El drenaje del tiempo de la administración y la pérdida de reputación son los impactos más fuertes en la ciberseguridad de las corporaciones, según lo indicó un estudio privado.
Los efectos de los ataques cibernéticos en las empresas en los últimos dos años han cambiado significativamente.
En 2016,según cifras de un estudio de Grant Thornton, los ejecutivos clasificaron la pérdida de reputación como el impacto más probable (29,2%), seguido del tiempo de gestión (26%) y la pérdida de clientes (16,4%).
Sin embargo, los empresarios encuestados en 2018 dijeron que el impacto más probable se había desplazado hacia el drenaje del tiempo de la administración (29,9%), con la pérdida de reputación en segundo lugar en el 22,3% y los costos de limpieza posterior ingresando a las tres primeras posiciones (18,4%).
Adam Schrock, director gerente de riesgo cibernético de Grant Thornton Estados Unidos, explica cómo hacer frente al cambiante panorama cibernético y mitigar futuros ataques.
"Hay muchos efectos que un ataque cibernético puede tener en un negocio y aunque la naturaleza del ataque puede variar según el tamaño y la industria, hay algunos temas comunes. Es importante recordar que las marcas y la reputación están en juego inmediatamente después de un ataque. Pero, para las grandes marcas, incluso las grandes brechas pueden tener un pequeño impacto a largo plazo", explicó Schrock.
Cuantificando el impacto
Se puede calcular la pérdida directa de ventas debido al cierre de un negocio, incluso durante unas pocas horas.
Las pérdidas como resultado de la suspensión temporal de un sitio web, sistema telefónico o aplicación móvil se descubren fácilmente debido a la pérdida de eficiencia y la imposibilidad de aceptar ventas o consultas.
No obstante, algunos resultados pueden ser menos tangibles, como la pérdida de reputación o el impacto a largo plazo en los ingresos que se pueden atribuir directamente al ataque, y estos últimos son mucho más difíciles de asignar un valor monetario.
Otro desafío de cuantificar el impacto de un ataque es reconocer que existe un costo de oportunidad de los recursos humanos y técnicos que se están retirando de otros proyectos para hacer frente a la violación.
"Las formas en que una empresa puede medir fácilmente los impactos tangibles son mediante el cálculo del costo por registro o por evento", aconsejó el especialista.
Además, dijo que "la empresa puede asignar un costo de notificación a las personas sobre el incumplimiento o problema que ha experimentado y, dependiendo del número de clientes o socios comerciales afectados, se tendrá una suma del impacto".
Dependiendo del entorno de la industria y la regulación, algunos gobiernos y reguladores están abordando de forma proactiva los cambios en el panorama de la seguridad.
En agosto pasado, el Departamento de Servicios Financieros (DFS) de Nueva York anunció una nueva regulación de seguridad cibernética que exige que las instituciones de servicios financieros registradas protejan los datos con un programa de seguridad cibernética e informen sobre las violaciones a través del portal en línea de DFS.
"La responsabilidad es clave: debe haber una persona / propietario internamente, ya sea un contratista para un proyecto específico o un personal permanente para evaluaciones continuas", comentó Schrock.
En Europa, el Reglamento General de Protección de Datos (GDPR) entró en vigor el 25 de mayo de este año, que se aplica tanto a las empresas ubicadas en la Unión Europea (UE) como a las que comercian con la UE.
El reglamento está diseñado para proteger mejor a las personas y existen sanciones importantes por el incumplimiento.
Entonces, las empresas se beneficiarán de los cambios regulatorios porque ofrecen la oportunidad de comprender a fondo qué datos tienen y cómo usarlos de manera más efectiva.
¿Cómo se puede proteger a un negocio de un ciberataque?
Los líderes senior tienen diferentes actitudes ante el riesgo según la industria, el sector e incluso el tipo de personalidad.
Es importante darse cuenta de que una empresa nunca puede estar 100% segura, y realmente depende de su nivel de tolerancia al riesgo.
"Una empresa siempre puede hacer más para proteger y prevenir riesgos y es aquí donde podemos ayudar. Guiamos a nuestros clientes sobre qué regulaciones son relevantes para su negocio y evaluar dónde se encuentran en su camino de madurez. También comparamos con la competencia en su industria.
Muchos clientes consideran que esto es valioso porque les preguntamos dónde quieren estar en el espectro de tolerancia al riesgo y, cuando sea necesario, los ayudamos a lograr la postura de seguridad deseada", aclaró Schrock.
La incorporación adecuada de la gestión de la ciberseguridad en los procesos comerciales existentes también puede tener enormes beneficios.
Esta integración garantiza que se adopte una visión holística de los riesgos empresariales.
"También ayudamos a los nuevos CISO y CSO cuando comienzan un nuevo rol en un negocio. Recomendamos que analicen su estrategia de seguridad, el cumplimiento normativ