Costa Rica no ha reportado formalmente casos sobre el ataque de WannaCry que afectó a diversas empresas en diferentes partes del mundo en los últimos días, pero lo vivido por algunas organizaciones nos permiten comprender el impacto que puede enfrentar una empresa si se ve comprometida.
Por eso es importante, considerar el impacto que puede percibir en diversos ámbitos:
Impacto operacional: Los ataques estaban enfocados en afectar la disponibilidad de la información e integridad del equipo al utilizar recursos de la computadora de forma no autorizada. El impacto en la operación se relaciona de forma directa con la dependencia que tiene la empresa hacia este recurso. Por ejemplo, si una gasolinera es infectada y se cifra la computadora para comunicar el monto dispensado entre equipo de la estación y el sistema de facturación, se pueden detener las ventas, aumentar la exposición a fraude al no contar con los registros de volumen o reducir el tiempo de pago y emisión de factura manual.
Si el ataque afecta la computadora de una persona de atención al cliente y oculta los datos históricos de clientes, va a impedir que atienda los casos reportados o comunicarse con los ellos para dar seguimiento a las solicitudes.
El reporte "Supply Chain Resilience" del Business Continuity Institute señala que los ataques cibernéticos son una de las principales causas de la disrupción. WannaCry detuvo la operación de dos fabricantes de automóviles y hospitales en Reino Unido.
Impacto financiero: Las empresas que se vieron afectadas perdieron más por detener la operación del negocio y/o perder la información. El ataque WannaCry solo ha logrado que menos del 10% de los equipos infectados paguen, con lo que han logrado monetizar más de $80.000. Por ejemplo, el costo para recuperar la computadora infectada es menor a $30 contemplando el tiempo para instalar de nuevos los programas, lo cual es una cifra menor si se compara con el impacto operacional al detenerse el negocio.
Por esto, es clave identificar la ubicación de la información valiosa y contar con mecanismos de contingencia que permitan continuar con la operación de la empresa, donde el peor escenario vaya a representar el costo de reposición de un activo físico como la computadora.
Impacto reputacional: La imagen de la empresa es uno de los principales activos intangibles y es frágil ante los ataques informáticos. En 2016 Yahoo estaba negociando la venta de la empresa en $4,8 billones, pero terminó aceptando solo $350 millones luego de reconocer de forma pública un incidente que ocurrió en 2014.
Varias empresas de telecomunicaciones y transporte desplegaron el mensaje de cifrado en las pantallas dirigidas al público, lo cual fue percibido por los clientes y pudo generar un impacto negativo.
Impacto legal: Las empresas tiene compromisos como son la retención de facturas que sustenten la contabilidad, el registro de cuentas por pagar que permita pagar de forma oportuna a los proveedores sin devengar intereses o el resguardo de registros que permitan mantener una certificación internacional.
La principal repercusión de WannaCry no ha trascendido aun en términos financieros, operacionales, reputacional ni legal, y por la sensibilidad de la información tampoco se prevé que las empresas afectadas publiquen el dinero perdido. Este ataque es una llamada de atención a los equipos de seguridad y gerencia para concientizar que no basta solo con establecer controles, es necesario gestionarlos, ponerlos a prueba y mejorarlos continuamente.
* El autor es socio de Risk Advisory de Deloitte.