En este artículo, hablamos con Adam Schrock, director gerente de riesgo cibernético de Grant Thornton, Estados Unidos, para comprender el cambiante panorama cibernético y mitigar futuros ataques.
Con la tecnología siempre cambiante, no hay límites físicos en cuanto a dónde y cuándo atacan las brechas de seguridad. Las empresas deben tener una estrategia de gestión de riesgos sólida estrechamente alineada con la estrategia empresarial más amplia, independientemente de su ubicación física. Adam recuerda el caso de ransomware WannaCry en mayo de 2017, que infectó y cifró datos en más de 200.000 computadoras en todo el mundo.
Desde el Servicio Nacional de Salud del Reino Unido hasta los organismos gubernamentales en India, Rusia y Rumania, las organizaciones de todo el mundo de repente se encontraron incapaces de acceder a sus datos. El ransomware también afectó a las universidades de Canadá, Indonesia y China, y a numerosas empresas, incluidas las aerolíneas Honda, DeutscheBahn y LATAM.
Como explica Adam, WannaCry pudo tomar el control de las máquinas porque los usuarios no habían instalado las actualizaciones necesarias para protegerse contra las vulnerabilidades conocidas que el malware de WannaCry explotó. Él dice: “WannaCry nos da la lección para analizar e instalar actualizaciones de seguridad críticas en computadoras y dispositivos móviles porque una vez que el malware está dentro de una organización, se propaga. Se trata de reaccionar rápidamente y limitar el daño. Por supuesto, donde sea posible, es mucho mejor estar preparado y prevenir la trasgresión en primer lugar ".
De manera tranquilizadora, el número de ataques cibernéticos a nivel mundial no ha aumentado drásticamente en el último año, aunque hemos visto un aumento del 6,8% desde 2015. El impacto en los ingresos también parece ser estable, con negocios que reportan pérdidas a solo un 1-2% de disminución como resultado de una violación de la ciberseguridad.
Sin embargo, estas cifras no nos muestran la imagen completa. Aunque este aumento parece bajo, y la indicación general es que la frecuencia de los incidentes cibernéticos es estable, hay que ver más allá.
Los líderes de seguridad y jefes de información indican que no es solo la cantidad de eventos cibernéticos que afectan a sus negocios, sino el impacto exacto de esas violaciones.
Los efectos de los ataques cibernéticos en las empresas en los últimos dos años han cambiado significativamente. En 2016 [i], los líderes senior clasificaron la pérdida de reputación como el impacto más probable (29,2%), seguido del tiempo de gestión (26%) y la pérdida de clientes (16,4%). Sin embargo, los líderes senior encuestados en 2018 [ii] dijeron que el impacto más probable se había desplazado hacia el drenaje del tiempo de la administración (29,9%), con la pérdida de reputación en segundo lugar en el 22,3% y los costos de limpieza posterior ingresando a las tres primeras posiciones (18,4% ).
Adam arroja algo de luz sobre estas figuras. "Hay un cambio definitivo en el tiempo de gestión de la junta directiva, los costos de limpieza técnica y la limitación del daño, ya sea de relaciones públicas, de TI o de otro tipo". Hay muchos efectos que un ataque cibernético puede tener en un negocio y aunque la naturaleza del ataque puede variar según el tamaño y la industria, hay algunos temas comunes.
"Es importante recordar que las marcas y la reputación están en juego inmediatamente después de un ataque", dice Adam. "Pero, para las grandes marcas, incluso las grandes brechas pueden tener un pequeño impacto a largo plazo".
Home Depot es un buen ejemplo: una compañía establecida con fortaleza e infraestructura que sufrió muchos daños públicos luego de la violación de datos de 2014. Sin embargo, esta empresa cotizada en la Bolsa de Nueva York tiene una tendencia alcista a largo plazo. A pesar de uno o dos años llenos de baches, después de la violación de datos en 2014, el precio de las acciones de Home Depot ha aumentado desde los bajos US$ 80 en enero de 2014 hasta ahora fluctuar alrededor de los US$ 180 [iii]. El tamaño de la empresa y su trayectoria de crecimiento a largo plazo pueden determinar su capacidad para recuperarse de un ataque.
"Las formas en que una empresa puede medir fácilmente los impactos tangibles son mediante el cálculo del costo por registro o por evento", aconseja Adam. "Puede asignar un costo de notificación a las personas sobre el incumplimiento o problema que ha experimentado y, dependiendo del número de clientes o socios comerciales afectados, tendrá una suma del impacto".
Se puede calcular la pérdida directa de ventas debido al cierre de un negocio, incluso durante unas pocas horas. Las pérdidas como resultado de la suspensión temporal de un sitio web, sistema telefónico o aplicación móvil se descubren fácilmente debido a la pérdida de eficiencia y la imposibilidad de aceptar ventas o consultas.
