La invitada experta: Vanessa Alvarez «Ciberseguridad y Negocio: Amor a quemarropa»
Ya echábamos de menos un nuevo post de ciberseguridad en la sección «El invitado experto» donde ya sabes que invitamos a diferentes especialistas para que nos expliquen temas relevantes en el mundo de los negocios de las empresas tecnológicas.
Los equipos de ciberseguridad han sido considerados como un centro de coste hasta ahora para la compañía donde daban servicio ya que la ausencia de ciber incidentes generaba una falta de valor percibido por el resto de la organización.
Esta situación está cambiando ya que según Gartner en 2023, el 30% de la efectividad de un CISO se medirá directamente en función de la capacidad que tenga ciberseguridad de crear valor al negocio.
Para medir la efectividad, es necesario conocer qué variables de ciberseguridad afectan al negocio y cómo los CISOs pueden ayudar a los C-suite a valorar el impacto de los incidentes de ciberseguridad y convertirse en “advisors” clave en el board.
Hace unos meses os adelantaba en mi artículo información al respecto pero en esta próxima serie de artículos, mi intención es traeros un conjunto de variables basadas en casos reales que pueden ser utilizadas para detectar qué elementos del negocio, relacionados con ciberseguridad, tienen un impacto directo en la valoración de la compañía.
En este contexto, la creciente digitalización del negocio ha aumentado la superficie de ataque2 y la cantidad de riesgos de seguridad que las empresas deben enfrentar. Además, la evolución de la tecnología (AI, Cloud..) aumenta el ritmo de estos ataques y los hace más complejos y difíciles de detectar. Como resultado, el número de brechas de datos en los EE. UU. aumentó en un 800% entre 2005 y 2019 (Statista)
Basándome en casos reales de brechas de datos mayoritariamente en bancos de EE.UU, se extraen dos variables de alto impacto en las compañías afectadas por una brecha de datos:
Churn de clientes (pérdida de clientes): Ante reiterados incidentes de brechas de datos, el 31% de los clientes dejaría la compañía (Ponemon Institute), lo que resultaría en un impacto directo en los ingresos.
Reputacional: En este caso, la capitalización bursátil de la compañía así como le valor de marca se ven afectados. Por ejemplo:
GlobalPayments: El valor de las acciones cayó un 12% cuando se hizo público el incidente de brecha de datos en 2012.
CapitalOne: El valor de las acciones se desplomó hasta un 7% cuando se hizo público el incidente de brecha de datos en 2019.
Equifax: El valor de las acciones cayó un 13% cuando se hizo público el incidente de brecha de datos en 2017.
Por todo lo anterior y a falta de un mayor análisis que veremos en entregas posteriores, se puede intuir que los incidentes de ciberseguridad de brechas de datos2 tienen un impacto directo en el valor de la compañía. ¿Cuánto? ¿De qué manera y en qué tiempos se desarrolla este impacto? Lo veremos en los próximos artículos.
Stay safe & stay tuned!
1. Brecha de datos: es el acceso por partes no autorizadas a datos de acceso restringido. Su peligro existe por la exposición de información y archivos confidenciales a personas no autorizadas sin permiso. (Wikipedia)
2. Superficie de ataque: La superficie de ataque de tu organización es el número total de vectores de ataque que podrían usarse como punto de entrada para lanzar un ataque cibernético u obtener acceso no autorizado a datos confidenciales
Disclaimer: Este artículo recoge mis opiniones y no hace referencia a mi posición actual o anteriores. No tengo ninguna relación comercial con ninguna empresa cuyas acciones se mencionan en este artículo.
Vanessa Alvarez cuenta con más de 15 años de experiencia en estrategia tecnológica,ciberseguridad e innovación tanto en el sector tecnológico como financiero. Ingeniera superior de telecomunicaciones, MBA por IE y especialización en ciberseguridad por SANS Institute y certificación por el NIST.
Linkedin: Vanessa Alvarez Colina