Cybersecurity and digital privacy

Los devastadores impactos empresariales de una ciberviolación

Astraed

7 min read

Los riesgos de ciberseguridad son cada vez más sistemáticos y graves. Si bien los impactos a corto plazo de un ciberataque en una empresa son bastante graves, los impactos a largo plazo pueden ser aún más importantes, como la pérdida de una ventaja competitiva, la reducción de la calificación crediticia y el aumento de las primas del ciberseguro. No deben ignorarse. Para abordar estas preocupaciones de forma eficaz, las empresas deben: 1) contar con un defensor de la ciberseguridad en el consejo de administración que ayude a marcar la pauta de la organización y 2) desarrollar una estrategia de ciberseguridad a largo plazo, que debería ser una prioridad para todas las organizaciones.

••• Los ciberriesgos se están disparando. La última[Informe de violación de datos de IBM](https://www.ibm.com/au-en/reports/data-breach) reveló que un alarmante 83% de las organizaciones sufrieron más de una violación de datos en 2022. Según el[Informe de investigaciones sobre filtraciones de datos de Verizon de 2022](https://www.verizon.com/business/resources/reports/dbir/), el número total de ataques de ransomware aumentó un 13%, lo que representa un aumento igual al de los últimos cinco años juntos. La gravedad de la situación sigue siendo evidente con la divulgación pública de al menos 310 ciberincidentes ocurridos solo en los últimos tres meses, según [Enero](https://www.itgovernance.co.uk/blog/list-of-data-breaches-and-cyber-attacks-january-2023), [Febrero](https://www.itgovernance.co.uk/blog/list-of-data-breaches-and-cyber-attacks-in-february-2023-29-5-million-records-breached), y [marzo](https://www.itgovernance.co.uk/blog/list-of-data-breaches-and-cyber-attacks-in-march-2023) datos de IT Governance. Entre ellos se encuentra ChatGPT de OpenAI, que expuso la información relacionada con los pagos y otros datos confidenciales de[El 1,2% de sus suscriptores de ChatGPT Plus](https://www.cmswire.com/digital-experience/chatgpt-suffers-first-data-breach-exposes-personal-information/) debido a un error en una biblioteca de código abierto que utilizaba. Además,[Semiconductores Samsung](https://www.foxbusiness.com/technology/samsung-employees-reportedly-leaked-sensitive-info-chatgpt-accident) ha registrado tres incidentes en los que los empleados filtraron accidentalmente información de la empresa cuando utilizaban ChatGPT. ## **Es común perder miles de millones de dólares en capitalización bursátil con un efecto dominó** Es bien sabido que un ciberincidente puede hacer caer la cotización de las acciones de una organización, especialmente a corto plazo. Las empresas que cotizan en bolsa sufrieron[una caída media del 7,5% del valor de sus acciones tras una violación de datos,](https://www.infosecurity-magazine.com/news/companies-stock-value-dropped-1/) junto con una pérdida media de capitalización bursátil de 5.400 millones de dólares. Aún más preocupante es el hecho de que estas empresas tardaron 46 días, de media, en recuperar sus cotizaciones bursátiles hasta los niveles anteriores a la infracción, si es que fueron capaces de hacerlo. Es importante destacar que ese impacto puede repercutir en toda la cadena de suministro y crear un efecto dominó que puede provocar hasta[26 veces la pérdida](https://www.helpnetsecurity.com/2021/09/27/multi-party-data-breach/) para el ecosistema empresarial de una empresa. Por ejemplo,[un ataque de ransomware a ION Trading Technologies](https://www.bleepingcomputer.com/news/security/ransomware-attack-on-ion-group-impacts-derivatives-trading-market/) el 31 de enero de este año, las instituciones financieras se esforzaron por confirmar las operaciones de forma manual. Del mismo modo, una violación de seguridad de un proveedor externo de Okta relacionada con[6 mil millones de dólares](https://siliconangle.com/2022/04/09/ripple-effects-okta-security-breach-worse-think/) fuera de la capitalización bursátil de la empresa durante la semana en