En los últimos años los sectores que se han visto más afectados por ciberataques han sido el negocio retail, el sector salud y el sector construcción, sin embargo, otras industrias como la financiera, farmacéutica y automotriz son consideradas en la actualidad sectores con una alta exposición a ser víctimas de ataques cibernéticos, comentó Victor Huiman, Gerente de Placement de Aon Perú.
“Los ciberataques son una amenaza creciente para las empresas que no discriminan el tamaño de esta ni el sector al cual pertenece, por lo que en realidad ninguna empresa o persona es inmune a un ataque de este tipo”, agregó el ejecutivo.
Cabe precisar que el 2017 fue un año plagado de miles de ciberataques que afectaron a millones de usuarios a nivel mundial. Solo en el Perú las pérdidas económicas ascendieron a USD 4,782 millones (Fuente: Forbes 2017).
Ser víctima de un ciberataque no solo conlleva un impacto económico importante y la pérdida de mercado a consecuencia de éste, sino también un daño reputacional del cual a la larga puede resultar aún más costoso recuperarse, expresa Huiman
Según Michael Hochenrieder de HVS Consulting, actualmente toma en promedio 260 días detectar un ciberataque en curso, debido a que las técnicas y herramientas de los hackers son cada vez más sofisticadas y sus objetivos varían constantemente.
Las empresas ya están tomando medidas a fin de gestionar el riesgo de un posible ciberataque tales como fortalecer las protecciones informáticas de sus sistema mediante Firewalls, back-ups, antivirus (malware), actualizaciones de software, utilizar contraseñas seguras, implementar sistemas de alerta temprana, entre otros.
“Adicional a estas medidas de seguridad que ayudan a mitigar el riesgo, las grandes compañías están transfiriendo el riesgo restante a una aseguradora mediante una póliza de seguros Cyber, sin embargo, las empresas pequeñas recién están empezando a conocer este tipo de protección”.
Las pólizas de seguro tradicionales generalmente excluyen los riesgos cibernéticos, y aun cuando se extienden a cubrir este tipo de pérdidas, la cobertura otorgada es limitada y por lo tanto la protección insuficiente. Por este motivo es recomendable tomar una póliza Cyber que ofrece una protección integral la cual es diseñada a la medida de las necesidades de cada empresa. “Si evaluamos el daño potencial que podría generar la pérdida de nuestra base de datos de clientes, por ejemplo, veremos que en realidad el costo de contratar un seguro Cyber no es alto. Es importante este forma parte una gestión integral de ciberseguridad la cual debe incluir protecciones informáticas adecuadas y una estrategia alineada al negocio”
Priorización del riesgo
Un reporte de la consultora IDC indica que en los próximos años la seguridad cibernética será una de las tres prioridades para el 70% de CEO’s de América Latina.
“La gestión de riesgos cibernéticos depende en gran medida de decisiones de la Alta dirección, tales como la propia gestión interna de la empresa, quiénes son sus socios estratégicos, con qué proveedores y clientes trabaja, y si terceriza parte de sus operaciones. Ninguna empresa es inmune a ataques de este tipo, por lo tanto es necesario implementar una estrategia efectiva de seguridad cibernética. Gran parte del volumen de información que se maneja es atractiva para los ciber delincuentes y mientras más larga sea esta cadena, menor el control y mayor la probabilidad que esta información termine en las manos equivocadas”.
Lo dijo Robert Mueller exdirector del FBI: “Solo existen dos tipos de empresas: aquellas que han sido hackeadas y aquellas que aún no lo han sido”. Por lo tanto es clave que las empresas en Perú y la región tomen conciencia de lo real de esta amenaza y lo importante que es gestionar sus riesgos cibernéticos de forma adecuada, manifiesta Huiman.
Una de las empresas afectadas por Wannacry fue la multinacional danesa Maersk la cual estimó una pérdida entre USD 200MM y USD 300MM a consecuencia de este ataque.
En caso de ser víctima de un ataque cibernético, la pérdida económica estaría conformada por los gastos de investigación informática (forense), gastos de notificación a clientes, el costo de manejo de crisis, gastos legales, entre otros, los cuales dependiendo del volumen de datos infectados y del alcance del ataque podrían ascender a varios millones de dólares, comenta Huiman. “Todos estos costos pueden estar cubiertos a través de una póliza de seguro Cyber. Incluso se debe tomar en cuenta que la falta de medidas de seguridad cibernética podría derivar incluso en un reclamo de D&O (Responsabilidad Civil de Directores y Gerentes)”.
En 2017 los principales ataques de escala mundial fueron el WannaCry, Petya y BadRabbit todos programas maliciosos del tipo ransomware. En el primero de ellos más de 300,000 usuarios se vieron afectados en 150 países. Algunas de las modalidades de ataque cibernético más comunes son: El ransomware es un programa malicioso que bloquea el acceso a un sistema informático, pidiendo un rescate o recompensa (usualmente en bitcoins) a cambio de liberar esta restricción. El spear-phishing consiste en el envío de correos electrónicos con archivos adjuntos que contienen software malicioso. Estos mensajes son personalizados y van dirigidos a personas o empresas específicas, por lo que son difíciles de detectar. El denial-of-service attack (DoS) consiste en sobrecargar una red hasta el punto de hacer colapsar el sistema e imposibilitar el acceso a sus propios usuarios. El defacement es la modificación no autorizada o alteración de los sitios web, se trata de un tipo de vandalismo cibernético que busca afectar la imagen y marca de una organización.