Un ciberataque no tiene por qué hundir el precio de sus acciones

Que te hackeen es más una cuestión de cuándo que de si. Pero si bien los hackeos pueden ser una pesadilla para las RR.PP. y que erosiona rápidamente la confianza de los consumidores y hunde la cotización de las acciones, no tienen por qué serlo: los ciberataques también son una oportunidad para que las empresas demuestren transparencia y confiabilidad y destaquen las medidas que han tomado para defenderse de los ataques y en las que están invirtiendo. Un análisis de la forma en que las empresas respondieron a los ciberataques y de cómo les fue a las cotizaciones de sus acciones arrojó dos recomendaciones: 1) Comience con lo que hizo bien para prepararse para esta eventualidad y 2), luego, centrarse en la forma en que va a mejorar aún más. El mejor resultado posible es reducir, o incluso eliminar, el impacto negativo a corto plazo del ciberincidente, por ejemplo, en el precio de las acciones, mediante una estrategia de respuesta sistemática y una actitud proactiva con los clientes, y convertir la experiencia en un disparador para ampliar el aprendizaje organizacional a fin de generar un impacto positivo a largo plazo y una innovación digital.

••• Más del 60% de las personas de la lista Fortune 1000 sufrieron al menos una violación de datos públicos en la última década, según[una investigación del Instituto Cyentia](https://www.helpnetsecurity.com/2020/03/18/fortune-1000-breach/#:~:text=the%20last%20decade-,Over%2060%25%20of%20the%20Fortune%201000%20had%20at%20least%20one,50%25%20for%20the%20Fortune%20250.) informe. Anualmente, se estima que una de cada cuatro firmas de la lista Fortune 1000 sufrirá una ciberpérdida. Hay una estimación[ciberataque cada 39 segundos](https://www.cybintsolutions.com/cyber-security-facts-stats/#:~:text=A%20Clark%20School%20study%20at,give%20attackers%20more%20chance%20of). Como se dice a menudo,»[no es cuestión de _si_, pero _cuando_ sufrirá un ciberataque.](https://www.krypsys.com/small-business-it-security/cyber-attack-longer-question-matter/)» ¿Está preparado? Un hackeo puede hundir la cotización de las acciones de una empresa y dejar a los inversores enfurecidos. Tras el hackeo de Capital One, que se informó públicamente en julio de 2019, la cotización de las acciones de la empresa[cayó casi un 6%](https://www.wsj.com/articles/capital-one-shares-plummet-after-breach-11564500956) inmediatamente en operaciones fuera de horario, perder[un total del 13,89%](https://ca.finance.yahoo.com/quote/COF/history?period1=1564358400&period2=1565827200&interval=1d&filter=history&frequency=1d) más de dos semanas. Del mismo modo, tras el anuncio del[Violación de Equifax a principios de septiembre de 2017](https://www.marketwatch.com/story/equifaxs-stock-has-fallen-31-since-breach-disclosure-erasing-5-billion-in-market-cap-2017-09-14), la empresa sufrió una reacción negativa similar en el mercado de valores con la cotización de sus acciones [pasando de 142,72 dólares a 92,98 dólares en solo una semana](https://ca.finance.yahoo.com/quote/EFX/history?period1=1504742400&period2=1505952000&interval=1d&filter=history&frequency=1d). Lo que es peor, su cuota de mercado cayó significativamente en 2017 y desde entonces ha tenido problemas para recuperarse. Sin embargo, que lo hackeen no tiene por qué ser un desastre. El[Infracción de JP Morgan Chase](https://www.wsj.com/articles/j-p-morgan-says-about-76-million-households-affected-by-cyber-breach-1412283372) en 2014, por ejemplo, no afectó negativamente al crecimiento de sus acciones, de hecho, sus acciones subieron ligeramente. Estos resultados contradictorios indican que muchos factores determinan las consecuencias de los incidentes de violación de datos. También muestran que hay medidas que una empresa puede tomar no solo para mitigar el daño a la reputación, sino que, a veces, incluso para terminar mejorando su posición. Nuestro[investigación y revisión de más de 14 publicaciones](http://web.mit.edu/smadnick/www/wp/2019-25.pdf) los estudios revelaron que las consecuencias de un incidente de violación de datos pueden variar según el sector, el tamaño de la empresa, el tipo de información expuesta y la estrategia de respuesta. Aquí nos centraremos en la estrategia de respuesta de la empresa, el área sobre la que la empresa tiene más control. ### Cómo responder cuando lo hackean Empecemos por lo que no hay que hacer. En primer lugar, no trate de ocultar que ocurrió. Estrategias como ocultar la existencia del incidente o encontrar excusas para minimizar la responsabilidad de la organización pueden tener consecuencias aún peores. Un ejemplo es cuando[Uber pagó a piratas informáticos](https://www.wsj.com/articles/uber-reveals-data-breach-and-cover-up-leading-to-two-firings-1511305453) a través de su[programa de recompensas por errores](https://www.uber.com/newsroom/bug-bounty-program/) para encubrir un incidente de violación de datos en 2016. Cuando el incidente se dio a conocer públicamente en 2017, provocó un daño importante a la reputación de Uber y un[Multa de 148 millones de dólares impuesta por la Comisión Federal de Comercio en 2018](https://www.wsj.com/articles/uber-to-pay-148-million-penalty-to-settle-2016-data-breach-1537983127). Y aunque muchas empresas sacan a relucir al CEO para que diga «Lamento profundamente lo que ha sucedido» o despiden al director de seguridad, es probable que ninguno de los dos actos sirva de mucha ayuda. ¿Y qué? _debería_ ¿usted sí? Hay dos consejos clave: 1) Empiece con lo que ha hecho bien para prepararse para esta eventualidad y 2), luego, centrarse en la forma en que va a mejorar aún más. ** ** **Comience con las medidas de ciberseguridad que ya están en vigor.