REVISTA .SEGURIDAD | 1 251 478, 1 251 477 | REVISTA BIMESTRAL

Lo que el rumor se llevó, crónicas del riesgo reputacional

 

Entiéndase riesgo como el potencial de que una amenaza específica explote las vulnerabilidades de un activo o grupo de activos para ocasionar pérdida y/o daño de los mismos[1].

Lo anterior ilustra al riesgo como aquel personaje molesto con el cual se debe aprender a convivir aunque se desee mantener lo más alejado posible. Conocemos la existencia de riesgos de diferentes aspectos, tales como riesgos financieros, legales o de cumplimiento, operativos, tecnológicos y por supuesto, los de seguridad de la información. Sin embargo, la existencia de un riesgo denominado reputacional o de imagen, plantea la necesidad de entendimiento de otro factor no tomado en cuenta en muchas ocasiones: cuando uno de los riesgos mencionados anteriormente se materializa. A lo largo de este artículo se analizará la forma en que algunas empresas y organizaciones han manejado este riesgo orientado a fallos en seguridad de la información y algunos consejos para entender cómo gestionarlo adecuadamente.

Entendiendo el riesgo reputacionalriesgos,seguridad,información

El riesgo reputacional se comprende como la posibilidad de una opinión o comentarios, que pueden ser positivos o negativos, frente a las actividades, prácticas o situaciones desarrolladas por una compañía y que puede generar un impacto negativo, viéndose reflejado en la reducción de clientes, servicios o caída de ingresos.

El análisis y control de este tipo de riesgo se lleva a cabo comúnmente en instituciones del sector financiero, dado que una afectación de la imagen o reputación puede verse reflejada directamente en el valor de las acciones o en la desconfianza de inversionistas, quienes podrían no encontrar en la organización la sensación de seguridad suficiente, lo que llevaría a afectaciones en las decisiones de no inversión.

Es posible  analizar este tipo de riesgo también como un riesgo consecuencia de otros. El riesgo reputacional aparece usualmente como consecuencia de una explotación de vulnerabilidades o fallos que evidencian riesgos en seguridad de la información y por ende generan de inmediato desconfianza en usuarios y clientes, entre otros. Para contextualizar mejor esta idea, es necesario presentar varios ejemplos de empresas que se han enfrentado al riesgo reputacional asociado a la materialización de riesgos de seguridad de la información o de base tecnológica.

La compañía de videojuegos...

Como primer ejemplo, debemos volver unos años atrás y recordar la ola de ataques que enfrentó la firma Sony y sus filiales a lo largo del mundo durante el año 2011. En dichos ataques, que fueron logrados debido a las relaciones de confianza e infraestructuras similares establecidas entre las filiales de la compañía, se identificó fuga de información relacionada con cuentas de acceso, correos electrónicos y tarjetas de crédito de más de 30 millones de usuarios en todo el mundo.

De acuerdo con análisis realizados por matemáticos de la revista Forbes[2], el costo de los ataques significó a la empresa Sony aproximadamente 24 billones de dólares. Además de todos los costos en pos de mantener a sus clientes y evitar que optaran por cancelar sus cuentas y dejar de usar productos de la compañía, todo esto a partir de numerosos regalos a través de la misma red a sus usuarios, disculpas públicas y múltiples estrategias de mercadeo que hicieron del 2011 un año menos tormentoso de lo que ya era para la firma de videojuegos.

Entidades certificadoras

Ambas compañías pertenecen al mercado de seguridad de la información, ofreciendo servicios de firmado de certificados digitales y cumpliendo un rol como entidades certificadoras dentro de los esquemas de Infraestructura de Llave Pública (PKI).

DigiNotar sufrió un ataque en julio de 2011, en el cual un atacante logró comprometer la infraestructura de la Entidad Certificadora (CA) para generar cientos de certificados digitales falsos de diferentes dominios de alto perfil, tales como Google, Yahoo, Mozilla y Wordpress, entre muchos otros. En este proceso, luego de varias investigaciones realizadas por parte del gobierno alemán y, de haber tomado control de la compañía en el mes de septiembre del mismo año, se determinó que toda la infraestructura había sido comprometida en el ataque. Esto dio lugar a la materialización del riesgo reputacional en torno a la responsabilidad de la compañía en este fallo de seguridad y a la desconfianza de todos sus clientes, lo que llevó a DigiNotar a declararse en bancarrota y cerrar sus puertas[3].

Un segundo caso similar, pero con un final diferente, se registró con la empresa Comodo, la cual logró identificar a tiempo el acceso no autorizado por parte de un reseller a su plataforma para la realización del firmado de 9 certificados digitales de 7 dominios diferentes. En el mismo ataque lograron comprometer la Autoridad de Registro (RA), parte de la Infraestructura de Llave Pública (PKI) de la compañía. Comodo logró identificar el fallo y solucionarlo 9 días posteriores a la intrusión, registrada el 15 de marzo de 2011[4]. En la actualidad, la compañía aún funciona normalmente. Sin embargo, por más que fue controlada la situación, en el mercado de seguridad de la información (luego del fallo) ha perdido mucho terreno.

