Rodrigo Testón es Cybersecurity GRC, Auditor Interno Norma ISO9K-14K-27K-28K-45K, Consultor Sistemas de Gestión y Security Specialist.

La existencia del área Security no siempre representa una inversión que genere un retorno a una organización, toda vez que su gestión y operatividad actúa para prevenir pérdidas.

La Agencia de la Unión Europea para la Ciberseguridad (Enisa) tuvo en 2012 la visión de introducir el concepto y aplicación del llamado “Retorno a la Inversión en Protección (Rosi)“, recogiendo la preocupación de los ejecutivos que toman decisiones y su continua necesidad de saber el impacto que la protección está teniendo en los resultados. Conocer cuánto deberían gastar en protección, saber simplemente cuánto le cuesta a la compañía la falta de protección y cuáles son las soluciones más rentables acorde a su modelo de negocio.

Rosi es aplicable a cualquier industria y modelo de negocio, sin embargo, será necesaria la iteración sostenida en la materia y altamente probable, del involucramiento y análisis desde la academia y la industria en su conjunto, para convertirla en una herramienta cercana a la cadena logística, que necesita fortalecer la justificación del recurso presupuestario asignado a la gestión preventiva ante potenciales incidentes de ciberseguridad.

Es en esta parte, la mayor consideración para un servicio esencial, considerado infraestructura crítica, la fundamentación del Rosi, como una razón preventiva diseñada desde su génesis como un factor para la determinación del monto total de pérdidas que pueden ser evitadas en una organización, con el empleo de su inversión inicial, vinculándola con una potencial amenaza imprevisible, tomando en cuenta que sus riesgos y probabilidades, son evaluaciones complejas de contabilizar y empíricamente hablando, algunas organizaciones solo realizan cambios drásticos en sus estrategias una vez que ya se ha producido el primer incidente o ciberataque.

Con todo, la gestión de la ciberseguridad organizacional es una decisión estratégica. Desde la gestación hasta el desarrollo, conocimiento, difusión y cultura, complementan a una inversión preventiva, sin el fin de aumentar el valor de la inversión inicial, sino la de impedir la depreciación de los activos ante acciones de actores maliciosos.

Enisa indica que el cálculo del Rosi se fundamenta en tres variables: la pérdida potencial estimada (activo de mayor relevancia al obtener data dura en escenarios probables), el riesgo mitigado estimado y el costo de la solución a implementar. Si el costo de la solución se puede estimar de manera más viable y predictiva (donde la totalidad de los costos indirectos son considerados), las otras dos variables serán estimaciones que hacen del resultado un valor más aproximado a la realidad de interés.

La buena noticia es que el retorno a la inversión en protección puede entregar una respuesta cuantitativa a cuatro interrogantes financieras: Si la organización paga demasiado en seguridad; Qué impacto financiero puede acarrear la falta de protección en los procesos; Cuándo la inversión en protección es suficiente; y si la protección es beneficiosa para la organización y el producto.

Finalmente, la evaluación del Rosi como un vigente, pero desconocido aliado, se debe emplear en inversiones que producen resultados positivos, ahorro de costos o mejora en los ingresos, impidiendo medir la totalidad de pérdidas que se generan ante un incidente cuya data es indeterminable y tampoco para establecer por adelantado la potencial rentabilidad de un activo, comprendiendo que los ciberataques poseen la peculiaridad de afectar a la disponibilidad, prestigio y confianza ante entorno del afectado, siendo intangibles con una valoración que trascienden escalas financieras medibles hasta que se materializan.