Los devastadores impactos empresariales de una ciberinfracción

Ninguna empresa puede permitirse subestimar los costos financieros a largo plazo.

Los devastadores impactos empresariales de una ciberinfracción

¿No tienes tiempo de leer?

Nuestros Audioresúmenes, te mantienen al día con los mejores artículos y libros de negocios; aún y cuando no tienes tiempo para leer.

por Keman Huang,

Ninguna empresa puede permitirse subestimar los costos financieros a largo plazo.

• • •

Los riesgos cibernéticos se están disparando. Lo último Informe de violación de datos de IBM reveló que un alarmante 83% de las organizaciones sufrieron más de una violación de datos en 2022. Según el Informe de investigación de violación de datos de Verizon para 2022, el número total de ataques de ransomware aumentó un 13%, lo que representa un aumento igual al de los últimos cinco años juntos. La gravedad de la situación sigue siendo evidente con la divulgación pública de al menos 310 ciberincidentes ocurridos solo en los últimos tres meses, según Enero, Febrero, y marzo datos de IT Governance. Estos incluyen ChatGPT de OpenAI, que revelaba la información relacionada con los pagos y otra información confidencial de El 1,2% de sus suscriptores a ChatGPT Plus debido a un error en la biblioteca de código abierto que utilizaba. Además, Semiconductor Samsung ha registrado tres incidentes en los que los empleados filtraron accidentalmente información de la empresa al utilizar ChatGPT.

Es común perder miles de millones de dólares en capitalización bursátil con un efecto dominó

Es bien sabido que un ciberincidente puede hacer caer el precio de las acciones de una organización, especialmente a corto plazo. Las empresas que cotizan en bolsa sufrieron una caída media del 7,5% en el valor de sus acciones tras una violación de datos, junto con una pérdida media de capitalización bursátil de 5.400 millones de $. Aún más preocupante es el hecho de que estas empresas tardaron 46 días, de media, en recuperar los precios de sus acciones a los niveles anteriores a la infracción, si es que pudieron hacerlo.

Es importante destacar que este impacto puede repercutir en toda la cadena de suministro y crear un efecto dominó que puede provocar hasta 26 veces la pérdida para el ecosistema empresarial de una empresa. Por ejemplo, un ataque de ransomware a ION Trading Technologies el 31 de enero de este año envió a las instituciones financieras a esforzarse por confirmar las operaciones de forma manual. Del mismo modo, se afeitó una violación de seguridad de un proveedor externo de Okta 6$ millones de dólares fuera de la capitalización bursátil de la empresa durante la semana en que se hizo público el incidente. En otras palabras, solo es tan bueno como su eslabón más débil.

Están surgiendo impactos a largo plazo y pueden ser más importantes de lo esperado

Si bien las fluctuaciones de los precios de las acciones pueden ser fáciles de gestionar para algunos ejecutivos, los efectos duraderos de los ciberincidentes en las empresas son cada vez más evidentes.

En primer lugar, un ciberincidente consumirá directamente los recursos de la empresa, lo que aumentará el coste de la actividad empresarial. En 2022, se alcanzó el coste medio mundial de una violación de datos 4,35 millones de $, mientras que la cifra es más del doble en los EE. UU., con un promedio $9,44 millones de dólares. Estos gastos pueden incluir de todo, desde el pago de rescates y la pérdida de ingresos hasta el tiempo de inactividad de la empresa, la remediación, los honorarios legales y los gastos de auditoría. Por ejemplo, las tasas de auditoría para las empresas tras las filtraciones de datos pueden rondar 13,5% más que las de las firmas sin incumplimientos. Si bien millones de dólares en pérdidas pueden llevar a una empresa pequeña a la quiebra, pero no tener mucho efecto en una empresa que cotiza en bolsa, los atacantes suelen ser lo suficientemente «inteligentes» como para causar más problemas a las empresas más grandes. Por ejemplo, los ataques de ransomware tuvieron un impacto financiero mucho mayor en el sector de la salud, con más de 7,8$ millones de dólares perdido solo por el tiempo de inactividad en 2021.

Además, estos costes pueden repercutir en los clientes e inversores y limitar la capacidad de la empresa de mantener su posición en el mercado. Por ejemplo, El 60% de las organizaciones que han sufrido filtraciones de datos han subido sus precios. De media, las empresas sufren un incidente de violación de datos importante tener un rendimiento inferior al NASDAQ un 8,6% después de un año, y esta brecha puede ampliarse hasta el 11,9% en dos años.

