OPINIÓN: 'Cyber risk', una nueva fuente de amenazas para las empresas

Cuando se presenta un ataque cibernético, las empresas se enfocan en arreglar la parte tecnológica y en cuidar su reputación, pero muchas veces se olvidan de las consecuencias financieras.
Amenaza de alto nivel  Las organizaciones deben preocuparse por aquellos ataques cibernéticos que pueden impedirles el funcionamiento normal.  (Foto: iStock)
Por: SEBASTIÁN AGUAYO

Nota del editor: Sebastián Aguayo es Subdirector del área de Energía e Infraestructura de Marsh. Estudió Economía en el Instituto Politécnico Nacional (IPN) y cuenta con 20 años de experiencia en seguro y reaseguro. En el ramo de Marine & Energy tiene experiencia en la atención de operaciones petroleras, plataformas de perforación, transbordadores, pesqueros y yates. Las opiniones expresadas en este artículo son responsabilidad del autor.

(Expansión) – Cyber, a reserva de las definiciones oficiales que podamos encontrar, es la nueva forma en que las cosas malas pueden suceder.

La tecnología que facilita y aligera nuestra vida, tiene también un lado oscuro y conforme hemos puesto cosas valiosas - dinero, datos, transacciones– en línea o en la nube, hemos dado asimismo la oportunidad a que los criminales puedan tomarlas. Y de todas las ventajas que traen consigo las redes sociales, cuando las cosas salen mal, aceleran las malas noticias y las malas opiniones, haciendo que sea más difícil para las compañías retener a sus clientes y la confianza de sus inversionistas.

La relación es directa e indiscutible: entre más pongamos en línea o en la nube, el famoso “cyber risk“ se convierte en una nueva fuente de riesgos para las empresas, como lo son el clima o los accidentes.

Lee: La débil ciberseguridad de México pone en aprietos a Estados Unidos

Esta nueva fuente de riesgos tiene ya su propio vocabulario y algunos de sus ejemplos son:

  • Malware: Software malicioso instalado en las computadoras o dispositivos móviles.
  • Phishing: Recabar datos personales de manera maliciosa.
  • Password Attack: Programas que intentan adivinar nuestras contraseñas.
  • Denial-of-Service (DoS): Ataque cibernético que impide que nuestro sitio web funcione.
  • Man in the Middle (MITM): Alguien está en medio de una transacción legítima y puede leer la información, por ejemplo entre el usuario y su banco.
  • Drive-By Download: Bajar información sin autorización al momento de visitar una página web y que servirá como herramienta para el hacker al utilizarla como espía, entre otros usos.
  • Malvertising: Colocar publicidad no autorizada sin desembolsar el pago legítimo.

En un escenario extremo, como las películas de acción o ciencia ficción, si fuera tan fácil interrumpir el sistema bancario de todo un país o una economía, los países que están rodeados de enemigos capaces y entusiastas, ya habrían sufrido las consecuencias de este tipo de eventos.

Lee: México, foco de ciberdelitos en América Latina

Ante una amenaza de este nivel, no habría forma de prevenirlo, como sucede con la caída de un meteorito o un desastre climático fuera de lo normal. La verdadera amenaza para las compañías no es el riesgo sistémico, sino el menos visible que diariamente corremos. Las organizaciones deben de preocuparse por aquellos ataques cibernéticos que pueden impedirles el funcionamiento normal, su facturación, o el daño a su reputación; incluso por ataque que los expondrán a dejar escapar sus secretos o causen daños a bienes y personas.

Algunas compañías ya están tomando acciones concretas frente a este tipo de amenazas, pero la gran mayoría dejan a sus departamentos de Tecnologías de la Información que se encargue. Si bien este es el paso más natural y lógico, no es suficiente. Si las agencias de los gobiernos, los bancos ¡y hasta los equipos de futbol! son vulnerables, cualquier otra firma, de cualquier giros industrial, también lo es.

OPINIÓN: La deuda digital profundiza la desigualdad en el mundo

Cuando se presenta un ataque cibernético, lo más común es que las empresas se enfoquen en arreglar la parte tecnológica y a cuidar su reputación, pero muchas veces se olvidan de las consecuencias financieras a corto y largo plazo, como la pérdida masiva de la confianza de los clientes y los inversionistas.

Las organizaciones necesitan tener acceso inmediato al flujo de efectivo para poder seguir funcionando durante la crisis, al mismo tiempo que arreglan el problema. Lo anterior requiere que la Junta de Consejo, o por lo menos el Director General (CEO), tengan identificados los escenarios de todo lo que puede salir mal, que tan malo sería si sucede y de dónde se van a obtener los recursos para manejarlo y arreglarlo.

En mi experiencia, la gran mayoría de las pólizas tradicionales de seguros mencionan claramente que un evento cibernético está excluido y dicha exclusión también se llega a ver en los contratos de líneas de crédito o cuentas bancarias, por lo que hay un gran trabajo que hacer para revisar y modificar los contratos con las aseguradoras y los bancos, por lo menos.

Lee: Ciberseguridad, ¿un reto para la nueva Economía?

El riesgo cibernético está evolucionando rápidamente y puede poner en peligro la continuidad de la empresa. La Alta Dirección se debe de involucrar, no solamente en su defensa, sino también en su respuesta; deberá correr los escenarios de un posible ataque y validar si las finanzas de sus compañías podrían soportarlo o qué tipo de protecciones (tecnológicas, de seguros u otras) se pueden colocar en su lugar para minimizar el impacto de un ataque, que pueda tener un impacto tanto en sus clientes, sus operaciones o sus finanzas.

Ahora ve
Los Dodgers de Los Ángeles vuelven a la Serie Mundial de Beisbol
No te pierdas
×