Procesos gubernamentales

En el año 2010, durante el proceso de elecciones legislativas llevadas a cabo en Colombia, se presentó un hecho relacionado con un ataque contra la infraestructura de la Registraduría Nacional y el Centro Nacional Electoral. Aunque a la fecha de redacción del artículo el tema sigue sin resolverse[5], la ausencia de controles adecuados en un proceso de tal magnitud (que permitió la ejecución de ataques y los fallos en el servicio), pone en tela de juicio la seriedad del proceso de votaciones y, por supuesto, los resultados del mismo. Esto a su vez, significó una afectación al 100% de la imagen del ente estatal encargado de las funciones electorales, además de plantear dudas en la transparencia de los procesos, hecho que puede llegar a generar problemas graves al interior de un Estado.

Como siempre, hay que estar preparados, incluso para lo peor

Analizados los anteriores casos, que esbozan algunas ideas desde diferentes ámbitos de la sociedad, se puede identificar un patrón en común: La aparición del riesgo reputacional como consecuencia de la materialización de riesgos de seguridad de la información. En unos casos, el correcto manejo de la situación posterior a la materialización del riesgo e inicio del efecto bola de nieve de rumores y comentarios negativos, permitió salir adelante a las compañías implicadas. En otros casos, no se dio ese final feliz y, como ocurrió con Diginotar, no hubo tratamiento o solución a la situación.

Sin embargo, se genera la duda fundamental: ¿Se puede estar preparado para una situación así? Aunque no es una respuesta sencilla, sí se pueden implementar controles que ayuden a reducir el posible impacto, a continuación un listado de recomendaciones:

  • Identificar cómo puede verse afectada la compañía a través del daño a su reputación, además del impacto a nivel financiero, operativo y legal.
  • El riesgo debe medirse, es por ello que una vez identificados y propuestos controles para su gestión, es imperativo establecer criterios de medición, tales como indicadores o métricas que permitan vislumbrar una escala, que a su vez, ofrezca criterios para definir si es necesario aplicar nuevos controles o estrategias más agresivas para evitar la materialización y, por ende, el impacto a las organizaciones. Recordando la premisa que plantea que aquel riesgo que no se mide, no se controla.
  • Establecer un centro de respuesta a incidentes de seguridad de la información interno o tercerizado, en el que se planteen los posibles escenarios a los que se puede enfrentar la compañía, determinando actividades para el manejo de estas situaciones y definiendo el cómo se monitorearán estos posibles riesgos.
  • Debido a que estas situaciones también afectan la continuidad del negocio, es recomendable tener definido un manual de crisis, en caso de materialización de riesgos que puedan tener impacto sobre la imagen y reputación de la compañía. Este documento define quién realizará y cómo se realizará la comunicación con el exterior de la compañía, así como las medidas para lograr controlar la situación y buscar que la organización pueda salir avante lo mejor librada posible.
  • Identificar los riesgos a los que se enfrenta la organización. Entender que la seguridad de la información no es un gasto, al contrario, es una inversión que busca evitar realizar gastos asociados a una fuga de información, a una intrusión, un ataque de denegación de servicio, al sabotaje, entre muchas otras opciones, además de tener controles adecuados para ello.
  • Aprender de situaciones de este tipo, presentadas con otras empresas o compañías del sector. Esto ayuda a cambiar la mentalidad de que los controles y protecciones se aplican exclusivamente de forma correctiva y no preventiva, este cambio de mentalidad aporta valor al negocio.

Se ha identificado un comportamiento particular de algunas compañías que no publican reporte o información alguna cuando son atacadas y, como resultado, hay alteración de la integridad de datos o se presenta fuga de información. El año anterior, la firma Verisign[6] aceptó que había sido blanco de un ataque unos años atrás, sin haber informado oportunamente. Es obvio en este punto que el silencio busca evitar que se genere este ruido, asociado a rumores y noticias sensacionalistas en tabloides o secciones desinformadoras de tecnología. Sin embargo, es necesario informar oportunamente a los afectados en caso de presentarse un ataque con los alcances antes tratados. En estas situaciones, el silencio puede ser mucho más nocivo de lo que se puede creer.

Para terminar, es necesario hacerse algunas preguntas frente a este delicado tema:

  • ¿Estamos realmente preparados para manejar el riesgo reputacional en nuestras organizaciones?
  • ¿Entienden las organizaciones y sus mandos administrativos las repercusiones del riesgo reputacional?
  • ¿Qué pueden hacer las compañías para lograr un nivel de preparación y madurez para enfrentar el riesgo reputacional?

Si quieres saber más, visita:

Referencias:

 

UNAM

[ CONTACTO ]

Se prohíbe la reproducción total o parcial
de los artículos sin la autorización por escrito de los autores

 

Hecho en México, Universidad Nacional Autónoma de México (UNAM) © Todos los derechos reservados 2017.