Si bien la industria de la seguridad cibernética ha existido durante décadas, cuando se trata de negocios digitales, nunca ha habido tanta ansiedad por la seguridad de nuestros espacios digitales. Las esferas de las altas finanzas, la defensa, la atención médica, la infraestructura crítica y nuestras vidas personales dependen de sistemas nerviosos en línea susceptibles de ser atacados por fuerzas malévolas. A medida que más dispositivos se conectan a redes complejas, más vectores están disponibles para los ciberdelincuentes.
Las consecuencias de estos ataques pueden variar desde costosas hasta catastróficas. Sin embargo, de manera crucial para las salas de juntas, también se han vuelto más frecuentes y más severos.
Como si eso no fuera suficiente para llamar la atención, las empresas también se enfrentan a un panorama regulatorio cada vez más complejo y un entorno litigioso.
Es imperativo prepararse para una amplia gama de riesgos, particularmente porque los reguladores son cada vez más activos y cuentan con más recursos, y a menudo buscan inculcar directamente a los funcionarios y directores de las empresas.
Bajo asedio
Significa que hay tres tendencias principales a las que se enfrentan las empresas: una carga legislativa cada vez mayor; un entorno más polémico tras los incidentes cibernéticos; y un mayor enfoque en la responsabilidad individual.
El ángulo legislativo es cada vez más complejo en las jurisdicciones de todo el mundo. En el Reino Unido, por ejemplo, desde la Ley de uso indebido de computadoras en 1990 y la Directiva de protección de datos de la UE de 1995 a través de las Regulaciones de seguridad de redes y sistemas de información en 2018 hasta la Regulación general de protección de datos del Reino Unido en 2021 y la próxima Ley de IA de la UE, las empresas están luchando con una gran cantidad de intervenciones gubernamentales que afectan la seguridad digital. En los EE. UU., la Casa Blanca ha publicado su Estrategia Nacional de Ciberseguridad, buscando mejorar las inversiones cibernéticas y la asignación de riesgos. El gobierno australiano también está desarrollando la estrategia de seguridad cibernética del país, presagiando reformas legislativas importantes.
Además, la seguridad cibernética es un problema multinacional, lo que significa que debe lidiar con diferentes regímenes regulatorios en las jurisdicciones en las que opera. Se convierte en un campo minado.
Según Chainalysis, los pagos globales estimados identificados como recibidos por atacantes de extorsión cibernética se cuadruplicaron con creces anualmente de $ 174 millones en 2019 a $ 765 millones en 2020. El aumento ha llevado a algunos gobiernos a considerar la intervención, y la ministra australiana de Asuntos Internos y Seguridad Cibernética, Clare O’Neil, señaló que el gobierno australiano está considerando una propuesta para prohibir los pagos de rescate. Si bien, lógicamente, una prohibición eliminaría el incentivo comercial de los ataques de ransomware, la propuesta sigue siendo compleja, especialmente si los activos u operaciones principales se ven afectados por el ransomware.
Incluso si la frecuencia o el valor de los pagos de extorsión comienzan a disminuir, en general se acepta que el costo más amplio del delito cibernético seguirá aumentando.
Los números involucrados cuentan su propia historia. Según el Fondo de Desarrollo de Capital de las Naciones Unidas, el costo directo total del ciberdelito global en 2020 fue de aproximadamente $945 mil millones. Sin embargo, cuando se consideran los costos indirectos, como el menosprecio de la marca, la infracción de la propiedad intelectual y las oportunidades perdidas, la cifra se infla a alrededor de $ 4 billones.
En este contexto, no sorprende que el escrutinio regulatorio aumente.
Además, la atención regulatoria está siendo monitoreada por partes que buscan iniciar demandas colectivas. En Australia, las filtraciones de datos de alto perfil recientes han dado lugar a múltiples demandas colectivas con las organizaciones afectadas, que también son objeto de investigaciones por parte de la Oficina del Comisionado de Información de Australia. Mientras tanto, los reguladores del Reino Unido se están enfocando de manera similar. La Oficina del Comisionado de Información emitió dos llamadas “megamultas” luego de infracciones en los últimos años: Marriott recibió una multa de £ 18,4 millones en 2020 luego de un incidente cibernético en 2014 y British Airways recibió una multa de £ 20 millones luego de una infracción revelada en 2018.
Por supuesto, los reguladores podrían tener un interés particular en una violación de datos si creen que hubo deficiencias en la seguridad cibernética de la empresa. Esto puede ser utilizado como arma por las empresas demandantes, que aprovechan los hallazgos de los reguladores para presentar reclamos en nombre de los afectados.
Si bien todo esto debería ser suficiente para concentrar las mentes de las salas de juntas, hay otro punto de vulnerabilidad: un enfoque renovado en la responsabilidad individual del director. Esto se está desarrollando principalmente en los EE. UU., pero los asesores advierten que puede ser una señal de lo que vendrá a nivel mundial. Aquellos que operan en el sector de servicios financieros del Reino Unido ya están sujetos al Régimen de Alta Gerencia y Certificación.
