Ciberdelitos: asunto que las juntas deben leer y gestionar como riesgo estratégico
Un mundo globalizado e hiperconectado, cada vez más dependiente de las nuevas tecnologías, parece también más vulnerable a los ciberdelitos.
La pandemia, que llevó a millones a trabajar de manera remota, también configuró escenarios propicios para la ocurrencia de delitos cibernéticos, en los que tanto ciudadanos de a pie como organizaciones son víctimas.
El acceso a través de redes no seguras, las contraseñas débiles, controles deficientes, entre otras malas prácticas, implicó que en 2021 algo más de la mitad de las empresas colombianas (53%) sufrieran ciberataques.
Según la consultora Mckinsey, hay estimativos según los cuales los costos de ransomware o tipo de programa malicioso que bloquea el acceso al sistema de cómputo del usuario, podrían alcanzar los USD 265 millones a nivel mundial para el año 2031.
Las denuncias en un pasado reciente sobre la intromisión de hackers en las elecciones de los Estados Unidos, la vulneración y ataques al sistema de dos reconocidas universidades en Bogotá el año pasado (para no ir muy lejos) y hasta otra faceta de la guerra que hoy libran Rusia y Ucrania, en la que este último país se quedó sin servicio de Internet debido a un presunto asalto tecnológico, parecen no solo confirmar que a nivel cibernético se puede dar un escalamiento de un conflicto, sino además que no hay distingo de geografía y víctimas para este tipo de ataques.
Ante esta realidad, ¿cómo deben actuar individuos y organizaciones, y en estas últimas, sus esquemas de gobernanza?, ¿sus juntas directivas?
∞»La visión femenina en juntas directivas da una fortaleza clave a las organizaciones».
Este fue uno de los temas medulares tratados en pasados días, en desarrollo del 5 Foro anual de Gobierno Corporativo organizado por el CESA, con el apoyo de la Corporación Financiera Internacional del Banco Mundial (IFC) y el Instituto Colombiano de Gobierno Corporativo, ICGG.
Ciberriesgos y ciberdelitos: a la orden del día
En esencia, en lo que al tema se refiere, las juntas están llamadas a cumplir con por lo menos tres mínimos para afrontar escenarios de este tipo, que parecen inevitables.
“Concebir el ciberriesgo como un aspecto de naturaleza estratégica, por lo que no pueden hacer caso omiso de su magnitud; involucrar dentro de sus agendas permanentes el abordaje de la postura de ciberseguridad de los negocios, e involucrar dentro de sus discusiones a personas que entiendan de ciberriesgo y que sean conscientes del impacto que este puede tener para la organización”.
La afirmación es hecha por Juan Mario Posada, líder de servicios de seguridad de Accenture Colombia.
Para este ingeniero de sistemas, y lo dice enfáticamente, el hecho de que los ciberriesgos son del resorte exclusivo de las áreas encargadas de gestionar riesgos o gestionar tecnología es un mito.
La transformación digital -la realidad- lo que está demostrando es que, en un entorno influenciado por la economía digital, por los negocios digitales, “el ciberriesgo nos impacta a todos: desde la persona que abre la puerta del edificio, hasta la que toma las decisiones más relevantes y la junta directiva. Atacados podríamos ser todos. Lo importante es qué tan preparados y resilientes podamos estar para enfrentar esta situación”.
Ciberataques, más virales que el covid-19
Una instantánea en segundo plano durante su exposición en el foro da buena cuenta de la magnitud de lo dicho por Posada.
Se trata de dos mapas. Uno de la propagación del covid-19, frente a otro sobre cómo se comportó un ciberataque hace unos años.
A pesar de ser un evento pandémico, el covid-19 tardó cerca de seis meses en tener una propagación similar a la ocurrida con el ransomware ‘WannaCry’ a finales del 2017, que en un solo día infectó más de 230.000 computadoras con Windows en 150 países, y que al final dejó pérdidas cercanas a los 4 mil millones de dólares.
En perspectiva, “si el covid-19 ha tenido un severo impacto, ni individuos ni organizaciones -y sus juntas- deben desestimar una ciberpandemia, y estar preparados ante un evento catastrófico de dimensión cibernética con un impacto catastrófico a nivel de los negocios”, explicó Posada.
