Delito Cibernético: tercer riesgo para los negocios globales

“La seguridad cibernética se ha vuelto un tema crítico para los negocios, porque está afectando a las empresas de alto nivel en el mundo entero”, señala David Bartlett, asesor económico de RSM.

Según el “Índice de Riesgo de Lloyd 2013” aplicada a ejecutivos corporativos en Londres, la aseguradora más famosa del mundo encontró que la delincuencia cibernética es clasificada como el “tercer riesgo” que enfrentan los negocios globales después de los altos impuestos y la pérdida de clientes.

En la encuesta de Lloyd realizada en 2012, la delincuencia cibernética ocupó el puesto número 12 en la lista de los riesgos que enfrentan los líderes empresariales, y es por ello que en la actualidad ante el acelerado cambio tecnológico, las empresas se enfrentan al aumento del riesgo cibernético.

Durante la conferencia Europea de RSM Internacional en Bucarest, Yoav Tzruya, de laboratorios cibernéticos JVP, expuso algunas medidas contra el crimen cibernético y las amenazas que enfrentan las empresas hoy en día.

Algunas de las mayores amenazas son: “phishing, software malicioso, interrupción / desfigurar la organización, robo de información financiera, y los ataques cibernéticos para robar la propiedad intelectual o datos sensibles”.

Para David Bartlett, muchos de los ataques cibernéticos a las empresas provienen de tres fuentes: “organizaciones cibernéticas criminales (muchos de ellos del este de Europa y la ex Unión Soviética), ‘hactivists’ (grupos lanzamiento de ataques cibernéticos para promover los objetivos políticos o ideológicos), y hackers individuales calificados (explotando la facilidad cada vez mayor de penetración de los sistemas de Internet)”.

Los ataques cibernéticos tienden también a convertirse en un “instrumento geoestratégico de los Estados nacionales, en particular China y la Federación de Rusia – fenómeno que impulsó la solicitud a la OTAN para incluir el ciberespacio como el quinto dominio de guerra (uniendo tierra, mar, aire y espacio) en el Artículo V, cláusula sobre la defensa colectiva”.

Los líderes empresariales también citan “insiders maliciosos” como un cultivo fuente de los delitos cibernéticos.

El informe: “Pronóstico de Seguridad Cibernética 2014”,  de la gestión de riesgos de la empresa Kroll, indica que “casi la mitad de las violaciones de datos corporativos se derivan de falta de seguridad en el manejo de la información de los empleados, por lo que el aumento de la incidencia de los ataques cibernéticos en el interior de las empresas hace cuestionar los procedimientos en áreas de TI, recursos humanos, área legal, y gerencias  financieras de las empresas afectadas”.

Los factores del crecimiento de la delincuencia cibernética, son:  “La difusión mundial de Internet, lo que ha aumentado la vulnerabilidad de las empresas a los atacantes cibernéticos, así como el aprovechamiento de los sistemas de banda ancha de alta velocidad; la subida de las tecnologías móviles y la computación en nube, que ha ampliado el volumen de la información sensible de un negocio, susceptible de acceso no autorizado; y la creciente sofisticación tecnológica de los atacantes cibernéticos, cuya capacidad para operar con la velocidad y el sigilo excede la capacidad defensiva de las empresas ante los  sistemas de seguridad de TI  tradicionales”.

El asesor económico de RSM, David Bartlett, dijo que “el ciberespacio no tiene fronteras físicas, y ofrece una entrada fácil para los piratas informáticos individuales y grupos pequeños que enmascaran sus identidades mientras lanzan ataques cibernéticos”.

El especialista en negocios afirma que “las corporaciones a menudo no logran detectar y responder a un ataque de manera oportuna para contener el daño, ya que suelen requerir días, semanas o incluso meses para montar una defensa efectiva (es decir, el descubrimiento de la violación de la seguridad y la restauración de la pérdida o daño)”.

Expertos en seguridad “han llegado a considerar los delitos cibernéticos como algo normal en los negocios globales, algo que los líderes empresariales deben aceptar porque es inevitable”.

Por otra parte, “la construcción de sistemas y procedimientos de seguridad no pueden anticipar los ataques (defensa cibernética), pero permitirán a la organización resistir los ataques cuando tengan éxito (resiliencia cibernética)”.

Costos

El estudio Pérdidas netas de junio 2014, realizado por el Centro de Estudios Estratégicos e Internacionales de la Universidad de Georgetown estimó el costo global de la delincuencia cibernética con un costo anual de entre el “15 y 20% del valor de los negocios relacionados con internet en todo el mundo”.

Al respecto David Bartlett señala que los costos económicos reales de la ciberdelincuencia “podrían ser mayores a los que salen a la luz debido al subregistro de ataques cibernéticos que refleja la renuencia de muchos directores de empresas a divulgar este tipo de ataques cibernéticos para no dañar la reputación de la empresa”.

El asesor de RSM afirma que “a ciberdelincuencia es cada vez mayor en las economías emergentes como Brasil (0,32% del PIB), donde la penetración de Internet está aumentando en medio de estructuras regulatorias y legales débiles, lo que pone a las instituciones financieras como blanco fácil de ataques cibernéticos”.

El análisis “Costo de Ciber Crimen” realizado en Estados Unidos por el Instituto Pokemon informó que “el cyber promedio las compañías de servicios financieros de Estados Unidos ha incurrido en pérdidas de 23,2 millones de dólares en 2013”.

En agosto de 2014, varios Bancos estadounidenses (incluyendo JPMorganChase) “sufrieron ataques de grupos cibernéticos que se infiltraron en las redes informáticas y se apropiaron de grandes cantidades de información.  Los clientes de los Bancos e instituciones financieras no bancarias son blancos fáciles de ataques cibernéticos relacionados con el robo en virtud de su tamaño de activos públicos, visibilidad, y el volumen de las transacciones electrónicas”.

De acuerdo con el estudio, “las empresas de defensa estadounidense son de evidente interés para grupos cibernéticos ya que buscan información de la tecnología militar de Estados Unidos y de negocios o de inteligencia sobre la industria de defensa EE.UU”.

“La industria de la energía y los servicios públicos también se han vuelto un objetivo de primer orden”.