En el mundo de los negocios siempre hemos tenido el desafío de gestionar riesgos. No hay negocio sin riesgos operativos asociados, financieros, de mercado, estratégicos y reputacionales. Pero a medida que nos hemos digitalizado y dependemos más de la tecnología y de la información y estamos más interconectados, el ciberriesgo concentra nuestra atención. Y asociado al ciberriesgo viene el cibercrimen, donde los delitos comprometen la tecnología y la información.

No se entiende fácilmente. En el pasado, lo consideramos responsabilidad de las áreas de tecnología. Sin embargo, nos hemos dado cuenta que el ciberriesgo atraviesa nuestras organizaciones y aparece permanentemente. Su impacto puede ser desbastador y puede tener efectos operacionales, financieros, legales y lo que más nos cuesta dimensionar, consecuencias reputaciones que pueden ser nefastas.

Es un tema que cobija a todos y donde la última responsabilidad recae en directores y consejeros. Por tal motivo, se debe esforzar en comprenderlo y prepararnos para enfrentar los efectos que se derivan.

¿Dónde se origina el ciberriesgo?

Del uso de tecnologías y de información, de las estrategias digitales y del ecosistema al que nos interconectamos en Internet. Usamos tecnologías de información, operativas y de negocios para automatizar y controlar lo que hacemos, desarrollar productos y servicios, relacionarnos con clientes y terceros. Tecnologías disruptivas a modelos de negocio tradicionales, creando nuevos modelos. Plataformas en la nube, el IoT, Internet de las Cosas, AI (inteligencia artificial), machine learning y robotización que nos llevan a una nueva era industrial. Blockchain que nos permite distribuir procesamiento de una forma más segura. Plataformas que nos permiten tener casi todo como servicio, XaaS, incluyendo asistentes virtuales. Interacción a través del tacto, visual y por medio de voz con dispositivos.

El ciberriesgo se origina también de todos los datos que guardamos y manipulamos. Datos que en su mayoría es data oscura. Es decir, datos que no usamos ni entendemos su significado. Se calcula que hoy la data oscura es casi el 70 % de los datos almacenados: emails, documentos, contratos, texto, data estructurada y no estructurada. Datos que traen mensajes ocultos y no analizamos ni interpretamos, donde con el uso de herramientas de Big Data, inteligencia artificial, natural language processing y analíticas, podríamos generar información que nos deriva a la acción. Data muy provocativa para el cibercrimen.

Se ha planteado que el cibercrimen será más rentable que el narcotráfico y la venta de drogas ilegales, pudiendo causar daños por 6 trillones de dólares en 2021

El riesgo es la posibilidad de generar pérdidas financieras, disrupciones operativas o daños a la reputación ocasionados por fallos en la tecnología y la información; por vulnerabilidades o debilidades en los sistemas; o por ataques perpetrados por terceros, incluyendo personas internas, estados, hacktivistas y hackers entre otros. Ransomware, botnets y malware son términos hoy que leemos y escuchamos en los medios que hasta los no techies logramos comprender.

¿Cómo de grande es el cibercrimen hoy?

No existe legislación homogénea para la divulgación de ataques e incidentes, ni reportar pérdidas asociadas. Los incidentes comprometen la integridad, confidencialidad o disponibilidad de la información. En ataques (breaches) se ha comprobado la revelación de información a terceros no autorizados. Se estiman cifras importantes. En el reciente estudio de Verizon: Data Breaches Investigation Report 2018, se calcula que en 2017 hubo 53 000 incidentes y unos 2216 ataques en 65 países, motivados por un interés financiero (76 %). Los ataques varían por industria, pero entre los más afectados estuvieron gobiernos, sector salud, servicios financieros y manufactura. No hay geografía ni industria que se salve. Casi tres cuartas partes de los ataques fueron perpetrados por externos y aunque el compromiso solo toma segundos, nos lleva meses detectar que hemos sido vulnerados. Inquietante también, el 4 % de los empleados de nuestras empresas todavía hacen clics en correos maliciosos y phishing.

Se ha planteado que el cibercrimen será más rentable que el narcotráfico y la venta de drogas ilegales, llegando a causar daños por 6 trillones de dólares en 2021, cifra que duplica la de 20151. Son cifras verdaderamente preocupantes.

Convirtamos las personas en nuestra primera línea de defensa, creando conciencia del gran reto que tenemos y haciéndolos parte de las actividades de protección y detección

¿Qué debemos hacer?

Hacer la gestión del ciberriesgo prioritario en nuestro quehacer en las empresas y responsabilidad de la alta dirección, consejo o directorio.

Además, debemos:

  1. Asegurar tener un programa claro de ciberriesgo que parta de identificar cuál es la información y los sistemas que queremos proteger: las joyas de la corona. Identificar los riesgos asociados y mecanismos para gestionar estos riesgos, ya sea con acciones de mitigación, rechazándolos o transfiriéndolos, por ejemplo, a pólizas de ciberriesgo.
  2. Enfocarnos no solo en proteger la información y la tecnología, sino fortalecer las capacidades de detección, respuesta y recuperación, con el fin de volvernos resilientes ante los posibles incidentes y ataques.
  3. Convirtamos las personas en nuestra primera línea de defensa, creando conciencia del gran reto que tenemos y haciéndolos parte de las actividades de protección y detección.
  4. Guardemos únicamente los datos estrictamente necesarios para lograr los objetivos de negocio, controlemos quién puede acceder a ellos con mecanismos fuertes de autenticación y encriptémoslos en lo posible.
  5. Incorporemos la gestión del ciberriesgo y ciberseguridad dentro de nuestra estrategia y hagamos la seguridad parte del diseño y operación de todo lo que hacemos.
  6. No olvidemos el ecosistema de terceros, clientes, proveedores y demás. Cuando nos interconectamos, el riesgo es agregado y su sumatoria se potencia como riesgo de nuestras organizaciones.

Trabajemos juntos, sector público y privado, pues es la manera más efectiva de enfrentar el gran reto que tenemos.