El 19 de diciembre de 2013 Target, un importante minorista de Estados Unidos, anunció que entre el 27 de noviembre y el 18 de diciembre de ese año un grupo de hackers se infiltró en su red de pagos en varios de sus puntos de venta y se adueñó de los datos de tarjetas de crédito y débito de más de 40 millones de clientes y de la información personal de más de 70 millones de personas.
El ataque se perpetró al insertar un código en las lectoras de tarjetas que capturaba la información instantes antes de su encriptación y posterior envío a las centrales financieras. Los delincuentes lograron obtener las credenciales para acceder a la red interna de Target a través de uno de sus proveedores de mantenimiento de aire acondicionado.
El golpe tuvo un éxito trascendental ya que capturó información sensible de clientes en la época más agitada del año. Si las tarjetas utilizadas por los consumidores hubieran tenido un chip incorporado en lugar de la tradicional banda magnética, los intentos de obtener datos personales hubieran sido infructuosos. Reemplazar la tecnología de las tarjetas financieras tiene un costo calculado de más de 100 millones de dólares.
El valor de las acciones de Target en Wall Street se derrumbó de USD 63,55 el 18 de diciembre de 2013 a USD 55,07 el 5 de febrero de 2014, una caída de 14,4%. Un estudio de la organización Get Safe Online y de la inglesa Action Fraud estableció más de mil millones de libras esterlinas de pérdidas causadas por delitos cibernéticos.
La llamada ‘piratería del asfalto’ ha producido pérdidas para las empresas de países latinoamericanos como Venezuela, México, Argentina y Brasil. En este último los costos provocados por dichas situaciones se calcularon en más de 558 millones de dólares en el último año.
Estos ejemplos refuerzan lo que los sociólogos han estudiado desde hace más de un siglo: la relación entre los estados económicos de las empresas y el aumento del delito. De acuerdo con un estudio de la Cámara de Comercio de Estados Unidos, más de 30 por ciento de los fracasos empresariales se deben a situaciones delictivas.
La relación entre el delito y el desenvolvimiento económico de la empresa es innegable. Y en contextos como el argentino en los que los tiempos de resolución de casos criminales pueden tardar décadas, establecer estrategias de prevención resulta de máxima importancia.
Usualmente, la seguridad es vista en las empresas más como un costo que como una inversión. Esto es entendible desde el punto de vista de la erogación en épocas en las que (aparentemente) “no pasa nada”. Pero siempre cabe preguntarse: ¿estamos listos para cuando pase algo?
Estimando el riesgo
Afortunadamente, hoy el desarrollo de la profesión nos aporta herramientas que permiten calcular el retorno de la inversión en seguridad con un menor margen de error. Como en todas las áreas de la empresa, la planificación es clave. En el caso de la seguridad, planificar nos permitirá establecer cuáles son los activos por proteger (y cuáles no), las vulnerabilidades que posee nuestra organización y los riesgos a los que está expuesta. Si luego le asignamos a cada ítem un valor económico en función de la periodicidad y criticalidad del riesgo, podremos tener una primera medida de la exposición que tenemos a un riesgo o un conjunto de situaciones delictivas.
Para poder medir correctamente el riesgo de un hecho delictivo se debe realizar un análisis del sistema de protección instalado o por instalar. Dicho análisis puede ser cuantitativo o cualitativo. En general, el primero produce como resultado un porcentaje que se traduce en la probabilidad de ocurrencia de un hecho determinado, en la probabilidad de falla de los sistemas instalados o cualquier otra incidencia que se pueda medir. El segundo, por su parte, refleja todo lo relacionado con las características intrínsecas de los activos por proteger.
Otra alternativa para medir la efectividad de un sistema de protección es si éste se califica como “basado en performance” o “basado en conformidad (compliance)”. El primero evalúa cómo cada elemento del sistema de protección física opera y contribuye -o no- con la efectividad general del sistema. El segundo depende del cumplimiento de determinadas políticas y regulaciones predeterminadas, por ejemplo, por la casa matriz de la empresa, por la ley, o por otras.
Esta es sólo una aproximación para entender mejor la importancia de medir la eficiencia de las estrategias que tienen por objetivo la protección de todos los activos de la empresa, incluida su gente. Contabilizar el dinero invertido permitirá contrastarlo a fin de año con su efectividad y su contribución con las pérdidas evitadas y con el resultado del ejercicio.
Excelente. Para abrir los ojos !!!