Tal y como el escándalo de fraude de Enron llevó al desarrollo de la Ley Sarbanes-Oxley, los recientes escándalos cibernéticos (Target, Sony, Home Depot), que resultaron en enormes pérdidas financieras, pueden motivar el desarrollo de nuevas leyes en materia de ciberseguridad enfocadas a la responsabilidad que deben asumir las corporaciones y la protección del consumidor.
Es hora de proporcionar puntos de referencia financieros para la ciberseguridad. Asegurar a las organizaciones no es un problema de tecnología. Los clientes, accionistas y los ciudadanos, necesitan valorar la ciberseguridad y comenzar a cambiar el mal desempeño en esta área.
Hasta que los incentivos económicos sean los que impulsen la conducta relacionada con la ciberseguridad, muy poco cambiará. Ejemplo: cuando los precios de las acciones de una empresa caen y los CEO son despedidos por perder sus objetivos de ingresos o rentabilidad de manera consistente, entonces ¿Por qué entonces obtienen no pasa nada cuando se trata de perder millones de dólares como resultado de la negligencia en el tratamiento de la seguridad cibernética?
Desafortunadamente, hay poco incentivo en las empresas, organizaciones y gobiernos para que el enfoque de los ejecutivos puede ser adicionalmente el de trabajar para el crecimiento de las utilidades, pueda ser la ciberseguridad tan importante (lo que al final de un mal día, puede poner el riesgo todo ese trabajo). Aunque cientos de millones o miles de millones de clientes pueden verse afectados, los precios de las acciones de sus compañías durante y después de la divulgación de violaciones de datos pueden disminuir sólo ligeramente y casi siemrpe con una recuperación rápida.
Los activos de datos de una empresa pueden ser difíciles de encontrar o verse para los inversionistas. Hoy en día, es probable que algunos de los activos más valiosos y vulnerables de una empresa ni siquiera aparezcan en el balance general. ¿Cuánto vale la base de datos de correo electrónico? Probablemente no mucho en términos de contabilidad convencionales. Pero considere lo que su valor podría representar si un día está completamente inaccesible por ransomware o hackeado. y colocada en Pastebin para que cualquier persona en el mundo pueda descargarla.
¿Qué hay en tu sistema de correo electrónico de todos modos? Correos electrónicos personales entre miembros de la familia, revisiones de desempeño, negociaciones de contratos, detalles de una próxima fusión. Quién sabe. ¿Hay una manera de valorar este activo digital de la misma manera que usted valora un edificio o una flota de vehículos?
Incluso para comenzar a poner un valor adecuado en la ciberseguridad, los directores financieros deben empezar a hacer algunas preguntas difíciles:
- ¿Cuáles son los activos digitales más valiosos de la compañía?
- ¿Dónde están ubicados físicamente y quién es el propietario del hardware en el que están almacenados?
- ¿Tiene un medio para entender y comunicar lo que realmente valen?
- ¿Quién tiene acceso a ellos y cómo se controla el acceso?
- ¿Cómo sería financieramente perjudicial sería si fueron secuestrados o robados o si la compañía se les negó totalmente el acceso a ellos?
- Si su compañía fue golpeada con un ataque catastrófico que cerró sus operaciones más vitales abajo por algunas semanas, quizás un mes, ¿cómo usted se recuperaría?
- ¿Seguiría existiendo su empresa?
El rol del gobierno
Los gobiernos federales parecen haber sido igualmente ignorantes sobre el valor de la ciberseguridad. Un informe del Consejo Atlántico y Zurich Insurance Group estimó que para 2030, un Internet inseguro reduciría el beneficio económico global en 90 billones de dólares. En contraste, un Internet completamente seguro daría como resultado una ganancia neta global de $ 190 trillones. Eso es mucho dinero en juego para los gobiernos, corporaciones, accionistas y consumidores.
Los gobiernos han recurrido repetidamente a incentivos fiscales para alentar al sector privado a realizar inversiones que sean del mejor interés de la nación ya veces incluso del planeta. Tomemos, por ejemplo, los incentivos que se han proporcionado tanto a las empresas como a los consumidores para invertir en energía limpia, parques eólicos y coches eclécticos.
Sin embargo, para toda la retórica política sobre asegurar a la nación de las amenazas cibernéticas, no ha habido incentivos fiscales federales dedicados para alentar y apoyar realmente a las corporaciones y los consumidores a hacerlo. De hecho, en Estados Unidos, el Departamento del Tesoro ha hecho incluso recomendaciones contra ellos.
Ese es el pensamiento a corto plazo cuando se trata de los ingresos del gobierno. No aborda los efectos negativos de las violaciones cibernéticas en los consumidores, que son también votantes y contribuyentes, o la ganancia inesperada del crecimiento económico que se podría obtener al invertir en una seguridad adecuada para todos.
Además, cuando se trata de ciberseguridad, ser un buen ciudadano corporativo no parece ser suficiente como un incentivo para participar en el intercambio de información. Sin embargo, hay evidencia significativa para demostrar que las organizaciones que comparten la información de amenazas cibernéticas pueden mejorar sus propias posturas de seguridad, así como las de otras organizaciones.
Entonces, ¿por qué no más organizaciones lo hacen?
La clave es determinar las metas para el intercambio de información, así como un medio para evaluar el retorno de la inversión. El establecimiento de metas que promuevan la postura general de seguridad de la organización, reduzca los costos y cierren las brechas de talento e información son grandes incentivos para considerar la información y compartir los recursos.
Encontrar y comunicar el valor al negocio es lo que funciona mejor para iniciar un programa de compartición y, a continuación, informar constantemente sobre el valor obtenido al hacerlo es la mejor manera de garantizar un soporte interno continuo.