Saturday, December 14, 2024
Asociación Sin Ánimo de Lucro de Difusión de Buenas Prácticas de Tecnología itSMF España


Sí, tu empresa sufrirá un ciberataque, pero aún no sabes cuándo.

By Javier Peris , in Artículo , at 29/04/2021 Etiquetas: ,

imagen AsturiasEn el panorama empresarial de hoy en día nadie pone en duda que el cibercrimen es una amenaza constante. No dejamos de escuchar noticias relacionadas con ciberataques sufridos por entidades de renombre que no han dejado de aumentar por la situación de la pandemia. Pero eso no es más que la punta del iceberg. Según el informe sobre el estado de la ciberseguridad en 2020 de ISACA, el 62% de las encuestados reconoce que no denuncian esos ataques, incluso cuando tienen la obligación legal o contractual de hacerlo. Realmente este es un problema global.

Pero si nos centramos en España y en las pequeñas y medianas empresas, según información proporcionada Panda Security en 2020, el 43% de los ataques los sufren las PYMES, y el coste medio de un ciberataque en este tipo de empresas puede llegar a los 75.000 euros, en función del tamaño de la empresa. Según la compañía de ciberseguridad, el 60% de las pymes que sufrieron un ciberataque no fueron capaces de recuperarse.

Con todos estos datos en la mesa uno puede llegar a pensar que las empresas en general y las pymes españolas en particular estarán tomando cartas en el asunto para minimizar el impacto de los ciberataques en la continuidad de sus negocios.

Sin embargo, una encuesta realizada por acierto.com, apunta que tan sólo el 30% de las PYMES cuenta con protocolos básicos de seguridad; y según el estudio ‘Remote workforce security’ de Bitglass, el 41% de las empresas aún no han tomado ninguna medida para reforzar la ciberseguridad de sus teletrabajadores tras la situación originada por la pandemia.

Llegados a este punto, cabe preguntarse las razones por las que los gestores de estas empresas parece que no acaban de encontrar el momento adecuado para proteger sus negocios de una manera eficaz. ¿Es un tema de mentalidad, de desconocimiento o simplemente se asume la situación de riesgo sin más?

Inicialmente, podemos intuir que todo lo que está relacionado con el mundo digital es más difícil de apreciar que lo que sucede en el mundo físico. Poner medidas de seguridad física para evitar intrusiones, robos o sabotajes, es bastante fácil de comprender, y podemos presuponer que tanto el riesgo como el impacto son más fáciles de valorar.

Sin embargo, aunque no seamos unos expertos en el mundo digital, no parece muy comprensible que los gestores de las organizaciones quieran poner en riesgo la continuidad de su negocio, como consecuencia de un ciberataque. Entonces, ¿por qué no se toman las medidas adecuadas a tiempo para evitar esos riesgos?

Los seres humanos creemos que somos seres racionales y que por tanto tomamos decisiones racionales. Pero esta afirmación no siempre se cumple, sobre todo cuando hablamos de la probabilidad de que algo ocurra en escenarios planteados de incertidumbre. A modo de ejemplo, vamos a presentar dos pequeños supuestos:

El primero de ellos consiste en otorgar a una persona un premio ofreciendo dos posibles opciones:

  • Opción A. Se ofrece una cantidad de 1.000 euros con una probabilidad del 100%.
  • Opción B. Se ofrece a la misma persona lanzar una moneda al aire. Si sale cara, obtendrá una cantidad de 2.000 euros, pero si sale cruz se quedará sin nada.

Con este escenario de probabilidad e incertidumbre, la mayoría de las personas elegiríamos la opción A, el premio seguro.

El segundo supuesto consiste en plantear a una persona que pague una multa ofreciendo también dos opciones.

  • Opción A. La persona debe pagar una cantidad de 1.000 euros con una probabilidad del 100%.
  • Opción B. Se ofrece a la misma persona lanzar una moneda al aire. Si sale cara, pagará una cantidad de 2.000 euros, pero si sale cruz no tendrá que pagar nada.

Con este escenario de probabilidad e incertidumbre, la mayoría de las personas elegiríamos la opción B, buscando la manera de no tener que pagar la multa.

En 1738 el matemático Daniel Bernoulli fue el primero en plantear la Teoría de la Utilidad Esperada, por la que los individuos evalúan las situaciones inciertas según su nivel esperado de «satisfacción» o «utilidad» en condiciones de incertidumbre objetiva (probabilística) y subjetiva (basada en eventos) y planteó que la utilidad esperada de una decisión se podía calcular según la siguiente fórmula:

E[u(x)] = p1 * u(x1) + p2 * u(x2) + … = pi * u(xi)

donde E[u(x)] es el valor esperado (el beneficio) de una decisión,

p es la probabilidad del beneficio,

y u(x) es el valor del beneficio.

Es decir, el beneficio de tomar una decisión consiste en sumar cada uno de los valores de un beneficio multiplicado por la probabilidad de que se produzca dicho beneficio, de manera que a mayor probabilidad de obtener algo con un valor alto, obviamente el beneficio esperado será también mayor. Si fuéramos 100% racionales, utilizando esta fórmula, siempre tomaríamos la decisión correcta.

Sin embargo, en cada uno de los dos juegos planteados anteriormente podemos ver que el beneficio de elegir la opción A o la opción B es realmente el mismo, con lo que, desde un punto de vista racional, daría igual la opción elegida.

Juego 1  ->  A) E = 1.000 * 100% = 1.000 euros     B) E = 2.000 * 50% = 1.000 euros

Juego 2  ->  A) E = -1.000 * 100% = -1.000 euros   B) E = -2.000 * 50% = -1.000 euros

Por tanto, vemos que ante decisión que tenemos que tomar relacionada con un posible riesgo, no siempre tomamos decisiones racionales, no somos tan buenos a la hora de estimar la probabilidad de que algo suceda, y no somos tan buenos a la hora de valorar el beneficio esperado de una decisión.

A modo de conclusión, los gestores de las empresas españolas, y poniendo un especial foco en las PYMES, lo primero que deberían hacer es dejar de pensar en la posibilidad de que su empresa pueda o no ser atacada y asumir cuanto antes que el ataque se producirá. Con ello, se habrá ganado un tiempo muy valioso, y se habrá entendido que, aun siendo importantes las medidas de prevención y protección, son las medidas de detección y respuesta a incidentes las que adquieren un matiz esencial e imprescindible, con el fin de estar realmente preparados, detectar cuanto antes las amenazas y saber cómo responder al incidente de seguridad con el fin último de minimizar el impacto en el negocio.

Valentín Cabello Blanco

Miembro del Comité de Asturias de itSMF España

Encantados de conocerte

Regístrate para recibir contenido interesante en tu bandeja de entrada, cada semana.

¡No hacemos spam! Lee nuestra política de privacidad para obtener más información.

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver
Privacidad