Autor: Luis Enríquez (Coordinador del Observatorio de ciberderechos y tecnosociedad de la Universidad Andina Simón Bolívar)

¿Cuál es el costo de una violación de la seguridad de datos? ¿Cómo concientizar a autoridades públicas de la importancia de la seguridad de la información?

En el año 2015, el Foro Económico Mundial publicó su inciativa “Partnership for Cyber Resilience: Towards the Quantifiction of Cyber Threats”, la cual tenía como objetivo impulsar el análisis cuantitativo de riesgos de seguridad de la información. En este contexto, la finalidad de la iniciativa era replicar la cultura del Valor al Riesgo (Goldman Sachs 1994) del mundo financiero, en el área de la ciberseguridad. El resultado fue la creación del Cyber Value at Risk (CyVaR). En las últimas décadas, varios modelos cuantitativos de análisis de riesgos de seguridad han emergido, estando entre los más destacables el Factor Analysis of Information Risk (Jones 2006). Sin embargo, la transformación hacia una cultura de valor al riesgo en la ciberseguridad ha sido lenta, al mismo tiempo que la violaciones de la seguridad de datos van en aumento exponencial año tras año.

Un ciberataque genera seis tipos de pérdidas financieras (Freund/Jones 2014): 1) Pérdida de productividad. 2) Gastos de recuperación de incidentes. 3) Gastos por reemplazo de sistemas de información / datos. 4) Pérdida de ventaja competitiva. 5) Gastos por falta de conformidad legal. 6) Pérdida de reputación. Si consideramos que en el año 2021 el cibercrimen ocasionó pérdidas financieras estimadas de $16,4 billones de dólares por día (Cybercrime magazine) y que el costo promedio de una violación de datos fue de $4,24 millones de dólares (IBM security data breach report 2021), no es posible que sigamos realizando gestiones de riesgos únicamente cualitativas en base a la subjetividad de escalas como “high , medium y low”. La gestión de riesgos cuantitativa se fundamenta en el valor al riesgo y no en una subjetividad de juicio, que genera una ilusión de seguridad a manera de placebo (Hubbard, 2017).

En este contexto, el sector público Ecuatoriano ha sufrido enormes pérdidas financieras debido a ciberataques, tales como el hackeo con ransomware a CNT (Agosto 2021), el hackeo al Municipio de Quito (Abril 2022), y muchos otros. Estos ataques hacen presumir una deficiente gestión de riesgos seguridad de la información. Sin embargo, nunca se llegó a saber cuanto costaron estos incidentes informáticos, ni siquiera por respeto a los ciudadanos, considerando que ese costo lo pagamos todos. En mi trabajo cotidiano he tenido la oportunidad de interactuar con instituciones públicas del Ecuador y el resultado casi siempre ha sido desalentador. Los altos funcionarios no entienden la importancia del Valor al Riesgo en la ciberseguridad, y mucho menos el costo de la pérdida de confidencialidad, integridad y disponibilidad en los datos personales de los ciudadanos. Esta omisión conduce a la toma de decisiones desinformadas y una mala gestión en la inversión de medidas de seguridad organizacionales y técnicas de seguridad. Si consideramos que las medidas de tratamiento de riesgos de seguridad deben ser eficaces y rentables, la ausencia de metodologías métricas para medir su rendimiento hace que el Estado siempre termine pagando más dinero por menos resultados.

En la actualidad, la Estrategia Nacional de Ciberseguridad contempla el eje de la “resiliencia cibernética”. La estrategia es una oportunidad para incorporar y promover esta cultura de Valor al Riesgo cibernético (CyVaR). El asunto es simple, para mejorar la resiliencia cibernética del sector público es necesario promover una gestión de riesgos cuantitativa que proyecté el probable costo financiero de un ataque cibernético tanto a los activos afectados, como a los derechos y libertades de los ciudadanos. Sólo a partir de esta proyección de costos, será posible tomar decisiones informadas para invertir de manera eficaz y rentable en medidas organizacionales y técnicas de seguridad. El Ecuador ya cuenta con una Ley Orgánica de Protección de Datos Personales que obliga a instituciones públicas y privadas a implementar medidas organizacionales y técnicas de seguridad de los datos personales de las personas concernidas (art. 37). No obstante llevamos más de 1 año esperando la creación de la Superintendencia de datos.

Por otro lado, existen 3 proyectos de ley de seguridad digital en la Asamblea Nacional, de los cuales ninguno hace referencia a la importancia del análisis cuantitativo de riesgos de seguridad. La Estrategia de Ciberseguridad podría morir por falta de voluntad política como mueren la gran mayoría de buenas ideas que han fracasado en el pasado.

¿Hasta cuándo?