El Observatorio de la Ciberseguridad de ISMS Forum se ha consolidado como una importante plataforma para la generación de indicadores y análisis sobre ciberseguridad en España. Entre las iniciáticas que promueve se encuentra el Estudio sobre el Indicador del Nivel de Madurez en Ciberseguridad, que este año alcanzará su cuarta edición.

Este informe se ha convertido en una referencia nacional para tomar el pulso a la evolución interanual de los riesgos cibernéticos y su relación con factores externos.

Se trata de un indicador se elabora mediante una metodología sólida y transparente. En concreto, se construye a partir del estándar creado por el Instituto Nacional de Estándares y Tecnología (NIST) en 2013, que se utiliza en todo el mundo. Mediante una encuesta a CISO y responsables de seguridad de la información, mide las capacidades de identificación, protección, detección, respuesta y recuperación de las empresas españolas ante las amenazas cibernéticas, ofreciendo datos de referencia obligada para distintos sectores de actividad económica.

Por otra parte, entre los objetivos del Observatorio de la Ciberseguridad de ISMS se encuentra el de promover el conocimiento y la investigación, generando métricas y referencias nacionales. En esta línea, en 2023 se va a elaborar el primer Estudio sobre el Coste de la Ciberinseguridad en España, dirigido tanto a los profesionales del sector como a instituciones, reguladores, actores económicos y a la sociedad en general. La previsión es que este nuevo indicador transmita la magnitud que suponen actualmente los riesgos vinculados al ciberespacio.

Riesgos e impacto económico

La encuesta de percepción de riesgos globales del Foro Económico Mundial 2022-2023 sitúa los ciberataques a infraestructuras críticas como el quinto riesgo presente ya en el escenario internacional, situado en primer lugar de entre los relacionados con la tecnología. Además, el Foro Económico Mundial señala que, con un horizonte temporal de dos a diez años, la ciberdelincuencia y la ciberinseguridad generalizadas serán el octavo riesgo global.

Estos indicadores muestran que la ciberinseguridad es, y será, un elemento crítico, que podrá tener un papel determinante en la materialización de otros riesgos importantes como el colapso de infraestructuras críticas, la proliferación de actividades económicas ilícitas, la desinformación y difusión de fake news, los conflictos entre países o los ataques terroristas.

El Informe Oficial sobre Cibercrimen 2022, publicado por Cybersecurity Ventures, prevé que el coste global de la ciberdelincuencia ascienda a 8000 millones de dólares en 2023. Para entender esta magnitud, si se midiera como el PIB un país, la ciberdelincuencia constituiría la tercera economía más grande del mundo, después de las de China y Estados Unidos.

De acuerdo con el Informe sobre Delitos en Internet 2022, elaborado por el Centro de Denuncias de Delitos en Internet (IC3) del FBI, el pasado año las posibles pérdidas asociadas a ciberataques y ciberincidentes superaron los 10.200 millones de dólares. Esto equivaldría a un 0,04% del PIB estadounidense. No obstante, hay que tener en cuenta que solo contempla las denuncias efectuadas, por lo que el coste real puede ser mucho mayor. Este informe sostiene que “el riesgo cibernético es riesgo empresarial” y que “la ciberseguridad es seguridad nacional”.

Otro dato: en el entorno europeo, GrantThornton publica desde 2021 el informe sobre el Coste Económico de la Ciberdelincuencia en Irlanda. Aquel fue el año en el que este país sufrió su ciber annus horribilis, con un ataque de ransomware contra su sistema nacional de salud que hizo visible el impacto de la ciberinseguridad para buena parte de su población. Para 2022, este informe estima que los ciberdelitos en Irlanda alcanzarán los 10.000 millones de euros, una cifra cercana al 2% del PIB nacional.

El caso de España

Como se puede apreciar, organismos públicos y empresas están tratando de cuantificar los riesgos que supone la ciberinseguridad, con el fin de visibilizar esta importante amenaza. No obstante, sus resultados resultan muy dispares. En el caso del Informe sobre la Cibercriminalidad en España, editado por la Secretaría de Estado de Seguridad del Ministerio del Interior, detalla el número de hechos conocidos por diferentes categorías delictivas, pero sin estimar las posibles pérdidas asociadas.

Este estudio determinará el coste de la ciberinseguridad, a nivel nacional y para cada uno de los sectores de actividad

Por el momento, nuestro país carece de una aproximación económica al impacto de la ciberinseguridad. En este escenario, el Observatorio de la Ciberseguridad de ISMS ha decidido dar un paso al frente y llevar a cabo un estudio, considerablemente ambicioso y complejo, con el que valorar el ciberriesgo al que nos enfrentamos, además de ayudar a comprender qué se puede hacer al respecto desde distintos ámbitos.

Siguiendo el ejemplo del Indicador del Nivel de Madurez en Ciberseguridad, el Estudio sobre el Coste de la Ciberinseguridad en España aspira a aprovechar el enorme talento y experiencia de la comunidad de CISO y responsables de seguridad de la información de nuestro país. Así, se busca ofrecer un indicador fundamentado en datos de la máxima calidad, generados por expertos bajo los criterios de independencia y transparencia que guían las actividades del Observatorio de la Ciberseguridad.

Metodología

A partir de una revisión de estudios científicos dedicados a la estimación del impacto económico de los ciberriesgos, se ha definido una metodología que seguirá los siguientes pasos:

• Primero, seleccionar los sectores económicos clave que se han de considerar, para los cuales se constituirán grupos de expertos específicos.
• Segundo, identificar los ciberriesgos. En este punto, se ha contado con la colaboración del Centro Criptológico Nacional, desarrollado por el CCN, que ha recomendado utilizar la tipología de riesgos de la Guía de Seguridad de las TIC CCN-STIC 817 sobre la Gestión de Ciberincidentes del Esquema Nacional de Seguridad.
• Tercero, establecer el impacto económico de la ciberinseguridad. Aquí es donde los expertos, mediante la aplicación del método DELPHI, valorarán en términos económicos (interrupciones en la cadena de suministro, disminución de la productividad, pérdidas financieras por pago de rescates, incremento de primas de seguros, sanciones, compensaciones a afectados, pérdida de propiedad intelectual…) la probabilidad de ocurrencia de distintos niveles de impacto para los ciberriesgos contemplados.El método DELPHI es recomendable en investigaciones que implican situaciones complejas o inciertas, donde no hay una respuesta clara o donde se necesita contemplar varias perspectivas y opiniones. Este tipo de contextos incluyen la planificación estratégica, los pronósticos económicos o la evaluación de riesgos, entre otros.

• Cuarto, la elaboración del informe final a partir del estudio, que determinará el coste de la ciberinseguridad, tanto a nivel nacional —estableciendo su impacto económico en términos del PIB español— como para cada uno de los sectores de actividad identificados