** Nuestro análisis muestra que un CEO tranquiliza tanto a los clientes como al mercado de valores y les comunica de forma inmediata y eficaz los mecanismos de ciberseguridad que la empresa ya cuenta. Difundir que se hizo una inversión importante antes de un hackeo demuestra que la empresa se tomó en serio la seguridad, y especialmente la privacidad de sus clientes. Incluso si estas medidas no frustraran en última instancia el ataque, analizarlas puede mitigar algunos de los daños: el cifrado de los datos puede garantizar la confidencialidad, un sistema de respaldo puede ayudar a acelerar la recuperación y la segmentación de la red puede aislar el incidente para reducir la magnitud del impacto. Si está leyendo esto y aún no lo han hackeado, ahora sería un buen momento para comprobar las medidas de seguridad como estas. **Cambie a las mejoras planificadas.** Inmediatamente después de la infracción, se deben tomar medidas correctivas y publicarlas, como anunciar un gran aumento del presupuesto para mejorar aún más la capacidad de ciberseguridad empresarial. Contratar a más profesionales de ciberseguridad para mejorar las capacidades de ciberseguridad interna también puede contribuir a mantener la confianza de los clientes. Por ejemplo, tras la violación de JP Morgan Chase, la empresa publicó amplia información sobre el ataque y[duplicó su inversión en seguridad](https://www.securitymagazine.com/articles/85854-jp-morgan-chase-sees-cyber-security-spending-doubling). Además de las mejoras internas, es aconsejable ofrecer públicamente a todos los clientes un servicio de monitorización, como LifeLock, para evitar cualquier posible uso indebido de sus datos, como el robo de identidad. Hacerlo —y anunciar que lo hace— deja claro que los clientes están en buenas manos y que van a ser atendidos. En conjunto, estas estrategias de recuperación tras una infracción ayudaron a las organizaciones a reducir o eliminar la caída negativa del precio de las acciones a corto plazo, según nuestro análisis. ### Prepárese ahora Estas respuestas inmediatas y bien planificadas son fundamentales para restablecer la confianza. Pero aunque no siempre sea capaz de prevenir un ciberataque, puede prepararse para él. Con demasiada frecuencia hemos visto a los directores ejecutivos hacer declaraciones inmediatas a la prensa, solo para dar marcha atrás en cuestión de horas o días, haciendo que parezca que la empresa no sabe lo que hace. Por supuesto, esto reduce considerablemente la confianza en la empresa. Nuestra investigación confirmó la importancia de los simulacros de incendio de ciberataques para abordar este problema. Se trata de hacer que la alta dirección, incluida a menudo la junta, participe en un ciberataque simulado para desarrollar y practicar procedimientos de respuesta y estrategias de comunicación. Hemos realizado varios simulacros de incendio de este tipo con empresas: presentamos una serie de eventos (a veces como videoclips, como se puede ver en las noticias) y hacemos que los ejecutivos respondan a cada uno de ellos, tras lo cual evaluamos qué funcionó bien, qué no y qué formación y preparación adicionales se necesitan antes de que se produzca un hecho real. Si su empresa aún no está realizando simulacros de incendio por ciberataque, debería hacerlo lo más rápido posible. Es importante destacar que un ciberataque es una crisis, pero también puede ser una oportunidad. Los líderes deberían recordar la guía de Winston Churchill: «Nunca desperdicies una buena crisis». Si bien un ciberataque pone en el centro de atención a la empresa objetivo, también proporciona publicidad gratuita a la empresa para demostrar su responsabilidad y sus esfuerzos por proteger a las partes interesadas, los clientes, los proveedores y la comunidad. Por eso es tan importante un plan de acción y una estrategia de comunicación bien ensayados. En lugar de culpar al equipo de ciberseguridad o a los empleados crédulos, las organizaciones deberían convertir esos incidentes en oportunidades para mejorar y optimizar su negocio aumentando la transparencia, mejorando la madurez de la ciberseguridad y mejorando la posición competitiva. El mejor resultado posible es reducir, o incluso eliminar, el impacto negativo a corto plazo del ciberincidente (por ejemplo, en la cotización de las acciones) mediante una estrategia de respuesta sistemática y una actitud proactiva con los clientes. Luego, convierta la experiencia en un disparador para ampliar el aprendizaje organizacional a fin de generar un impacto positivo a largo plazo y una innovación digital. Esta debería ser la misión de todos los líderes de la organización. Si todas estas cosas se hacen y se hacen bien, la empresa puede salir mejor, más fuerte e inteligente. _Reconocimiento: Esta investigación se financió, en parte, con fondos de los miembros del consorcio Cybersecurity at MIT Sloan (CAMS)._