Y es que varios sectores han sido impactados a causa de ataques cibernéticos en los últimos dos años, lo que ha desembocado en millonarias pérdidas económicas.
Pérdidas millonarias por ciberataques
Como lo expuso el experto de Accenture, la industria financiera reportó pérdidas superiores a los USD 300 millones por ataques en la nube, la industria de tecnologías de la información, de USD 74 millones por ataque de Ransomware, al igual que la industria energética (USD 14 millones) y automotriz (USD 20 millones) por este mismo tipo de ataque; la industria aeronáutica, pérdidas por vulnerabilidades en sistemas de proveedores y la de hotelería por software malicioso instalado en cajas registradoras, estimadas en más de USD 230 millones y USD 123 millones, respectivamente.
En el contexto de los proveedores, figura que muchas veces es aprovechada por la ciberdelincuencia, las evaluaciones hechas por la consultora dan cuenta que en cuatro de cada diez casos las empresas resultaron afectadas por un ciberincidente a causa de un tercero.
Los resultados de una encuesta realizada por la firma a 120 líderes de empresas de 20 países arrojaron pistas sobre la diferencia como los directores de negocio o estrategas, y los directores de seguridad, ven las variables que aparecen en la ecuación del ciberriesgo.
En efecto, ciberataques hay de varios tipos, y la percepción sobre la gravedad de estos es distinta para el ámbito organizacional como para el ámbito de los directores de tecnología.
Mientras que el Ransomware, la ingeniería social (engaños contra usuarios para obtener datos confidenciales) y la actividad interna maliciosa son los tres ciberataques que más preocupan a la organización; lo que más preocupa a los ciberlíderes de las empresas son el deterioro de la infraestructura debido a un ciberataque, el robo de identidad y -por último- la actividad interna maliciosa.
Hoy, la resiliencia de la información es uno de los aspectos más sensibles de la transformación digital, dada la necesidad de las organizaciones de contar, de manera expedita, con la recuperación de información en caso de que esta se haya perdido, pero que a su vez los archivos espejo estén debidamente protegidos.
(No deje de leer: Lo que significa la empresa impulsada por los datos)
En este sentido, la mayoría de los consultados (91%) reconoció la importancia y utilidad de compartir información para fortalecer la ciberresiliencia.
Pero ¿en qué circunstancias comparten información sobre sus prácticas de resiliencia cibernética y seguridad en el ecosistema?
El 16% expresó que solo si es por una obligación contractual, el 35% de forma voluntaria y el 46% lo hace de forma selectiva. Un 3% expresó que nunca.
Cultura de ciberseguridad y preguntas que debe hacerse el gobierno de la empresa
Hablar del tema cibernético, por naturaleza, es hablar de una conectividad y actividades en red en el que cada miembro participante tiene el poder de ayudar, dañar, debilitar o fortalecer su ecosistema cibernético, expuso Posada.
En este contexto, hay algunas acciones claves para asegurar el ecosistema y sobre las que se pronunciaron los líderes consultados: compartir información con grupos externos (15%), compartir el desempeño con sus pares (7%), promover unos mínimos de ciberseguridad (32%) y fortalecer la cultura de la ciberseguridad (46%), lo más importante.
Ante potenciales escenarios de crisis por un ciberataque, el experto destacó por lo menos 8 preguntas que deben hacerse la gerencia y la junta para enfrentar un panorama de este tipo:
- ¿Cómo actuaríamos en caso de un ataque de alto impacto que llegue a interrumpir las operaciones? (Tener claros los procedimientos, los escalamientos, el abordaje de la crisis).
- ¿Existe la capacidad de contener y aislar una intrusión para mitigar el impacto que ello pueda tener en el negocio?
- ¿Cómo operaríamos en caso de perder la disponibilidad de los sistemas críticos del negocio?
- ¿Quiénes son esos asesores (especialistas) de confianza para apoyarnos en la contención de un ataque de alto impacto?
- ¿Cómo reestableceríamos la cadena de abastecimiento en caso de una interrupción?
- ¿Cómo reestablecemos la operación del negocio en caso de una caída de las telecomunicaciones?
- ¿Cuándo fue la última vez que pusimos a prueba y actualizamos el plan de respuestas a incidentes?
- ¿Tenemos aislados los sistemas críticos del negocio?