Tres formas de cuantificar el riesgo de interrupción de negocio por ataque cibernético

La interrupción del negocio (BI, por sus siglas en inglés) puede ser el riesgo con mayor crecimiento de la industria. Sin embargo, algunas investigaciones indican que la mayoría de las empresas todavía no han estimado el impacto financiero potencial de una interrupción causada por un ataque cibernético.

Si bien el coste de un uso indebido de información personal puede estimarse a partir de datos históricos, el coste de BI es más difícil de determinar de antemano debido a que depende de varios factores, incluyendo los detalles del ataque cibernético, el modelo de negocio de la organización afectada y su capacidad de respuesta. Para este tipo de sucesos, un análisis basado en escenarios puede proporcionar un valor añadido para determinar una base de hechos hipotéticos y calcular el impacto resultante.

Cuando se utiliza este tipo de análisis basado en escenarios para cuantificar el riesgo de BI, se puede enfocar en tres factores clave:

1. Estimación precisa de la probabilidad y el impacto financiero de un evento cibernético BI
Tradicionalmente, los riesgos cibernéticos se han descrito como de alto, medio o bajo riesgo. Pero este enfoque es una información pobre para orientar en la toma de decisiones de gestión de riesgos de BI. El riesgo cibernético BI debe ser expresado cuantitativamente en términos de probabilidad (probabilidad dentro de un período de tiempo especificado) y severidad (en dólares/euros). Los escenarios potenciales de BI deben estar dentro de un rango preseleccionado de probabilidad basado en consideraciones de gestión de riesgos.

2. Identificación de las Opciones de Mitigación
Si se cuantifica de manera confiable en un escenario realista y representativo, el riesgo de BI cibernético puede ayudar a identificar oportunidades de medición de mitigación. Para las exposiciones significativas de BI cibernético, tales medidas de mitigación podrían incluir cambios en los procesos de negocio, renovación de la infraestructura de IT para mejorar la resiliencia, mejorar las capacidades de restauración o fortalecer los controles técnicos de seguridad cibernética. Con decisiones potencialmente costosas, se necesitan estimaciones creíbles de su exposición de BI para así identificar las estrategias que tendrán el mayor impacto positivo en función de cada modelo de negocio

3. Identificación de Opciones de Transferencia de Riesgo
El BI no suele estar asegurado en las pólizas tradicionales. Sin embargo, los productos de Cyber han introducido nuevas extensiones que permiten una amplia cobertura de las exposiciones de BI desde el punto de vista cibernético. El desarrollo de una comprensión cuantitativa de la exposición al BI derivado de una paralización de los sistemas informáticos, por lo tanto, el primer paso para diseñar estrategias efectivas de transferencia de riesgo. Para optimizar sus inversiones financieras en la gestión del riesgo del BI, las decisiones sobre mitigación y transferencia de riesgos deben ser complementarias y coordinadas.

Centrarse en el logro de estos tres resultados clave ayudará a su empresa a desarrollar una estrategia eficaz de gestión y recuperación del riesgo de BI, y superará los desafíos que plantean los eventos cibernéticos potencialmente devastadores.