2022 vio la tasa más alta de ataques de phishing móvil registrados, según la firma de software Lookout. En el Reino Unido, las cifras del gobierno muestran que el 83 % de las empresas que informaron un ataque cibernético en 2022 identificaron los intentos de phishing como medio de ataque.
El temor es que estos métodos se vuelvan más efectivos debido a los avances en inteligencia artificial (IA). Un ejemplo notable es el chatbot de OpenAI, ChatGPT, que recientemente fue explotado por ciberdelincuentes para generar contenido malicioso, como correos electrónicos de phishing y malware. Por supuesto, el potencial de la IA va en ambos sentidos: la tecnología se puede implementar en defensa cibernética y en delitos cibernéticos, pero las preocupaciones aumentan.
Agachate y cubrete
Los mercados de seguros suelen sobresalir al poner precio al riesgo, una realidad que ha visto cómo se han contratado algunas pólizas inusuales a lo largo de los años. Sin embargo, los desarrollos recientes en el sector de seguros están socavando la confianza de que la industria intervendrá para cubrir los riesgos cibernéticos. El año pasado, Lloyd’s of London anunció que las políticas cibernéticas tendrán una exención para los ataques de actores respaldados por el estado. Inicialmente, esto puede parecer poco sorprendente: los actos de guerra han sido excluidos durante mucho tiempo por las pólizas de seguro. Sin embargo, es una calificación inquietante cuando la cuestión de si un actor de amenazas está patrocinado por el estado es cada vez menos clara.
Además, los enfrentamientos legales sobre si un ataque ha sido apoyado por un país parecen inevitables. Por ejemplo, en 2022, el grupo farmacéutico Merck logró un reclamo judicial de EE. UU. de que no se debería aplicar una exclusión de guerra a una evaluación de la pérdida de $ 1.4 mil millones sufrida por un ataque de malware de 2017 conocido como NotPetya. La distinción entre la guerra digital y el crimen digital nunca ha sido más borrosa, y las aseguradoras esperan brindar claridad en lo que aún es un mercado relativamente joven.
Por ahora, las empresas se enfrentan a una intensa presión para demostrar a las aseguradoras que tienen una estrategia sólida y viable para defenderse de los incidentes cibernéticos. El seguro cibernético generalmente solo está disponible para las empresas que pueden demostrar un nivel aceptable de resiliencia. Además, los riesgos están impulsando las primas al alza, al igual que las pérdidas significativas sufridas por los proveedores de seguros cibernéticos al principio del ciclo de vida de la póliza.
Juegos de guerra para siempre
Ha sido un estribillo común entre los tácticos militares desde que lo comentó el comandante prusiano Helmuth von Moltke en 1880: ningún plan sobrevive al primer contacto con el enemigo. Pero si bien la máxima es cierta en materia de conflicto y delincuencia digital, no cambia el hecho de que un plan de acción flexible y rigurosamente probado es mucho mejor que la improvisación una vez que comienzan las hostilidades cibernéticas. Elaborar planes coherentes, garantizar una conciencia generalizada en toda la empresa y jugar con esos planes para mantener la familiaridad, socializar el tipo de preguntas que la empresa tendrá que responder y revelar problemas imprevistos son las medidas más efectivas que las empresas pueden tomar para protegerse.
La seguridad cibernética también involucra más que solo tecnología: el elemento humano es central. Lo absolutamente básico es formar a tu gente y no perder de vista la dimensión humana junto a la dimensión técnica. Podría parchear todas las vulnerabilidades de seguridad posibles y aún así tener un gran incidente porque las credenciales de alguien fueron robadas.
Sin embargo, garantizar que los pilares tecnológicos y humanos de la resiliencia cibernética cuenten con los recursos y la capacitación suficientes requiere la aceptación total de la junta. La sala de juntas debe darse cuenta de que las cosas cambiarán en los próximos años y que es mejor estar a la vanguardia y haber hecho planes y presupuestado para ello. En pocas palabras, si todos los miembros de la junta en todas las juntas del Reino Unido estuvieran encendidos y hubieran recibido instrucciones para una preparación adecuada y revisado todo esto, entonces la capacidad de recuperación de toda la nación sería mucho mayor.
La realidad última es que el delito cibernético, a pesar de existir como una preocupación principal durante 20 años, es un factor de riesgo creciente para las empresas. La mejor defensa se basa menos en la tecnología de punta y más en el negocio sin glamour de un proceso organizacional sólido. Hacer lo básico correctamente: educar al personal, mantener el software actualizado, hacer copias de seguridad de los datos y mantener políticas de respuesta sensatas y procesables. Por mucho que los riesgos y las tecnologías continúen transformándose en la esfera cibernética, los conceptos básicos de las políticas de riesgo bien implementadas pero poco llamativas siguen siendo tan relevantes como siempre.