Los riesgos cibernéticos podrían provocar un shock global similar a la crisis financiera de 2008

Pie de foto: (De izq. a dcha.) Antonio Núñez, presidente de la Harvard Kennedy School; Axel Lehman, Chief Risk Officer Grupo Zurich; Coronel, Roberto Villanueva, Jefe del Estado Mayor y Segundo Jefe del Mando Conjunto de Ciber-defensa; Javier Solana, presidente de ESADEgeo.

Desayuno informal exclusivo Antiguos Alumnos HKS

La creciente dependencia de las nuevas tecnologías ha creado una compleja red de riesgos interconectados que podrían ocasionar un shock global similar al producido por la crisis financiera que estalló en el año 2008. Esta es la principal conclusión del estudio “Más allá de la pérdida de datos: las interconexiones globales del ciberriesgo”, elaborado por el Grupo Zurich en colaboración con el Atlantic Council, y presentado por primera vez en Europa en un evento organizado en Madrid junto a la Harvard Kennedy School al que han asistido más de 200 profesionales de las principales compañías de nuestro país.

Durante la presentación del informe, se ha destacado que la dependencia de Internet para realizar tareas esenciales y la expansión masiva de dispositivos conectados hacen que el riesgo de sufrir un fallo sistémico sea elevado. Por ello, se recomienda que gobiernos, empresas e instituciones trabajen en la elaboración de estrategias adecuadas para mejorar su respuesta ante estos ciberriesgos e intentar así minimizar los posibles impactos globales sobre organizaciones, economías y sociedades.

Ante esta perspectiva, el informe advierte de la amenaza que representa la interconexión de los ciberriesgos y expone que relativamente pocas personas entienden realmente cómo funcionan sus propios ordenadores, Internet o la nube a la que se conectan. El informe destaca que éste ha sido precisamente uno de los principales aprendizajes de la crisis financiera de 2008, donde las decisiones erróneas que se tomaron afectaron en cascada a nivel global.

EL INFORME IDENTIFICA SIETE GRUPOS DE RIESGOS

Los ciberataques que reciben las empresas se han incrementado notablemente en los últimos años, siendo cada vez más sofisticados y difíciles de prever. El informe apunta que durante el año 2013, 740 millones de ficheros de datos pudieron ser robados en todo el mundo, y según Online Trust Alliance, organización para la protección de la información online, el 89% se podrían haber evitado de haber contado con los mecanismos necesarios.

Las organizaciones están expuestas a riesgos externos que en ocasiones ni siquiera son explícitos o conscientes. Además, los ciberataques no sólo suponen que las empresas sufran pérdidas o destrucción de información relevante, si no que sus sistemas operativos y/o productivos puedan verse inutilizados como consecuencia de la cada vez mayor dependencia de sistemas informáticos. Esto puede ocasionar interrupciones de la actividad empresarial/industrial que deriven en perjuicios cuantificables, como pérdidas de beneficios, y otros más difícilmente cuantificables, como son los daños a la reputación o las pérdidas de oportunidades de negocio.

Para tener una visión amplia y multidisciplinar de los ciberriesgos a los que se exponen las empresas, el estudio identifica siete grupos de riesgos principales que podrían llegar a provocar un fallo sistémico global.

  • Sistemas internos de IT: hace referencia a los riesgos asociados a hardware, software o relacionados con las personas y procesos propios de la compañía. Según una encuesta realizada a las compañías que cotizan en la Bolsa de Londres (FTSE 350), el 60% de las empresas sólo tiene un conocimiento básico de los riesgos internos a los que están expuestas.
  • Socios y Contrapartes: riesgos derivados de la dependencia o la interconexión directa, posiblemente no contractual, con una organización externa. En el sector asegurador podría ser la relación de las compañías con las reaseguradoras.
  • Externalización: riesgos provocados por la relación de prestación de servicios, habitualmente contractual, con proveedores. Uno de los errores conceptuales más comunes que se exponen en el estudio es la idea equivocada de que al externalizar un servicio disminuye el riesgo interno porque se le transfiere al proveedor, y es todo lo contrario, ya que al compartir información el riesgo de exposición aumenta exponencialmente.
  • Cadena de suministro: contempla los riesgos que afectan a la cadena de suministro tradicional o de IT como consecuencia de la intervención de varias personas y empresas en las distintas etapas o procesos.
  • Tecnologías disruptivas: riesgo vinculado con aquellas tecnologías que podrían tener efectos inesperados porque aún están en fase de desarrollo o no se han investigado en profundidad. En este sentido, los dispositivos médicos que se implantan y se pueden controlar a distancia o los coches que se pueden conducir sin conductor son claros ejemplos.
  • Servicios e infraestructuras: riesgos asociados a las infraestructuras que sostienen la economía y la sociedad; especialmente la electricidad, los sistemas financieros y las telecomunicaciones.
  • Shocks externos: riesgos que no están bajo el control de ninguna organización y que pueden afectar en cascada. Por ejemplo, los grandes conflictos internacionales.

En este contexto, los profesionales en gestión de ciberriesgos están adquiriendo una creciente importancia, en línea con el papel fundamental que deberán jugar en un futuro. Estos expertos deberán ir más allá de soluciones tecnológicas y protocolos de gestión interna, y deberán tener en cuenta en sus análisis el alto grado de interrelación que existe entre el ciberriesgo y otros tipos de riesgos.

Desde el sector asegurador se están desarrollando soluciones para ayudar a las organizaciones a entender y gestionar los riesgos que pueden afectar de forma negativa a su negocio y a sus sistemas, así como para poder asistirlas durante la gestión global de las crisis originadas por la exposición al ciberespacio.

PRESENTACIÓN EN MADRID 

El estudio se presenta en un acto inaugurado por Diego Pérez de los Cobos, director de Coordinación y Estudios de la Secretaría de Estado de Seguridad, quien expone la visión e iniciativas que está desarrollando el Gobierno en materia de ciberriesgo. A continuación, en un panel corporativo responsables de seguridad de algunas de las empresas más relevantes de España exponen su visión, estrategias y retos. En el panel institucional, Axel Lehmann, Chief Risk Officer del Grupo Zurich, es el encargado de exponer las principales conclusiones que se desprenden del informe. Por su parte, Javier Solana, Presidente de ESADEgeo, ofrece una perspectiva global sobre la interconexión de los riesgos y el fallo sistémico que podría provocar un ataque cibernético. Y por último, el Coronel Roberto Villanueva, Jefe de Estado Mayor y Segundo Jefe del Mando Conjunto de Ciberdefensa, expone la visión desde Defensa.

Tras el panel, John Sileo, experto en tecnología, identidad y privacidad, CEO de Sileo Group, explica en primera persona el robo de identidad que sufrió en su propia empresa y que causó la malversación de cientos de miles de dólares de sus clientes.

El evento se enmarca dentro del mes de la Ciberseguridad, fijado por el Instituto Nacional de Tecnologías de la Comunicación (INTECO) junto con la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI) y las principales compañías de telecomunica.

DESCARGA AQUÍ EN PDF EL PROGRAMA