Por Lorenzo Preve
El riesgo cibernético está instalado entre el top 10 de los riesgos más preocupantes. Ante la fragilidad de las empresas frente a estas amenazas, el autor se pregunta si no será el momento de que el Congreso o algún organismo regulador tome cartas en el asunto.
Ya estamos acostumbrados a escuchar que “todo está conectado”, que estamos en un mundo del “Internet de las Cosas”, o “IoT” como se lo suele denominar comúnmente. Hoy ya nadie se sorprende cuando esperando el colectivo en la parada nos enteramos de cuantos minutos y segundos faltan para su llegada; o cuando vemos gente prendiendo o apagando electrodomésticos en sus casas con un par de comandos en una app de su celular. Estas son grandes mejoras en nuestra calidad de vida que vienen de la mano de los avances de varias tecnologías que se potencian entre sí y nos permiten que nuestro lavarropas reporte el correcto funcionamiento a la empresa que lo fabricó, y se pueda reparar llegado el caso; que el auto eléctrico baje actualizaciones cada vez que las necesita.
Todas estas grandes comodidades, sin embargo, vienen con un costo asociado que no debemos minimizar. Cada una de estas “proezas de conexión”, se convierte en una puerta abierta para un hacker que quiera entrar a nuestra vida, tanto personal como corporativa; cada una de las puertas de acceso, que permiten las conexiones, es además una puerta de entrada para que un hacker ingrese al sistema y lo use a su conveniencia. Sobran los ejemplos de este tipo de problemas. Cientos de miles de personas sufrieron el robo de su tarjeta de crédito después de pagar en grandes tiendas en los Estados Unidos; varios hospitales han reportado que hackers cambiaron los medicamentos que se debían sumistrar a los pacientes; cientos de miles de usuarios (tanto privados como empresas) que sufrieron el secuestro de sus datos; cientos de empresas que reportan haber sufrido el robo de la información de sus clientes; políticos que se quejan de haber sufrido un ataque de hackers; un auto cuyo control total fue tomado por hackers mientras se desplazaba por la autopista; un avión cuyo sistema de entretenimiento fue hackeado en pleno vuelo, etc… De hecho, el cyber risk con sus varios derivados está cómodamente instalado entre el top 10 de los riesgos más preocupantes del 2017 en la mayoría de los informes de las últimas encuestas sobre el tema.
Hay algunas razones, además de la creciente interconexión entre las cosas mencionada en la apertura, que favorecen el crecimiento de este riesgo. (1) La tecnología se está complejizando a niveles de difícil comprensión para la gente común; cada vez más tenemos herramientas y conceptos que nos cuesta comprender. (2) Esta mayor complejidad no es ajena a los reguladores, que muestran tener crecientes dificultades para poder sostener el paso de la innovación de los “cyber-retos”, sobre todo en países con menor calidad institucional. (3) La tecnología hace desaparecer las fronteras y eso complica aún más la actuación de las autoridades y el regulador; los cyber-ataques pueden venir de cualquier lugar del planeta, por lo que el poder de las autoridades se diluye notablemente. (4) Los hackers no necesariamente requieren una real motivación económica para atacar; es común ver que el ataque se realiza para “ver si puedo…”, lo que dificulta notablemente la inteligencia previa o posterior. (5) La misma tecnología dificulta el rastreo de los atacantes; los pagos en cryptomonedas, por ejemplo, hacen más difícil que éstos sean encontrados.
En la actualidad, hay mucha disparidad en la manera en que las empresas responden frente a estos hechos. Vemos una cantidad de empresas que tienen políticas de cyber seguridad serias, aunque –lamentablemente- muchas veces insuficientes, y también vemos que muchas otras empresas simplemente hacen lo que pueden de manera amateur y nuevamente, de forma insuficiente. Esto por supuesto se puede deber a restricciones presupuestarias; desconocimiento; o simplemente, falta de acción al respecto. Hoy en día es casi imposible encontrar alguien que no tenga password para proteger el acceso a su computadora o celular, sin embargo, la falta de seriedad en las políticas de passwords es alarmante; poca gente sabe la importancia de una buena elección de sus contraseñas, ni lo fácil que es, con la tecnología de hoy en día, poder adivinarlos. Por otro lado, son todavía demasiadas las empresas cuyos empleados caen en la vieja trampa del “email” de sistemas pidiendo información (hoy llamado physhing), uno de los trucos más utilizados por los hackers al momento de escribir esta nota. Esto se podría evitar fácilmente mediante una adecuada capacitación al personal de la empresa que se hace prácticamente sin costo, aunque lamentablemente son demasiadas las empresas, incluso grandes, que no lo hacen.
En un mundo en que las empresas grandes tienen departamentos de risk management, es cada vez más común ver que durante el proceso de identificación de riesgos de las empresas sale identificado el cyber-risk. Si bien se lo suele identificar rápidamente, en su definición ya aparecen las primeras distinciones importantes que no debemos pasar por alto, ya que hay dos tipos de cyber risks: (i) el de alta probabilidad de ocurrencia y bajo impacto; y, (ii) el de bajísima probabilidad de ocurrencia y altísimo impacto. Estos riesgos tienen diferentes determinantes o causales, pero, sobre todo, deberán ser abordados con diferentes herramientas de cobertura. Claramente una empresa en la que mediante un ciberataque se puede generar un caos de gran escala incluso afectando a otros stakeholders, estará más expuesta que otras a un ataque profesional: deberá estar más alerta y prevenida frente a este tipo de ataque que empresas en las que un ciberataque causa un gran daño a la empresa, pero sin trascendencia más allá de la misma.
Las herramientas clásicas que se suelen usar para mitigar un riesgo de ciberataque son: capacitación del personal de la empresa; políticas de password adecuadas; firewall y antivirus modernos; sistemas de backup; redundancia de sistemas; y sistemas de recuperación de datos, entre otras. Sin embargo, el énfasis que se va a poner en cada una de ellas depende fundamentalmente de la definición del ciberataque que queremos mitigar. En el caso de ataques frecuentes y poco profesionales suele ser suficiente con políticas tendientes a que los ataques no lleguen a destino, mientras que, en el caso de ataques profesionales, casi imposibles de evitar, deberemos poner el énfasis en mitigar sus efectos una vez que éste se haya materializado. En tal sentido, las aseguradoras tienen un rol clave que cumplir en esta etapa crítica de la gestión de riesgos cibernéticos, gracias a las innovadoras pólizas de “Cyber Risk”.
El objetivo de éste artículo es el de intentar poner en evidencia la creciente fragilidad de las empresas e instituciones frente a este tipo de amenaza, y abogar por una mayor seriedad en su tratamiento preventivo. Una vez que los hackers hayan dejado una ciudad sin luz, aviones sin volar, bancos sin poder operar, autos sin control, o semáforos sin sincronización, nos vamos a acordar de que debemos tomar este tema con la debida seriedad. ¿No será el momento de que el Congreso o algún organismo regulador tome cartas en el asunto?
Preve es Director del Centro de Risk Management IAE Business School. (Fuente: Estratega News 7/11/2017)
