Llegamos a ustedes gracias a:



Reportajes y análisis

Una mirada profunda al impacto de los ciberataques sobre el negocio

[19/09/2016] Son pocos los que podrían negar que los ataques cibernéticos han aumentado en frecuencia y en intensidad, y la mayoría de las organizaciones confirma haber sufrido al menos un incidente cibernético. Sin embargo, ¿esas organizaciones contarán con una verdadera noción del impacto completo en sus compañías? Después de todo, los costos directos asociados comúnmente con un ataque son mucho menos significativos que los "costos escondidos.

En efecto, los costos "escondidos pueden llegar al 90% del impacto sobre el negocio total en una organización, y, muy probablemente, serán experimentados de dos años a más después de ocurrido el evento. Estos son algunos de los hallazgos de un reciente estudio de Deloitte Advisory titulado Bajo la Superficie de un ciberataque: Una mirada más profunda a los impactos sobre el negocio.

Deloitte identifica 14 impactos sobre el negocio en un ciberataque, que son categorizados como "sobre la superficie o costos conocidos por incidente, y "bajo la superficie o costos ocultos o menos visibles. Existen siete impactos en cada categoría.

Pero Deloitte cree que la valoración de mercado actual de los incidentes cibernéticos está bastante desestimada, dado que el público se centra en los impactos sobre la superficie -el porcentaje que es -con mucho- el más pequeño.

"Los ejecutivos tienen dificultad para evaluar el impacto potencial debido, en parte, a que generalmente no son conscientes de lo que sus compañeros enfrentan cuando trabajan para lograr que sus negocios se recuperen, afirma Emily Mossberg, directora de Deloitte & Touche y líder de prácticas para servicios de riesgo cibernético en Deloitte Advisory. "Ha faltado una cifra precisa del impacto del ataque cibernético, por consiguiente, las compañías no están desarrollando las posturas de riesgo que necesitan.

"Mucha de la conversación ha estado centrada en qué vulnerabilidades existen y el impacto de la tecnología, agrega Mossberg. "El énfasis parece centrarse estrechamente en el elemento de la notificación de ataque y los mecanismos de protección posteriores al ataque que necesitan estar listos para actuar, pero el impacto general parece haber sido ignorado.

Los analistas de Deloitte se propusieron obtener una imagen más amplia de un ataque cibernético.

"Nosotros pensamos que esto estaba siendo subestimado. Lo que no esperamos fue la verdadera cantidad de impacto que estaba bajo la superficie y que no ha sido 'parte dela discusión diaria sobre incidentes cibernéticos hoy en día', explica Mossberg.

Para ilustrar todos los impactos de un ataque cibernético, el estudio de Deloitte presenta dos casos de estudio ficticios, y asigna montos de pérdidas en dólares a cada factor a lo largo de un periodo de cinco años. Los 14 impactos de negocio son descompuestos en:

Arriba de la superficie, o costos bien conocidos de incidentes cibernéticos:

  • Notificaciones de ataque del cliente
  • Protección postataque del cliente
  • Cumplimiento regulatorio
  • Relaciones públicas/comunicaciones de crisis
  • Tarifas de abogados y litigios
  • Mejoras de seguridad cibernética

Bajo la superficie, o costos escondidos o menos visibles:

  • Costos de aumentos de la prima de seguro
  • Costo de aumentar la deuda
  • Disrupción operativa
  • Valor perdido en las relaciones con los clientes
  • Valor de la pérdida de ganancias por contrato
  • Devaluación del nombre comercial

De todas las áreas de impacto, quizás la más significativa es la disrupción operativa.

"Cada organización es única en términos del impacto, pero existen áreas críticas comunes entre todas las industrias. Por ejemplo, en tarjetas de crédito de retail los datos son lo más importante. En cuidado de la salud, es la información personalmente identificable (PIN). Y con los fabricantes, la pérdida de propiedad intelectual puede tener el impacto más grande. Sin embargo, la disrupción del negocio es frecuentemente el impacto más subestimado por parte de las organizaciones, resalta Erik Thomas, presidente y consultor principal en EMT Consulting, y miembro del grupo de seguridad cibernética SIM.

"Dependiendo del momento y la duración, esto puede tener ramificaciones extensas en penalidades financieras, ganancias perdidas, costos de préstamos, servicio al cliente, percepción de marca, y oportunidades futuras, afirma Thomas.

Darren Van Booven, jefe oficial de seguridad en el Idaho National Laboratory, está de acuerdo.

"El impacto tangible más significativo es aquel que se sentirá primero, y este es el costo económico de la respuesta a un incidente, señala Van Booven. "El acto de contener y responder a un ataque, investigar cualquier ataque resultante, relaciones públicas, multas de incumplimiento, servicios de monitoreo de crédito, y gastos para fortalecer las defensas para que el ataque no pueda repetirse con facilidad. Para empresas de tamaño moderado a grande esto puede terminar acumulándose y llegar a gastos de millones de dólares.

