4 LECCIONES APRENDIDAS DEL WANNACRY
24 de junio del 2017 | por Top Management
∙ 25% de los ataques cibernéticos son producto de errores humanos.
∙ 29% son producto de malos sistemas tecnológicos.
Para el año 2020, 50 mil millones de dispositivos estarán conectados a Internet y a medida que más personas y dispositivos se conecten, el riesgo y el impacto de las brechas de datos de ataques cibernéticos maliciosos, fallos del sistema y errores humanos continuarán aumentando para perjuicio de las organizaciones.
El pasado 12 de mayo de 2017 se llevó a cabo un ataque cibernético con virus ransomware, que innegablemente fue uno de los eventos cibernéticos de mayor difusión que se haya visto jamás.
Aon, Consultores en Administración de Riesgo y Capital Humano, a través de su división Cyber, inició un análisis integral y puntualizó 4 lecciones clave que las organizaciones pueden aprender derivado del llamado “WannaCry”, que encerró más de 200 mil computadoras en más de 150 países exigiendo un pago de hasta $300 dólares en bitcoins para desbloquearlo.
El ritmo con el que el virus malware proliferó, y el alcance del impacto entre las empresas y regiones del mundo no tuvo precedentes, “Lo que hay que hacer primero para prevenir los ataques cibernéticos es concientizar a los empleados, mediante cursos y la adopción prácticas individuales y organizativas combinadas con un marco de gestión de riesgos completo; de este modo las empresas podrán comenzar a reducir la amenaza cibernética”, comentó Jesús González, VP Cyber de Aon Chicago.
A continuación lo que todas las organizaciones necesitan saber en esta era de creciente riesgo cibernético y algunas lecciones que puede tomar para ayudar a enfrentar el desafío.
4 lecciones aprendidas del WannaCry para prevenir ataques en las empresas.
- La verdadera amenaza de Ransomware no es el rescate
Mientras que las empresas podrían haber sido tentadas a pagar los $300 dólares para liberar sus equipos, no sólo esto podría fomentar nuevos ataques, también podría correr el riesgo de anular sus pólizas de seguro. Y en cualquier caso, los riesgos financieros se propagarían mucho más allá del rescate.
- Comprender las coberturas de las pólizas de seguro
Una póliza de seguro cibernético típico podría proteger a las compañías contra la extorsión incluyendo ataques de ransomware. Sin embargo, la mayoría de las organizaciones, fuera de los Estados Unidos todavía no tienen cobertura cibernética. El seguro también puede abordar otros costos incurridos después de un ciberataque, «La interrupción del negocio, los costos forenses, la pérdida de productividad y la responsabilidad potencial de terceros también pueden ser cubiertos por las pólizas de seguro cibernético», comentó Jesús González.
- Piense en todo referente a la “Cobertura” de un ciberseguro
El seguro no es una solución general y es importante que los asegurados comprendan las limitaciones de sus programas de seguros. Por ejemplo: Las organizaciones que utilizan software pirata, probablemente su reclamo de seguro hubiera sido negado. «Si el pago del rescate cibernético está cubierto por la póliza de seguro cibernético, entonces el asegurador debe ser notificado antes del pago del rescate cibernético o el rescate probablemente se excluiría de la cobertura. Algunas políticas cibernéticas también requieren que el asegurado entre en contacto con la policía cibernética para obtener la aprobación para pagar el rescate cibernético», agregó.
- Prepárese para sus mejores respuestas
Los ataques como WannaCry obligan a las organizaciones a tomar una serie de decisiones críticas, estos incluyen: pagar el rescate, cómo evaluar exhaustivamente y reparar cualquier daño hecho. “Es importante recordar que las acciones que las empresas toman en respuesta a tales ataques de ransomware pueden tener consecuencias duraderas, financieras, legales y de reputación. Además, las empresas tienen que saber cómo proceder con las aseguradoras, es importante que las organizaciones construyan procesos que les ayuden a lidiar con incidentes en tiempo real”, añadió González.
Los errores humanos son parte primordial para facilitar los ataques.
Recientes brechas cibernéticas de alto perfil han revelado cómo la complacencia por parte de los altos directivos puede conducir a un daño masivo a la línea de fondo y reputación de una organización. De acuerdo con el Estudio de violación de datos: Análisis Global de 2015 del Instituto Ponemon, 47% de los incidentes involucran un ataque criminal, el 25% se refiere a un error humano por algún empleado y 29% por fallas en el sistema que incluyen tanto fallas de TI como de procesos de negocio.
Los ataques cibernéticos tienen el potencial de causar una interrupción masiva de los negocios, causar daños materiales tangibles, interrumpir las cadenas de suministro e incluso provocar lesiones o la muerte. El impacto que puede tener un evento de esta naturaleza, pueden ser más altos que la propia inversión, hoy las empresas ya debieran estar considerando implementar defensas adicionales para detener la propagación del virus como el WannaCry y otros ataques.
Aon México ayuda a los clientes a identificar, abordar y responder a sus riesgos cibernéticos para la planificación previa y los servicios de respuesta a incidente; identificar y cuantificar los riesgos y asegurar la continuidad de las operaciones mediante la consulta de siniestros.
Liga de interés: