A continuación se explica cómo calcular el retorno de la inversión (ROI) de la formación de su personal en la campaña de concienciación sobre seguridad.
Un estudio del Departamento de Cultura, Medios de Comunicación y Deporte (DCMS) reveló que el 39% de las empresas británicas sufrieron un ciberataque en 2022. El coste de estas infracciones no es insignificante. El informe del DCMS calculó que el impacto financiero de un solo ciberataque costaba a una empresa de tamaño medio 19.400 libras. Si tenemos en cuenta que las organizaciones se ven amenazadas a diario por los ciberataques, esto es motivo de preocupación.
La formación para la concienciación sobre la seguridad es una de las medidas que pueden reducir la probabilidad de que se produzca o progrese un ataque. Esto se traduce en una reducción de los costes de un ataque. Pero, ¿merece la pena el riesgo de un ataque por realizar una formación de concienciación en materia de seguridad?
Elementos que deben incluirse al calcular el retorno de la inversión de una campaña de concienciación sobre la seguridad
Antes de embarcarse en el cálculo de si la formación en seguridad merece la pena, es necesario hacer un inventario de los elementos incluidos. Un ataque a la ciberseguridad y/o una violación de datos tiene muchas partes móviles, cada una con costes tangibles e intangibles.
He aquí un vistazo a algunos de los costes más probables de un ciberataque:
La pérdida financiera directa de un ciberataque
El impacto directo de un ciberataque depende tanto del tipo de ciberataque como de la organización. Por ejemplo, un ataque de ransomware puede implicar el pago de un rescate (aunque el pago no es una estrategia recomendada). Sin embargo, cabe señalar que los importes de los rescates han aumentado en los últimos años.
Un informe de Nordlocker descubrió un aumento del 78% en el pago medio del ransomware, lo que eleva el rescate a la asombrosa cifra de 541.010 dólares (478.000 euros).
Los costes de un ciberataque también pueden incluir los daños a los sistemas informáticos, el tiempo empleado en remediar el ataque y las demandas colectivas: en el Reino Unido, el número de demandas colectivas tras un ciberataque aumentó un 120% entre 2018 y 2020.
El coste medio de un ciberataque debe tenerse en cuenta a la hora de calcular la rentabilidad de una campaña de concienciación sobre seguridad. Sin embargo, esto también debería reflejar el número medio de ataques al año. Según el informe del DCMS, el 31% de las empresas y el 26% de las organizaciones benéficas estiman que fueron atacadas al menos una vez a la semana.
Tiempo y trabajo para contener una brecha
Una de las consecuencias de un ciberataque es la dificultad para localizar la cadena de explotación y contener los daños. Un informe de IBM sobre el coste de una filtración de datos descubrió que el tiempo medio para contener una filtración en 2022 era de 277 días. Durante este tiempo, los costes se acumulan.
Debe incluir el tiempo de inactividad del sistema informático, la asistencia técnica y las pérdidas de productividad estimadas en el cálculo de la rentabilidad de una campaña de concienciación sobre la seguridad.
Daño a la reputación
El daño a la reputación es intangible y, por tanto, difícil de cuantificar. Sin embargo, son muchos los factores que entran en juego después de un ciberataque que da lugar a una reputación negativa. Entre ellos, una pérdida general de confianza que afecta a los clientes, al precio de las acciones y al ecosistema de socios.
Esta pérdida de confianza se agudiza cuando los clientes abandonan una empresa después de una infracción. Un estudio de YouGov y Okta reveló que el 88% de los clientes dejarán de utilizar una empresa si consideran que no se puede confiar en ella para proteger sus datos.
El daño a la reputación es difícil de cuantificar y, por tanto, de añadir a una ecuación, pero es posible que tenga algunos datos sobre la pérdida de clientes por las soluciones de inteligencia empresarial (BI).
Incumplimiento y multas
Varias normativas de protección de datos, como la PCI-DSS y el GDPR, exigen o fomentan enérgicamente el uso de la formación en materia de concienciación sobre la seguridad. Por lo tanto, si puede demostrar que su organización utiliza la formación en materia de concienciación sobre la seguridad, cualquier acción normativa posterior deberá tenerlo en cuenta.