Además, los ciberriesgos pueden provocar una rebaja de la calificación crediticia, lo que afecta a la capacidad y al coste de la empresa para garantizar la financiación. Por ejemplo, las empresas con prácticas de ciberseguridad más débiles pueden enfrentarse a mayores costes de endeudamiento y a un mayor riesgo financiero, ya que Moody’s anunció en 2018 que evaluaría las prácticas de ciberseguridad de las empresas a la hora de asignar las calificaciones crediticias. De hecho, Moody’s redujo la calificación crediticia de Equifax en 2019 tras la violación de datos de Equifax ocurrida en 2017.

No deje que la ciberdelincuencia perjudique sus resultados

Está claro que las ramificaciones de los ciberincidentes van más allá de una reducción del precio de las acciones a corto plazo y es fundamental que los ejecutivos se preparen para los impactos a largo plazo. Una estrategia de respuesta sistemática y una actitud proactiva del cliente, como liderar con las medidas de ciberseguridad ya implementadas, pasar a las mejoras planificadas y practicar simulacros de incendio, han demostrado ser efectivo para reducir el impacto negativo de los ciberincidentes. Para prepararse para la perspectiva a largo plazo, he aquí dos esfuerzos fundamentales que los ejecutivos deben realizar:

Ponga a un campeón de ciberseguridad en la junta

Esta es la primera tarea que los ejecutivos deben emprender para proteger sus empresas. Tener un campeón así no solo puede ayudar a responder a los ciberincidentes, sino que también puede mantener la ciberseguridad como un frente estratégico e impartir conocimientos sobre ciberseguridad a la junta.

Hoy en día, la ciberseguridad está mucho más integrada en el panorama operativo, que incluye hacer de la ciberseguridad una de las principales prioridades de las juntas directivas mediante una comunicación eficaz y en el desarrollo de procesos de gestión ágiles. Además de tener un CIO o un CISO en el consejo de administración que asuma la responsabilidad de la ciberseguridad, un CEO o un director CFO con experiencia relacionada también puede reducir eficazmente el riesgo de ciberseguridad y mantener a la empresa alejada de un ciberincidente.

Desarrolle una estrategia de ciberseguridad a largo plazo

El segundo esfuerzo fundamental que deben realizar los ejecutivos es adoptar una estrategia de ciberseguridad a largo plazo, en lugar de un enfoque reactivo a corto plazo. Si bien invertir en la gestión del riesgo cibernético puede afectar inicialmente a sus recursos generadores de ingresos a corto plazo, dará sus frutos a largo plazo.

UN estudio de 5.882 hospitales estadounidenses encontraron que los que sustancialmente adoptó e integró profundamente la seguridad de IT en los procesos y estructuras, en lugar de limitarse a adoptar simbólicamente, podría reducir de manera efectiva el 37,8% de las filtraciones de datos. Las empresas con mejores políticas de ciberseguridad, como las que tienen un CISO dedicado, realizan auditorías periódicas y participan en programas de reparto de amenazas, pueden recuperar las cotizaciones de sus acciones en siete días. Por el contrario, las personas con una mala postura de seguridad pueden tardar mucho más en recuperarse, con una media de 90 días.

La ciberseguridad debe ser una prioridad de toda la organización, ya que los empleados son siempre la primera línea para mitigar los riesgos de ciberseguridad. La ciberseguridad debería formar parte de descripción del puesto de cada empleado. Piense de nuevo en el incidente de violación de datos de Samsung Semiconductor, en el que los empleados enviaron un código fuente ultrasecreto a ChatGPT para corregir errores. Este incidente no se debió a una debilidad técnica, sino a un problema cultural y operativo. Una cultura de ciberseguridad sólida puede ayudar a sus empleados a evitar un ciberincidente imprevisto de este tipo y, al mismo tiempo, les permite aprovechar las ventajas de las innovaciones digitales de vanguardia, como ChatGPT.

. . .

Los riesgos de ciberseguridad son cada vez más sistemáticos y graves. Si bien los impactos a corto plazo de un ciberataque en una empresa son bastante graves, los impactos a largo plazo pueden ser aún más importantes, como la pérdida de la ventaja competitiva, la reducción de la calificación crediticia y el aumento de las primas del ciberseguro. No deben ignorarse. Para que las empresas puedan abordar estos problemas de forma eficaz, es necesario que haya un defensor de la ciberseguridad en el consejo de administración que ayude a marcar la pauta de la organización y a desarrollar una estrategia de ciberseguridad a largo plazo, que debería ser una prioridad para todas las organizaciones.

Reconocimiento: La investigación publicada en este artículo contó con el apoyo, en parte, de fondos de la NSFC 6217071254 y de los miembros del consorcio Cybersecurity at MIT Sloan (CAMS).

_

#N/A

Scroll al inicio