que se hizo público el incidente. En otras palabras, solo es tan bueno como su eslabón más débil. ## **Los impactos a largo plazo están surgiendo y pueden ser más significativos de lo esperado** Si bien las fluctuaciones de los precios de las acciones pueden resultar fáciles de gestionar para algunos ejecutivos, los efectos duraderos de los ciberincidentes en las empresas son cada vez más evidentes. En primer lugar, un ciberincidente consumirá directamente los recursos de la empresa y se traducirá en un aumento del coste de la actividad empresarial. En 2022, el coste medio mundial de una violación de datos alcanzó[4,35 millones de dólares, mientras que la cifra es más del doble en EE. UU.,](https://www.ibm.com/reports/data-breach) con un promedio de 9,44 millones de dólares. Estos gastos pueden incluir todo, desde el pago de rescates y la pérdida de ingresos hasta el tiempo de inactividad de la empresa, la reparación, los honorarios legales y los gastos de auditoría. Por ejemplo, los honorarios de auditoría de las empresas tras las filtraciones de datos pueden rondar[Un 13,5% más](https://fardapaper.ir/mohavaha/uploads/2019/01/Fardapaper-The-impact-of-audit-firms%E2%80%99-characteristics-on-audit-fees-following-information-security-breaches.pdf) que las de firmas sin infracciones. Si bien las pérdidas de millones de dólares pueden llevar a la quiebra a una pequeña empresa, pero no tener un gran efecto en una empresa que cotiza en bolsa, los atacantes suelen ser lo suficientemente «inteligentes» como para causar más problemas a las empresas más grandes. Por ejemplo, los ataques de ransomware tuvieron un impacto financiero mucho mayor en el sector de la salud, con más de[7.800 millones de dólares](https://www.comparitech.com/blog/information-security/ransomware-attacks-hospitals-data/) perdido solo por el tiempo de inactividad en 2021. Además, estos costes pueden repercutir en los clientes e inversores, lo que limita la capacidad de la empresa de mantener su posición en el mercado. Por ejemplo,[El 60% de las organizaciones](https://www.halock.com/summarizing-the-ponemon-cost-of-a-data-breach-report-2022/) que han sufrido filtraciones de datos han subido sus precios. De media, las empresas sufren un incidente de violación de datos importante[un rendimiento inferior al NASDAQ un 8,6% después de un año](https://www.comparitech.com/blog/information-security/data-breach-share-price-analysis/), y esta brecha puede ampliarse hasta el 11,9% después de dos años. Además, los ciberriesgos pueden provocar una rebaja de la calificación crediticia, lo que repercute en la capacidad y el coste de la empresa para conseguir financiación. Por ejemplo, las empresas con prácticas de ciberseguridad más débiles pueden enfrentarse a mayores costes de endeudamiento y a un mayor riesgo financiero, ya que[Moody's anunció en 2018](https://www.cnbc.com/2018/11/12/moodys-to-build-business-hacking-risk-into-credit-ratings.html) que evaluaría las prácticas de ciberseguridad de las empresas a la hora de asignar las calificaciones crediticias. De hecho,[Moody's redujo la calificación crediticia de Equifax en 2019](https://www.washingtonpost.com/politics/2023/03/21/credit-ratings-increasingly-looking-cybersecurity/) tras la violación de datos de Equifax ocurrida en 2017. ## **No deje que la ciberdelincuencia perjudique sus resultados** Está claro que las ramificaciones de los ciberincidentes van más allá de una reducción del precio de las acciones a corto plazo, y es esencial que los ejecutivos se preparen para los impactos a largo plazo. Una estrategia de respuesta sistemática y una actitud proactiva con el cliente (como liderar con las medidas de ciberseguridad ya implementadas, centrarse en las mejoras planificadas y practicar simulacros de incendio) han demostrado ser[eficaz](/2020/08/a-cyberattack-doesnt-have-to-sink-your-stock-price) para reducir los impactos negativos de los ciberincidentes. Para prepararse para una perspectiva a largo plazo, he aquí dos esfuerzos fundamentales que los ejecutivos