Pero también existen los costos intangibles, los cuales Van Booven afirma que "dependen de una variedad de factores, como podría ser la industria de la organización, el tamaño, y la naturaleza del incidente. Los impactos pueden incluir la pérdida de su capacidad para proteger la información de manera adecuada, lo que puede resultar en una reacción de cliente distinta en el sector financiero que en el sector de fabricación al por mayor.

"Puede que estos costos sean más difíciles de medir, pero también pueden añadirse si es que los inversionistas, los clientes o los socios de negocio claves son alcanzados fuertemente por el evento, explica Van Booven.

Zulfikar Ramzan, chief technology officer en RSA, propone cinco áreas de mayor impacto de un ataque cibernético: impacto de continuidad del negocio, robo de propiedad intelectual, pérdida de datos confidenciales como la información del cliente o del empleado, implicaciones de cumplimiento regulatorio, y pérdida de la reputación.

"Dependiendo de la organización y en qué vertical de mercado específico se encuentran, distintos ítems suben hacia la parte superior de la lista, anota Ramzan. "Algunas de estas áreas, como el impacto de la continuidad del negocio, son más sencillas de cuantificar. En cambio, puede ser más difícil asignarle un valor a otras áreas, como podrían ser la pérdida de reputación y el robo de propiedad intelectual.

Costo de impactos

Pero eso no impidió que los analistas de Deloitte lo intentaran. En su reporte, ellos crearon dos compañías representativas que experimentaron ataques cibernéticos y asignaron costos de valor a todos los impactos.

Un ejemplo implicó a una organización de cuidados de la salud que sufre un ataque cibernético cuando la compañía se entera que una laptop que contenía 2,8 millones de sus registros personales de información de salud (PHI) le fue robada a su proveedor de software de analítica de salud. Basándonos en todos los 14 factores de impacto, se determinó que el costo total del ataque fue de 1.679 millones de dólares. Este costo se descompone de la siguiente manera:

Sobre la superficie:

  • Notificaciones de ataque del cliente = seis meses, a un costo de 10 millones de dólares (0,6 % del total)
  • Protección postataque del cliente = tres años, con un costo de 21 millones de dólares (1,25 % del total)
  • Cumplimiento regulatorio = 2 millones de dólares en un periodo de dos años (0,12 % del total)
  • Relaciones públicas/comunicaciones de crisis = 1 millón de dólares en el primer año (0,06 % del total)
  • Tarifas de abogados y litigación = cinco años a un costo de 10 millones de dólares (0,6 % del total)
  • Mejoras de seguridad cibernética = 14 millones de dólares durante el primer año (0,83 % del total)
  • Investigaciones técnicas = seis semanas a un costo de 1 millón de dólares (0,06 % del total)

Bajo la superficie:

  • Costos de aumento de prima de seguro = 40 millones de dólares en tres años (2,38 % del total)
  • Costo incrementado de aumentar la deuda = 60 millones de dólares (3,57 % del total)
  • Disrupción operativa = 30 millones de dólares (1,79 % del total)
  • Valor perdido en las relaciones con clientes = 430 millones de dólares en el periodo de tres años (25,61 % del total)
  • Valor de la pérdida de ganancias por contrato = 830 millones de dólares en el periodo de tres años (49,43 % del total)
  • Devaluación del nombre comercial = 230 millones de dólares perdidos en un periodo de cinco años (13,7 % del total)
  • Pérdida de propiedad intelectual = No se asignó una cifra en dólares aquí

Entonces ¿qué debe hacer una organización para protegerse de toda esta pérdida potencial? Mossberg recomienda cuatro áreas en las que tiene que concentrarse.

"Finalmente observamos a cuatro áreas distintas de la organización para determinar qué es lo que deberían mejorar, explica Mossberg. "En primer lugar, revisamos los elementos del programa -su estrategia, su gobierno, sus políticas, sus procedimientos, su estructura de trabajo, y si es que encontramos alguna grieta relacionada a sus programas en general que necesite ser reparada.

"En segundo lugar, revisamos sus controles y postura de seguridad proactiva -¿tienen las cosas listas para proteger los datos que tienen, los sistemas que tienen, el ambiente que tienen, y más importante que nada, el negocio que ellos tienen?, anota Mossberg.

"En tercer lugar, buscamos lo que tienen preparado para entender y monitorear el ambiente continuamente, añade Mossberg. "¿Cuentan con las herramientas apropiadas para llevar un registro de las actividades que están ocurriendo dentro de sus sistemas, y acaso contarán con la analítica apropiada lista para analizar lo que esté ocurriendo fuera de lo normal?.

"Por último, ¿están preparadas para responder? ¿Tienen capacidad de recuperación? expresa Mossberg. "Acaso tienen listos los procesos para responder a un incidente. ¿Han probado esos procesos y planes? Y ¿sabrán -justo a través del equipo ejecutivo de administración- a quiénes tienen que comunicar estos incidentes?.

David Weldon, CSO (EE.UU.)