«Los ciberataques se potencian con la transformación digital, y esto aplica a todas las empresas, sean de mayor o menor tamaño; no ser consciente de ello es desconocer los riesgos a los que enfrenta su negocio.»
¿Qué está pasando en el mundo?
“En estos tiempos, la conectividad en las empresas es esencial para la productividad de las mismas, la transformación digital se ha vuelto una obligación para que las empresas sigan siendo jugadores relevantes en su industria, la evolución de las redes y el IoT hacen que cada vez más dispositivos están interconectados, los servicios en nube son una tendencia, entre otras soluciones tecnológicas que se van adoptando en los diferentes modelos de negocio.” Este es el fragmento de un artículo que escribí en enero del 2020, previo al fenómeno Covid-19. Con la aparición de la pandemia se acelera la transformación digital en las empresas ya que para la mayoría de ellas es la única manera de seguir operando.
Lo bueno: modelos de negocios disruptivos reemplazan a los tradicionales, empresas obtienen ventajas competitivas a través de la tecnología, los usuarios se ven beneficiados con servicios más eficientes para cubrir sus necesidades.
Lo malo: las empresas, al ser más “digitales” cuentan con más información crítica y demás activos expuestos en el ciberespacio, lo cual las vuelve más vulnerables a los ciberataques que crecen en forma exponencial. Las organizaciones cibercriminales están cada vez mejor preparadas.
¿Cuánto les cuestan los ciberataques a las empresas?
El cuantificar el costo de un ciberataque dependerá de cada caso y es complejo. Lo que sí me atrevo a decir es que el costo es significativo en la gran mayoría de casos, y en algunos hasta se puede poner en peligro la existencia de la empresa en cuestión.
Algunos ejemplos conocidos: Empresas líderes en telecomunicaciones, consultoría tecnológica, hospitales, medios de comunicación, empresas de servicio satelital, aerolíneas, empresas de servicio eléctrico, empresas de turismo, empresas de entretenimiento, entre otras, han sufrido ciberataques los cuales han sido de conocimiento público, con lo cual se concluye que no existe discriminación de industrias en el cibercrimen.
Las consecuencias han sido en muchos de estos casos paralizar la operación de las empresas causado por un ciberataque de secuestro informático denominado “ransomware”. Para hacer un ejercicio sobre el impacto vamos a ilustrarnos con el siguiente ejemplo: imaginemos un ciberataque de ransomware a un centro médico. ¿Qué consecuencias tendría para un centro médico si de repente ninguno de sus colaboradores y médicos tienen acceso a la información de sus pacientes y sistemas informáticos?, mencionaré algunas que se me ocurren.
Le puede interesar: Gobierno Digital: Covid19, Transformación Digital y Social
- Consecuencias en la salud, integridad física y quizás hasta la vida en algunos pacientes
- Daño reputacional para el centro médico
- Impacto económico por el tiempo perdido de operación
- Costo de pago del rescate, si acaso se optara por este camino
- Costo de recuperación de información, si acaso se pueda recuperar
Tendríamos que poner en valor cada uno de los impactos del ciberataque si es que quisiéramos cuantificar el daño, es complejo, pero sin duda el impacto sería muy significativo.
Los Ciberataques en América Latina
Vemos en los reportes de los centros de inteligencia de reconocidos fabricantes un crecimiento muy significativo en cuanto a la cantidad de ciberataques en la región, en algunos casos exponencial. En general, América Latina cuenta con un nivel de madurez muy bajo respecto a la ciberseguridad. Quizás el reto más importante que enfrentamos actualmente en nuestra región es el de generar conciencia respecto a la importancia de la ciberseguridad. A tener en cuenta que solo del 10% al 12% de los ataques se conocen o reportan, el resto de casos se tratan con mucha discreción por evidentes razones, menciono este punto porque parece ser que solo la casuística eleva los niveles de conciencia en nuestra región.
Gestión de Ciberseguridad – ¡NO es gestión de TI!
Es un error común encargar el riesgo de ciberseguridad al área de TI o Sistemas. Si bien la tecnología es uno de los componentes en la gestión de la ciberseguridad, no es el único, pues están las personas, los procesos, los proveedores y demás stakeholders en los negocios. Una gestión integral en ciberseguridad debe involucrar todas estas variables. Mucho énfasis en las personas, solemos ser la variable más débil dentro de la ecuación. Se recomienda contar con una organización específica encargada de la gestión de ciberseguridad.
¿Cómo empezar?
Lo que se recomienda es hacer un diagnóstico inicial. No existen los diagnósticos “enlatados” ya que cada industria tiene particularidades y, dentro de cada industria, cada empresa tiene un modelo de negocio y operación más particular aún. Un diagnóstico inicial hará saber a la plana ejecutiva de una empresa cuales son los activos críticos de negocio que se encuentran expuestos en el ciberespacio y su respectiva situación de riesgo. A partir de allí se construyen planes para gestionar dichos riesgos.
Vale decir que esta gestión debe ser activa y debe también incorporarse a la operación de la empresa. Una gestión integral de ciberseguridad no debe solo proteger los activos mencionados sino que debe tener la capacidad de detectar de manera proactiva los incidentes, responder rápidamente ante ellos y recuperarse de los mismos. Todo ello debe estar claramente estipulado ya que la improvisación en el transcurso de un ciberataque puede traer consecuencias negativas.
La aparición de un nuevo riesgo para todos los negocios
De acuerdo al World Economic Forum, para los próximos 10 años los ciberataques representarán el segundo riesgo más importante para todos los negocios. Este fue un pronóstico pre Covid-19. El camino digital de las empresas es un viaje sin retorno, el mundo está inmerso en lo digital y no se visualiza una marcha atrás. Los ciberataques se potencian con la transformación digital, y esto aplica a todas las empresas, sean de mayor o menor tamaño; no ser consciente de ello es desconocer los riesgos a los que enfrenta su negocio. En conclusión: la gestión de riesgo de los ciberataques debe estar en la agenda de la alta dirección de las empresas.
Lea también: Alinear la Estrategia con el Ambiente de Control y la Gestión del Riesgo