La practica de RedTeam tiene ROI (Retorno de inversion), Aunque su calculo no es obvio.
Creemos que la forma mas apropiada de validar las capacacidades e identificar los espacios de mejora mas relevantes para la gestion del riesgo de una empresa, es una actitud proactiva y la práctica continua del ejercicio de redteam.
El ROI de esta practica esta directamente relacionado a la promesa de ROI de todo el stack de tecnologias, procesos y personas vinculadas a ciberseguridad.
Decimos que está directamente relacionado a la promesa de ROI del stack de ciberseguridad completo, dado que la practica de Red Team como seguridad ofensiva busca poner a prueba la eficacia de la organizacion para prevenir, detectar, responder y recuperarse de incidentes de seguridad en los tiempos comprometidos por el CISO y aceptados por la junta de direccion*
La promesa de ROI de ciberseguridad como un todo, es una función de mitigación del riesgo al que esta expuesta una empresa, su gente, su capital y su reputación.
El riesgo que se busca mitigar impacta tanto en las ganancias potenciales, los costos de hacer negocios, las relaciones con sus clientes, socios, proveedores y finalmente la valuación de la empresa (Market Cap) independientemente de que cotice en un mercado o no. El ejemplo actual mas emblematico se llama Ransomware.
Cuando una organizacion no es capaz de prevenir, detectar, responder o recuperarse, en forma eficaz de un ataque (en tiempo y forma), la promesa mencionada antes no puede cumplirse o se cumple de forma defectusosa, con un impacto concreto en el ROI esperado (riesgo mitigado)**
En última instancia, la practica de RedTeam colabora en los procesos de mejora de la capacidad y los tiempos de prevencion, deteccion, respuesta y recupero de la organizacion.
Podria concluirse ademas, que el costo de la práctica de RedTeam forma parte necesaria de un correcto calculo de TCO (Costo total de propiedad) de la suma de todas las tecnologias y procesos de ciberseguridad de una empresa, dado que el mismo no podría no incluir un componente de validacion de eficacia, requerido como parte de las métricas del area.
*MANUAL DE SUPERVISIÓN DE RIESGOS CIBERNÉTICOS PARA JUNTAS CORPORATIVAS – OEA (Organizcion Estados Americanos)
APÉNDICE I Métricas de ciberseguridad a nivel de junta
Desarrollo de métricas económicas cibernéticas El riesgo cibernético ahora se acepta como una conversación a nivel de la junta. Sin embargo, el desafío es cómo comunicarle, de manera efectiva y precisa, el impacto financiero de los incidentes cibernéticos a la junta. Antes de que las juntas puedan tomar decisiones informadas sobre cómo administrar el riesgo cibernético, primero deben tener la capacidad de traducir los datos de ciberseguridad en métricas financieras. Los directores de la junta deberán trabajar con la gerencia para delinear la información de ciberseguridad más relevante dado el entorno operativo de la organización, incluida la industria o el sector, los requisitos normativos, la huella geográfica, etc. Para comenzar, las siguientes recomendaciones de riesgo cibernético a nivel de junta proporcionan un punto de partida que las juntas deben considerar solicitarle a la gerencia:
• ¿Cuáles son nuestras métricas trimestrales de índice de pérdida esperada relacionadas con nuestra condición de riesgo cibernético en nuestras diferentes unidades de negocios y entornos operativos?
• ¿Cuál es el impacto financiero relacionado con nuestro peor escenario de riesgo cibernético?
• ¿Qué procesos hemos establecido relacionados con la toma de decisiones sobre la aceptación del riesgo cibernético, la solución del riesgo cibernético y la transferencia del riesgo cibernético? ¿Cómo medimos la manera en que estas decisiones reducen nuestra exposición financiera al riesgo cibernético?
• ¿Cómo estamos midiendo y priorizando nuestras actividades de control e implementación y los presupuestos de ciberseguridad frente a nuestra exposición financiera al riesgo cibernético? ¿Hemos conectado nuestra estrategia de implementación de control y los programas de ciberseguridad, incluidos los presupuestos, con nuestra estrategia de transferencia de riesgo cibernético?
• Según nuestros objetivos de desempeño financiero, ¿cómo puede el riesgo cibernético impactar nuestro desempeño financiero? ¿Cuál es nuestro valor anual de pérdida de riesgo cibernético esperado?
• ¿Cuál es nuestro plan de remediación de riesgo cibernético para alcanzar nuestro nivel de tolerancia de pérdida esperado? ¿Está nuestro plan produciendo un rendimiento financiero neto positivo?
• ¿Cómo alinea nuestro programa de ciberseguridad el análisis del índice de pérdida esperada basado en el riesgo cibernético y los objetivos de tolerancia de pérdida esperada? ¿Cómo estamos midiendo, rastreando y demostrando cómo nuestras inversiones en ciberseguridad están reduciendo nuestra exposición financiera a incidentes cibernéticos y entregando rendimiento de la inversión en ciberseguridad?
• ¿Cómo estamos midiendo y alineando nuestro análisis de índice de pérdida esperada basado en riesgo cibernético y la planificación de ciberseguridad con nuestro plan de transferencia de riesgo de seguro cibernético?
• ¿Cómo medimos la efectividad del programa de ciberseguridad de nuestra organización y cómo se compara con los de otras compañías?
** Reporte de costo de brechas de seguridad de IBM 2022. https://www.ibm.com/reports/data-breach advierte sobre el tiempo promedio que puede pasar un atacante antes de ser detectado en 277 dias expandiendose incluso respecto al 2021 situada en 212 dias. https://www.ibm.com/downloads/cas/J01XNXRO/name/05477c943ab64485.pdf
Autores
Diego Bruno
Santiago Cavanna