El Retorno de la Inversión (ROI) es una métrica financiera que evalúa el rendimiento económico de una inversión en relación con su coste. Se trata de una medida crucial para las empresas y los inversores, ya que ayuda a evaluar la rentabilidad y eficacia de las inversiones realizadas.
En la naturaleza de cualquier compañía está lograr que sea rentable, máxime aún si hablamos de una pequeña empresa. Para el 67% de ellas, la mera supervivencia es el principal reto, según datos del World Economic Forum. Y no es para menos. El 45% de ellas no superan los cinco primeros años de vida.
En este contexto, medir cada inversión que se realiza es básico para cualquier empresa, y esto atañe también a la ciberseguridad. El cibercrimen ya mueve más dinero que el tráfico de armas, drogas y personas juntos y no hace distinción entre pequeñas y grandes empresas, ataca a quien encuentra más indefenso.
Parece que se hace más necesario que nunca contar con medidas para repeler los ciberataques. Contar con un ciberseguro o un buen antivirus pueden prevenir o atenuar los daños que estas acciones delictivas causan en cualquier compañía, pero... ¿cómo saber si la opción elegida ha salido rentable?
Para ello, se utiliza una métrica como el ROSI (retorno de la inversión en seguridad, por sus siglas en inglés), que mide específicamente el ROI de las inversiones en iniciativas de ciberseguridad. La fórmula básica es la siguiente:
ROSI = (Beneficios de la inversión en seguridad — Costo de la inversión en seguridad) /Costo de la inversión en seguridad
Con este cálculo, el costo de una inversión en seguridad es relativamente fácil de determinar. Sin embargo, cuantificar los beneficios potenciales es más difícil. Una forma de estimar esto, según explican desde CheckPoint, se basa en el cambio en la Expectativa Anual de Pérdidas (ALE) asociada con una inversión en seguridad.
ALE mide las pérdidas financieras totales esperadas debido a una amenaza de ciberseguridad particular cada año. Se calcula como
HOMBRE = ARO * VENTA
En esta ecuación, ARO significa la Tasa Anual de Ocurrencia. Este es el número de veces que se espera que ocurra un tipo particular de incidente de seguridad cada año. Por ejemplo, si una organización enfrenta un 20 % de posibilidades de sufrir un ataque de denegación de servicio distribuido (DDoS) cada año, entonces tendrá un ARO de 0,2 para este riesgo de seguridad. ARO se puede estimar en base a datos de ciberseguridad anteriores para la organización o para empresas similares en su industria.
El otro valor, la expectativa de pérdida única (SLE), mide el costo total de una sola instancia de esta amenaza de ciberseguridad para la organización. Este valor debe incluir tanto los costos directos (costos de remediación, pérdida de productividad, etc.) como los costos indirectos (pérdida de ventas, etc.) para la organización. Al igual que ARO, esto se puede estimar en base a datos anteriores de la compañía o de la industria.
Después de calcular la ALE de un incidente de seguridad, el beneficio de una solución de seguridad se puede estimar en función de la reducción anticipada en la ALE. Esto puede ser causado por una disminución en:
ARO: Una inversión en seguridad puede reducir o eliminar el riesgo de que ocurra un incidente de seguridad en particular.
SLE: La inversión puede permitir una corrección más rápida o reducir el impacto del incidente de seguridad, reduciendo el SLE.
Al estimar el impacto que tiene la inversión en ALE, un equipo de seguridad puede calcular el ROSI y cuantificar el beneficio que tiene para la organización.
Falta de mediciones
Según un estudio realizado por Marsh y Microsoft sobre el Estado de la Resiliencia Cibernética, solo el 26% de las organizaciones utilizan un método cuantitativo para medir su exposición al riesgo cibernético. Muchas organizaciones no cuentan con el conocimiento ni las capacidades para realizar mediciones del riesgo cibernético en términos financieros, lo que impide comunicar de manera eficiente este tipo de amenazas a todos sus miembros.
Maximizar el ROSI es esencial para el éxito de un programa de ciberseguridad corporativo. Para incrementarlo, es recomendable adoptar medidas como una evaluación de riesgos o la identificación de soluciones de seguridad adaptadas para cada escenario.
Entre ellas, puede resultar especialmente rentable la contratación de un ciberseguro. Por poco más de 16 euros al mes se puede contar con un servicio como el de Telefónica Seguros, que ofrece expertos en ciberseguridad y abogados especialistas para asesorar y asistir en los procedimientos legales y regulatorios derivados de un incidente cibernético.
Y es que, una vez hechos los cálculos pertinentes, siempre va a resultar económico trabajar en un enfoque de prevención. Las soluciones de seguridad que bloquean o minimizan un ataque eliminan el riesgo y el impacto en la organización, mientras que las capacidades de detección y respuesta solo aceleran la reparación después de que se hayan producido daños. O al menos en la mayoría de los casos. Es cuestión de hacer cuentas.