Por Peter Orszag
Los ciberataques son una amenaza cada vez más común para los negocios; los encargados del área de riesgo catalogan la ciberseguridad como su mayor preocupación y en 2017 se confirmaron más de 2,200 filtraciones de datos, según un nuevo informe de Verizon.
Los titulares sobre piratería cibernética a menudo se centran en el posible daño a consumidores a los que les han robado información, pero no se había realizado un análisis sistemático de los efectos de los ciberataques en las ventas, valoración de mercado y otras estadísticas de una empresa. Un estudio reciente hace precisamente eso, aunque con imperfecciones.
Usando eventos reportados como filtraciones cibernéticas en la organización sin fines de lucro Privacy Rights Clearinghouse, un equipo de economistas de Singapur, Chipre, Hong Kong y Estados Unidos examinó qué empresas están en mayor riesgo de ataque y cuáles son las consecuencias.
Manualmente compararon los nombres de las empresas en el centro de información sobre derechos de privacidad con otra información y lograron una muestra de casi 150 empresas afectadas.
Esa baja cifra sugiere que fueron relativamente raros los ciberataques exitosos, o no se reflejaron completamente en los datos del Privacy Rights Clearinghouse. Sin duda, algunos ataques podrían no ser revelados. Los requisitos de información al Gobierno varían según el estado en EE.UU., y los informes del mercado financiero dependen de la naturaleza del ataque y la compañía involucrada.
Los datos también corresponden solo al período entre 2005 y 2014, por lo que excluyen la última oleada de pirateos como los documentados en el estudio de Verizon. La parte del análisis que analiza qué empresas se ven afectadas por los ataques es, por lo tanto, algo sospechosa, dado que es evidente que los autores no cuentan con una muestra completa y reciente de casos de piratería.
El estudio está en terreno más firme cuando evalúa el impacto de un ataque, pero incluso ahí sed encuentran algunas limitaciones. Los economistas estudian la comparación entre una compañía que sufre un ataque y otra compañía similar que no se ha visto afectada por una intrusión cibernética.
El problema nuevamente es que no pueden estar completamente seguros de que la compañía de la comparación no haya sufrido realmente un ataque –que la empresa no lo haya divulgado o tal vez, incluso, que la empresa no lo sepa–.
Sin embargo, en la medida en que lo que afecta el panorama financiero no es el ataque en sí sino más bien su divulgación, la metodología funciona bien. Por ejemplo, el impacto en la valoración del mercado bursátil probablemente está vinculado a la divulgación (y los autores han verificado que los eventos divulgados se incluyen en sus datos).
Con esa advertencia en mente, los resultados sugieren efectos importantes pero no catastróficos de las filtraciones cibernéticas dadas a conocer. La pérdida promedio en capitalización bursátil después de un ataque es de alrededor del 1%, donde las pérdidas son mayores cuando se trata de información financiera personal y menores cuando no es el caso.
En promedio, un ciberataque que involucra información financiera personal genera una pérdida de poco menos de US$ 1,500 millones en valor de mercado. Los ataques reiterados generan efectos desproporcionados. Los autores también concluyeron que las empresas con supervisión de riesgo por parte de la directiva (medida por factores tales como si existe un comité de riesgos) tienen mejores resultados después de un ataque.
El estudio también evalúa el impacto de un ataque sobre factores más allá del mercado bursátil. Los autores encontraron un descenso del crecimiento de las ventas de más del 3% en promedio y de más del 5 por ciento para las empresas en las industrias minoristas.
También concluyeron que las empresas reducen la inversión, aumentan la deuda (con índices de apalancamiento que aumentan en más de 2 puntos porcentuales en promedio después de un ataque) y experimentan una reducción en su calificación crediticia. Las prácticas de supervisión de riesgo por parte de la directiva tienden a aumentar después de un ataque, y las bonificaciones a los máximos ejecutivos disminuyen.
¿Qué debe hacer una empresa para protegerse contra estos costos, más allá de reforzar una buena “higiene cibernética” entre sus empleados? Una estrategia emergente es el seguro cibernético, que paga a una empresa después de un ataque.
Eso protege a las empresas afectadas, pero el enfoque también pone la responsabilidad sobre los sunoscriptores, para que evalúen los riesgos y se conviertan en un centro de mejores prácticas para las firmas aseguradas. (Sugerí hace 15 años que "incluso podríamos imaginar que compañías de seguros contraten expertos en cibernética para asesorar a las empresas aseguradas sobre cómo reducir su exposición a los ciberataques". Eso es ahora una realidad).
Sin embargo, existen grandes interrogantes sobre si muchas de las compañías de seguros que ingresan a este mercado están realizando bien las tareas necesarias. A medida que evoluciona la amenaza cibernética, un mercado más sólido de ciberseguros podría no solo amortiguar los efectos financieros sobre las empresas, sino también minimizar la frecuencia con la que los intentos de ciberataque tienen éxito, lo que ayudaría a proteger a los consumidores también.