deben realizar: ### **Incluya a un campeón de ciberseguridad en la junta directiva** Esta es la primera tarea que los ejecutivos deben emprender para proteger sus empresas. Tener un líder así no solo puede ayudar a responder a los ciberincidentes, sino que también puede mantener la ciberseguridad como un frente estratégico e impartir conocimientos sobre ciberseguridad a la junta. Hoy en día, la ciberseguridad está mucho más integrada en el panorama operativo, incluyendo[hacer de la ciberseguridad una de las principales prioridades de las juntas directivas](/2017/11/boards-should-take-responsibility-for-cybersecurity-heres-how-to-do-it) mediante una comunicación eficaz y el desarrollo de procesos de gestión ágiles. Más allá de tener un CIO o un CISO en el consejo de administración que asuma la responsabilidad de la ciberseguridad, un CEO o un CFO con experiencia relacionada también pueden reducir eficazmente el riesgo de ciberseguridad y mantener a la empresa alejada de un ciberincidente. ### **Desarrolle una estrategia de ciberseguridad a largo plazo** El segundo esfuerzo fundamental que los ejecutivos deben realizar es adoptar una estrategia de ciberseguridad a largo plazo, en lugar de un enfoque reactivo a corto plazo. Aunque invertir en la gestión del ciberriesgo puede afectar inicialmente a sus recursos generadores de ingresos a corto plazo, dará sus frutos a largo plazo. UN[estudio](https://misq.umn.edu/when-do-it-security-investments-matter-accounting-for-the-influence-of-institutional-factors-in-the-context-of-healthcare-data-breaches.html) de los 5.882 hospitales estadounidenses encontraron que los que _sustancialmente_ adoptó e integró profundamente la seguridad de TI en los procesos y estructuras, en lugar de simplemente adoptarla simbólicamente, podría reducir de manera efectiva el 37,8% de las filtraciones de datos. Las empresas con mejores políticas de ciberseguridad, como las que tienen un CISO dedicado, realizan auditorías periódicas y participan en programas de intercambio de amenazas, pueden recuperar sus cotizaciones bursátiles en[siete días](https://medium.com/@prcooltechzone/hack-it-drop-it-how-stock-prices-are-related-to-data-breaches-eb41be79b147). Por el contrario, las personas con una mala postura de seguridad pueden tardar mucho más en recuperarse, con una media de 90 días. La ciberseguridad debe ser una prioridad para toda la organización, ya que los empleados son siempre la primera línea a la hora de mitigar los riesgos de ciberseguridad. La ciberseguridad debería formar parte de[descripción del puesto de cada empleado](/2021/08/your-employees-are-your-best-defense-against-cyberattacks). Piénsese de nuevo en el incidente de violación de datos de Samsung Semiconductor, en el que los empleados enviaron un código fuente ultrasecreto a ChatGPT para corregir un error. Este incidente no se debió a un fallo técnico, sino a un problema cultural y operativo. Una cultura de ciberseguridad sólida puede ayudar a sus empleados a evitar un ciberincidente tan imprevisto y, al mismo tiempo, les permite aprovechar las ventajas de las innovaciones digitales de vanguardia, como ChatGPT. ### . . . Los riesgos de ciberseguridad son cada vez más sistemáticos y graves. Si bien los impactos a corto plazo de un ciberataque en una empresa son bastante graves, los impactos a largo plazo pueden ser aún más importantes, como la pérdida de una ventaja competitiva, la reducción de la calificación crediticia y el aumento de las primas del ciberseguro. No deben ignorarse. Para que las empresas aborden estas preocupaciones de forma eficaz, es necesario que haya un defensor de la ciberseguridad en la junta que ayude a marcar la pauta de la organización y a desarrollar una estrategia de ciberseguridad a largo plazo, que debería ser una prioridad para todas las organizaciones. _Reconocimiento: La investigación publicada en este artículo se financió, en parte, con fondos de la NSFC 6217071254 y de los miembros del consorcio Cybersecurity at MIT Sloan (CAMS)._

Read more