Entradas
El drenaje del tiempo de la
administración y la pérdida de reputación son los impactos más
fuertes en la ciberseguridad de las corporaciones, según un último
estudio de Grant Thornton.
Los efectos de los ataques cibernéticos en las
empresas en los últimos dos años han cambiado significativamente.
En 2016, según cifras de un estudio de Grant Thornton, los
ejecutivos clasificaron la pérdida de reputación como el impacto
más probable (29,2%), seguido del tiempo de gestión (26%) y la
pérdida de clientes (16,4%). Sin embargo, los empresarios
encuestados en 2018 dijeron que el impacto más probable se había
desplazado hacia el drenaje del tiempo de la administración (29,9%),
con la pérdida de reputación en segundo lugar en el 22,3% y los
costos de limpieza posterior ingresando a las tres primeras
posiciones (18,4%).
Adam Schrock, director gerente de riesgo
cibernético de Grant Thornton Estados Unidos, explica cómo hacer
frente al cambiante panorama cibernético y mitigar futuros ataques.
"Hay muchos efectos que un ataque cibernético
puede tener en un negocio y aunque la naturaleza del ataque puede
variar según el tamaño y la industria, hay algunos temas comunes.
Es importante recordar que las marcas y la reputación están en
juego inmediatamente después de un ataque. Pero, para las grandes
marcas, incluso las grandes brechas pueden tener un pequeño impacto
a largo plazo", explica Schrock.
Cuantificando el impacto
Se puede calcular la pérdida directa de ventas
debido al cierre de un negocio, incluso durante unas pocas horas. Las
pérdidas como resultado de la suspensión temporal de un sitio web,
sistema telefónico o aplicación móvil se descubren fácilmente
debido a la pérdida de eficiencia y la imposibilidad de aceptar
ventas o consultas.
Desafortunadamente, algunos resultados pueden ser
menos tangibles, como la pérdida de reputación o el impacto a largo
plazo en los ingresos que se pueden atribuir directamente al ataque,
y estos últimos son mucho más difíciles de asignar un valor
monetario. Otro desafío de cuantificar el impacto de un ataque es
reconocer que existe un costo de oportunidad de los recursos humanos
y técnicos que se están retirando de otros proyectos para hacer
frente a la violación.
"Las formas en que una empresa puede medir
fácilmente los impactos tangibles son mediante el cálculo del costo
por registro o por evento", aconseja el especialista. "La
empresa puede asignar un costo de notificación a las personas sobre
el incumplimiento o problema que ha experimentado y, dependiendo del
número de clientes o socios comerciales afectados, se tendrá una
suma del impacto".
¿Qué medidas están
tomando los gobiernos para combatir los ataques cibernéticos?
Dependiendo del entorno de la industria y la
regulación, algunos gobiernos y reguladores están abordando de
forma proactiva los cambios en el panorama de la seguridad. En agosto
pasado, el Departamento de Servicios Financieros (DFS) de Nueva York
anunció una nueva regulación de seguridad cibernética que exige
que las instituciones de servicios financieros registradas protejan
los datos con un programa de seguridad cibernética e informen sobre
las violaciones a través del portal en línea de DFS.
"La responsabilidad es clave: debe haber una
persona / propietario internamente, ya sea un contratista para un
proyecto específico o un personal permanente para evaluaciones
continuas", comenta Schrock.
En Europa, el Reglamento General de Protección de
Datos (GDPR) entró en vigor el 25 de mayo de este año, que se
aplica tanto a las empresas ubicadas en la Unión Europea (UE) como a
las que comercian con la UE. El reglamento está diseñado para
proteger mejor a las personas y existen sanciones importantes por el
incumplimiento.
Entonces, las empresas se beneficiarán de los
cambios regulatorios porque ofrecen la oportunidad de comprender a
fondo qué datos tienen y cómo usarlos de manera más efectiva.
"Según nuestra experiencia, los clientes y
las empresas en general son positivos acerca de los cambios
resultantes de las regulaciones como el GDPR, ya que saben que están
haciendo lo correcto", agrega Schrock.
¿Cómo se puede proteger
a un negocio de un ciberataque?
Los líderes senior tienen diferentes actitudes
ante el riesgo según la industria, el sector e incluso el tipo de
personalidad. Es importante darse cuenta de que una empresa nunca
puede estar 100% segura, y realmente depende de su nivel de
tolerancia al riesgo.
“Una empresa siempre puede hacer más para
proteger y prevenir riesgos y es aquí donde podemos ayudar. Guiamos
a nuestros clientes sobre qué regulaciones son relevantes para su
negocio y evaluar dónde se encuentran en su camino de madurez.
También comparamos con la competencia en su industria. Muchos
clientes consideran que esto es valioso porque les preguntamos dónde
quieren estar en el espectro de tolerancia al riesgo y, cuando sea
necesario, los ayudamos a lograr la postura de seguridad deseada”,
aclara Schrock.
La incorporación adecuada de la gestión de la
ciberseguridad en los procesos comerciales existentes también puede
tener enormes beneficios. Esta integración garantiza que se adopte
una visión holística de los riesgos empresariales. “También
ayudamos a los nuevos CISO y CSO cuando comienzan un nuevo rol en un
negocio. Recomendamos que analicen su estrategia de seguridad, el
cumplimiento normativo y adopten un enfoque general basado en el
riesgo. A nuestros clientes les gusta que Grant Thornton sea
proactivo al evaluar su situación. Nos fijamos en las brechas en su
marco de control y ayudamos a los CISOs a planificar para los
próximos 3-5 años".
Sobre
Grant Thornton International
Grant
Thornton Argentina es una firma miembro de Grant Thornton
International Ltd, una de las organizacioneslíderes a nivelmundial
de firmas de auditoría, impuestos y consultoríaindependientes. Las
firmasayudanaorganizacionesdinámicas a liberarsupotencial de
crecimientobrindándolesasesoramientosignificativo y con visión de
futuro. Equiposproactivos, lideradosporsociosaccesibles en
estasfirmas, utilizansucapacidad de análisisprofundo,
ampliaexperiencia e instinto para entenderproblemascomplejos de
clientes del sector privado, que cotizan en bolsa y del sector
público, a fin de ayudarlos a encontrarsoluciones. Más de 50,000
personas de Grant Thornton en más de 130 países se enfocan en
marcarunadiferencia para nuestrosclientes, colegas y las comunidades
en que vivimos y trabajamos.
“Grant
Thornton” se refiere a la marcabajo la cual las firmasmiembro de
Grant Thornton prestanservicios de auditoría, impuestos y
consultoría a sus clientes, y/o se refiere a una o másfirmasmiembro,
según lo requiera el contexto. Grant Thornton International Ltd
(GTIL) y las firmasmiembro no formanunasociedadinternacional.GTIL y
cada firma miembro, esunaentidad legal independiente.Los servicios
son prestadospor las firmasmiembro.GTIL no prestaservicios a
clientes. GTIL y susfirmasmiembro no se representanniobligan entre sí
y no son responsables de losactos u omisiones de las demás.
