgo cibernético, para crear resiliencia.

Sin embargo, los retos de la transformación digital, el impacto de casi tres años de trabajo remoto y la criticidad de los ataques cibernéticos en aumento, han impactado directamente en la cuenta de resultados.

El más reciente estudio realizado por Marsh y Microsoft sobre el Estado de la Resiliencia Cibernética arrojó que solo 26% de las organizaciones utilizan un método cuantitativo para medir su exposición al riesgo cibernético. A nivel regional, las organizaciones en América Latina y el Caribe son más propensas a utilizar métodos de evaluación cualitativos.

Medición de la exposición al riesgo cibernético

Muchas organizaciones no cuentan con el conocimiento, ni las capacidades para realizar mediciones del riesgo cibernético en términos financieros, lo que impide comunicar de manera eficiente las amenazas cibernéticas a los miembros de la organización.

Frente a esta realidad, es muy importante poner los riesgos cibernéticos en términos financieros para que toda la empresa comprenda su enfoque, pueda gestionarlo de una manera más adecuada y no verse afectadas por la volatilidad financiera, más de la cuenta.

Metodologías de análisis y evaluación de riesgos 

Para entender la exposición al riesgo es necesario identificar primero los riesgos a los cuales se enfrentan las organizaciones y después, cuantificar el impacto económico que tendría una materialización de dichos riesgos.  

En esta etapa es importante definir procesos de gestión de riesgos que incluyan análisis cuantitativos con resultados objetivos, significativos y relevantes para una adecuada toma de decisiones. Esto les permitirá a las organizaciones realizar una buena gestión del riesgo. 

Las metodologías de análisis cualitativo y los mapas de calor que resultan de los análisis de riesgos no son suficientes para responder las preguntas de los stakeholders, sobre el ROI en ciberseguridad o sobre cuánto dinero podrían perder frente a un escenario de riesgo específico. 

Los análisis cuantitativos de riesgos, sin embargo, traen los siguientes beneficios a las organizaciones: 

Beneficios de los análisis cuantitativos  

  • Identificar los riesgos a los cuales se encuentra expuesta la organización y enfocarse en las situaciones que más le interesan a la misma.
  • Identificar cuál es el retorno a la inversión en seguridad, y ver en dónde se invierten estos recursos, lo cual es de alta importancia para las organizaciones, teniendo en cuenta que son limitados.
  • Permite hablar a los stakeholders en un lenguaje que para ellos sea entendible, y puedan estar en una posición para tomar mejores decisiones desde su perspectiva.

Retorno de la inversión en seguridad (ROSI) 

La cuantificación de riesgos permitirá a las organizaciones conocer cuál es el valor obtenido de las inversiones realizadas en seguridad, llegado el momento de mitigar o transferir los riesgos. Además, será un insumo fundamental durante los procesos de toma de decisiones para la gestión efectiva de los mismos. 

Mediante los análisis cuantitativos de riesgos, se pueden identificar situaciones bajo las cuales una inversión en seguridad reducirá el riesgo o, por el contrario, identificar dónde los costos pueden ser reducidos, mientras que no impacte el nivel del riesgo.  

Para llevarlo a cabo, es necesario durante los análisis de riesgos:  

  • Identificar cómo la inversión propuesta impactaría a cada escenario de riesgo.
  • Medir el estado actual del riesgo con los controles actuales.  

Con el apoyo del personal experto dentro de la organización, se debe hacer un análisis cuantitativo del impacto financiero futuro de cada uno de los riesgos evaluados, en su estado actual y con la inversión propuesta. De esta forma compararán los resultados y se identificará cómo la inversión impacta las pérdidas estimadas. 

Es importante que, para estos procesos de análisis y cuantificación de riesgos, las compañías cuenten con las capacidades, recursos y conocimiento, para realizar ejercicios que entreguen resultados valiosos para la organización. 

Por último, es necesario definir e implementar metodologías cuantitativas de riesgos y capacitar continuamente al personal que hará parte de la ejecución de las mismas. De esta manera, podrán expresar su conocimiento en términos cuantitativos y estimar de forma adecuada el impacto financiero de las pérdidas.  

También es importante complementar los análisis realizados con herramientas analíticas, que permitan realizar estimaciones de las pérdidas financieras, contrastando así los resultados arrojados por las metodologías definidas. 

Gestionamos el riesgo cibernético 

En Marsh, le ayudamos a abordar el riesgo cibernético y tomar las medidas adecuadas para su organización. Nuestro equipo puede ayudarle en la definición de metodologías cuantitativas de gestión de riesgos cibernéticos, en la evaluación de escenarios, enfoques basados en escenarios y uso de herramientas analíticas avanzadas.  

No dude en contactar con uno de nuestros consultores especializados en riesgos cibernéticos

Autora

Placeholder Image

Ángela Cubillos

Cyber Risk Senior Consultant en Marsh Latinoamérica

  • Colombia