En diálogo con Luis Lubeck, perito Informático y Security Researcher de la firma ESET Latinoamérica.
Como punto de partida para saber cuánto nos puede afectar o cuánto dinero podría perder nuestra empresa a partir de un evento de seguridad, debemos valorizar nuestra propia información y la continuidad de nuestro negocio.
Por ejemplo, hoy una empresa, por más chica que sea, si sus principales ventas se realizan de manera online, si ese sistema se cae, su negocio también.
O incluso, puede pasar que, a a través de un ataque, alteren las listas de precios de una empresa, lo que podría generar un conflicto comercial con clientes que pagaron distintos precios por los mismos productos.
Y pensando en ataques más grandes como puede ser el robo de la información, uno de los mayores costos a los que se enfrentan las empresas es a la caída de su imagen, ya que como cliente es muy difícil seguir confiando en una empresa a la que le robaron toda su información. Y en el contexto actual, donde las normas obligan a las empresas a informar cuando sufren un robo de información, esta caída es inevitable.
Por ejemplo, la GDPR (Reglamento General de Protección de Datos) obliga mundialmente a cualquier empresa que tenga clientes en algún país europeo, a informar en caso de tener una fuga de información y esto automáticamente afecta a la imagen de la empresa, y hasta puede provocar pérdidas en la valoración bursátil producto del daño en la confiabilidad.
De manera de tangibilizar el impacto de estas leyes, podemos mencionar el caso de Zoom, una plataforma multi utilizada en este momento, la cual en estos días sufrió una filtración de 500.000 datos de sus usuarios. Hay altas chances que alguno de esos usuarios sea un ciudadano europeo, lo que implica que Zoom, aunque sea una empresa china, pueda recibir una multa por parte de una entidad europea y deberá pagarla si quiere seguir operando en los países de Europa.
¿Cómo calcular los costos de la pérdida de información?
Para hacer un paralelismo entre el mundo físico y el mundo digital, en el mundo físico las empresas cuentan con stocks, inventarios de productos y en caso de robo, es posible contabilizar las pérdidas y tangibilizar el costo de dichas unidades, mientras que en mundo digital si bien las consecuencias pueden ser mucho mayores, para algunas empresas puede resultar difícil cuantificarlas.
La medición y va a depender del nivel de madurez de la empresa, de los procesos con los que trabaje, y su historial de negocios, aunque hay aspectos que podrían aplicar a la mayoría de los negocios y que se pueden tener en cuenta como parámetro para medir el impacto de la pérdida de información.
En los casos en los que el ataque afecta la Continuidad del Negocio, (cuando la empresa no puede operar por una determinada cantidad de días), el costo de este ataque se calcula teniendo en cuenta esa cantidad de días, en base a la facturación mensual promedio.
En otros casos como la Filtración de datos que puede darse con el robo de la base de clientes, el robo de una patente a punto de registrar, o la información sobre un producto a punto de ser lanzado y como resultado del espionaje industrial lo lanza antes otra empresa, la valoración de la pérdida va a estar dada por el historial de negocios, las ganancias presuntas y definiciones propias de cada empresa.
Y en lo que hace a la seguridad de la información hay otros intangibles como la reputación comercial que es muy difícil de monetizar en el corto plazo.
Y esto afecta a todo tipo de empresas ya que aún en empresas nuevas que no salieron al mercado, si se produce una fuga de información, pueden fundirse porque dejan de ser confiables el ecosistema en el cual estaban a punto de salir.
Comentarios