Sin embargo, a la hora de calcular el ROI de una campaña de concienciación en materia de seguridad, hay que tener en cuenta el coste típico de una multa por incumplimiento en su sector.
Puede encontrar el nivel de multas que podría afectar a su empresa tras una infracción en la Oficina del Comisionado de Información (ICO). Por ejemplo, el GDPR y el DPA 2018 del Reino Unido establecen la multa máxima de 17,5 millones de libras esterlinas o el 4% de la facturación global anual.
Primas de seguro
Según un estudio de la aseguradora Hiscox, el 63% de las empresas británicas tiene previsto contratar un ciberseguro como parte de su estrategia. Además, las primas pueden bajar si se reduce el riesgo formando a los empleados en materia de seguridad.
Añada el coste del ciberseguro a la rentabilidad de una campaña de concienciación sobre la seguridad como parte de los costes generales de su estrategia de seguridad.
Otros costes del retorno de la inversión son:
- El coste del paquete de formación y cualquier característica añadida, como la formación de simulación de phishing.
- Gastos de administración para el funcionamiento del programa.
- Tiempo perdido por la realización de ejercicios de concienciación sobre seguridad por parte de un empleado.
Cómo calcular el ROI de la formación en ciberseguridad
Una vez que tenga los datos, puede introducirlos en una ecuación de retorno de la inversión. Afortunadamente, alguien ya ha investigado cómo generar una ecuación para la formación en materia de concienciación sobre la seguridad.
La ecuación del retorno de la inversión en su forma más simple es la siguiente:
ROI = Cálculo del ROI de las campañas de concienciación sobre seguridad
Dónde:
R = Rendimiento (Beneficio)
I = Inversión (Coste)
Sin embargo, como se ha visto, el cálculo de la R e I de la seguridad es más complicado, ya que hay costes intangibles como el daño a la reputación.
Afortunadamente, la gente del sector de la seguridad ha estudiado la complejidad de calcular la rentabilidad de la inversión en formación en seguridad. Michael Coden, por ejemplo, utiliza una investigación del Instituto Tecnológico de Massachusetts (MIT).
Un estudio del MIT basa el cálculo de los costes de los incidentes de ciberseguridad en los pasos que conducen a un incidente de ciberseguridad. Esta investigación se ha utilizado para desarrollar un marco conocido como STACHT. Utilizando este marco, Coden ha desarrollado una ecuación para el ROI de los proyectos de ciberseguridad (como las campañas de formación en materia de seguridad) que incluye:
Dónde:
Probabilidad de Compromiso (PC) = amenazas multiplicadas por vulnerabilidades
Impacto de un compromiso (IC) = activo multiplicado por las pérdidas si se produce un compromiso
La ecuación de Coden se utiliza por proyecto e indica el probable retorno de la inversión basado en estimaciones.
Una visión más cualitativa de la rentabilidad de las campañas de concienciación sobre la seguridad
Tenga en cuenta que el cálculo de la rentabilidad de la formación en materia de concienciación sobre la seguridad puede no reducirse a introducir datos en una ecuación. En su lugar, basta con elaborar una lista de los posibles costes e impactos de un ciberataque para demostrar que la formación en materia de seguridad merece la pena.
Los seres humanos siguen siendo el centro de atención de los ciberdelincuentes; si hay alguna forma de romper este ciclo, se reducirá naturalmente el riesgo y los costes.
Un informe de Osterman describe la formación en ciberseguridad como "esencial" para prevenir los ciberataques. El informe destaca la eficacia de la formación en materia de seguridad, con datos que muestran, por ejemplo, que sólo el 11% de los empleados podía detectar un correo electrónico de phishing antes de la formación, pero después de ésta, el 64% era capaz de detectar intentos de phishing. Pruebas como ésta pueden ser muy eficaces a la hora de calcular el beneficio de realizar una campaña de concienciación sobre seguridad.