Desafortunadamente, algunos resultados pueden ser menos tangibles, como la pérdida de reputación o el impacto a largo plazo en los ingresos que se pueden atribuir directamente al ataque, y estos últimos son mucho más difíciles de asignar un valor monetario. Otro desafío de cuantificar el impacto de un ataque es reconocer que existe un costo de oportunidad de los recursos humanos y técnicos que se están retirando de otros proyectos para hacer frente a la violación.
Otras medidas tomadas en la "limpieza" pueden ser difíciles de cuantificar, como los ingresos. También es difícil estimar la pérdida de ventas o negocios futuros como resultado directo de un evento específico, más complicado por cualquier ataque adicional o violaciones de seguridad no relacionadas.
Adam dice: "Lo que los líderes senior encontrarían útil es una forma efectiva de medir el impacto financiero en un negocio, y esto se remonta a medidas tangibles e intangibles. Las marcas y la reputación están en juego inmediatamente después de un ataque cibernético, pero la pérdida de reputación y la pérdida de integridad son difíciles de cuantificar".
Dependiendo del entorno de la industria y la regulación, algunos gobiernos y reguladores están abordando de forma proactiva los cambios en el panorama de la seguridad. En agosto pasado, el Departamento de Servicios Financieros (DFS) de Nueva York anunció [iv] una nueva regulación de seguridad cibernética que exige que las instituciones de servicios financieros registradas protejan los datos con un programa de seguridad cibernética e informen sobre las violaciones a través del portal en línea de DFS.
"La responsabilidad es clave: debe haber una persona / propietario internamente, ya sea un contratista para un proyecto específico o un personal permanente para evaluaciones continuas", explica Adam.
En Europa, el Reglamento General de Protección de Datos (GDPR) entró en vigor el 25 de mayo de este año, que se aplica tanto a las empresas ubicadas en la Unión Europea (UE) como a las que comercian con la UE. El reglamento está diseñado para proteger mejor a las personas y existen sanciones importantes por el incumplimiento.
Renan Piamonte, socio auditor y jefe de gestión de riesgos en Grant Thornton Filipinas, agrega otra perspectiva. "Como bloque económico, la UE se encuentra entre los tres principales socios comerciales de bienes y servicios de Filipinas, incluso más grande que Estados Unidos".
"La buena noticia es que las empresas que cumplen con la Ley de Privacidad de Datos de 2012 de Filipinas tienen muchas posibilidades de estar listas para el GDPR, ya que esta Ley se basa en gran medida en marcos internacionales de privacidad de datos", dice Renan.
Entonces, en el lado positivo, las empresas se beneficiarán de los cambios regulatorios porque ofrecen la oportunidad de comprender a fondo qué datos tienen y cómo usarlos de manera más efectiva.
"Según nuestra experiencia, los clientes y las empresas en general son positivos acerca de los cambios resultantes de las regulaciones como el GDPR y tienen un nivel de comodidad al saber que están haciendo lo correcto", agrega Adam.
Los líderes senior tienen diferentes actitudes ante el riesgo según la industria, el sector e incluso el tipo de personalidad. "Es importante darse cuenta de que una empresa nunca puede estar 100% segura", dice Adam, "y realmente depende de su nivel de tolerancia al riesgo".
“Una empresa siempre puede hacer más para proteger y prevenir riesgos y es aquí donde podemos ayudar. Guiamos a nuestros clientes sobre qué regulaciones son relevantes para su negocio y evaluar dónde se encuentran en su camino de madurez. También comparamos con sus compañeros en su industria. Muchos clientes consideran que esto es valioso porque les preguntamos dónde quieren estar en el espectro de tolerancia al riesgo y, cuando sea necesario, los ayudamos a lograr la postura de seguridad deseada. ”
La incorporación adecuada de la gestión de la ciberseguridad en los procesos comerciales existentes también puede tener enormes beneficios. Esta integración garantiza que se adopte una visión holística de los riesgos empresariales. “También ayudamos a los nuevos CISO y CSO cuando comienzan un nuevo rol en un negocio. Recomendamos que analicen su estrategia de seguridad, el cumplimiento normativo y adopten un enfoque general basado en el riesgo. A nuestros clientes les gusta que Grant Thornton sea proactivo al evaluar su situación. Nos fijamos en las brechas en su marco de control y ayudamos a los CISOs a planificar para los próximos 3-5 años ".
[i] Fuente: Grant Thornton IBR Q3 2016
[ii] Fuente: Grant Thornton IBR Q1 2018
[iii] Fuente: Home Depot Product Authority, LLC, 2018
[iv] Fuente: Department of Finance Services, New York State, 2017