Cómo realizar simulacros de planificación de escenarios: Una solución de gestión de riesgos de ciberseguridad
La FMH presenta nuevos riesgos para la ciberseguridad
Los estafadores se están aprovechando de los cambios en la mano de obra como consecuencia de la pandemia1 , incluido el cambio a WFH: en 2020, el 20% de las empresas afirmaron haber sufrido una brecha de seguridad como consecuencia de que un empleado trabajara a distancia2.
Este aumento de los ciberataques está costando caro a las empresas, ya que el coste medio de una violación de datos pasará de 3,86 millones de dólares en 2020 a 4,24 millones de dólares en 2021.3 Antes de la pandemia, los hackers se centraban en las grandes empresas y los gobiernos. Sin embargo, a medida que los empleados han empezado a trabajar desde casa, se han convertido involuntariamente en los nuevos objetivos.
Las amplias consecuencias de un ciberataque organizativo
Como han anunciado los titulares en los últimos meses, los ciberataques no solo afectan a la víctima. Por ejemplo, el pirateo de Colonial Pipeline en 2021, que causó pánico generalizado y provocó escasez de gas desde Texas hasta el noreste.4 Después de que la empresa pagara un rescate de 4,4 millones de dólares estadounidenses y comenzara a volver a su actividad habitual,4 el pirateo tuvo importantes repercusiones para los habitantes de estos estados, ya que se calcula que 1.800 gasolineras se quedaron sin combustible y los precios medios nacionales de la gasolina alcanzaron su nivel más alto desde octubre de 2014.5
Los ciberataques no sólo perjudican al bolsillo y a los consumidores, sino también al bienestar de los empleados. Las investigaciones demuestran que las víctimas de ciberdelitos se sienten tan violadas como si se tratara de un ataque físico: manifiestan sentimientos de rabia, vergüenza, aislamiento y miedo,6 y experimentan síntomas similares a los del trastorno de estrés postraumático (TEPT).7
La falta de preparación aumenta el coste de una brecha en 3,58 millones de USD
La preparación puede mitigar los peores impactos: para las organizaciones con operaciones de seguridad totalmente desplegadas, el coste medio de una filtración de datos es de 2,45 millones de dólares; para las que no están al día o están paradas, el coste medio fue de 6,03 millones de dólares.8
Sin embargo, aunque la preparación arroja notables dividendos, las organizaciones no están preparadas porque los directivos suelen subestimar los riesgos de los ciberataques y tienden a centrarse en prioridades temporalmente destacadas, una tendencia de comportamiento conocida como descuento hiperbólico.
El descuento hiperbólico disminuye la preparación en ciberseguridad
A menudo retrasamos la preparación para los acontecimientos, especialmente cuando las probabilidades de que se produzcan son bajas, en favor de tareas que están en primer plano. El descuento hiperbólico, definido como nuestra tendencia a preferir las recompensas inmediatas a las futuras, nos ayuda a entender la desconexión entre la comprensión de los riesgos y la preparación para un ataque. En una encuesta realizada a 5.000 directores, sólo el 38% declaró sentirse significativamente preocupado por los riesgos de ciberseguridad, y aún menos se sentían preparados9.
Está claro que la mayoría de los directores prefieren hacer frente a los problemas que están al frente y en el centro ahora, en lugar de lidiar con un problema que pueda surgir más adelante. Dado que los ciberataques se han vuelto más frecuentes y más graves en los últimos años, mitigar el descuento hiperbólico ayudaría a su organización a prepararse mejor para futuros riesgos.
References
- La OMS denuncia que se han quintuplicado los ciberataques y pide vigilancia. (2020, 23 de abril). https://www.who.int/news/item/23-04-2020-who-reports-fivefold-increase-in-cyber-attacks-urges-vigilance
- Resistir desde casa: El impacto de COVID-19 en la seguridad de las empresas. (2020). Malwarebytes. https://www.malwarebytes.com/resources/files/2020/08/malwarebytes_enduringfromhome_report_final.pdf
- Lukehart, A. (2022, 4 de enero). 2022 Cyber Attack Statistics, Data, and Trends. https://parachute.cloud/2022-cyber-attack-statistics-data-and-trends/
- Turton, W., & Mehrotra, K. (2021, 4 de junio). Hackers Breached Colonial Pipeline Using Compromised Password. Bloomberg. https://www.bloomberg.com/news/articles/2021-06-04/hackers-breached-colonial-pipeline-using-compromised-password
- Gibson, K., & Cerullo, M. (2021, 13 de mayo). La escasez de gas empeora a medida que aumentan los precios del combustible tras el ataque de ransomware a Colonial Pipeline. CBS News. https://www.cbsnews.com/news/gas-prices-shortages-worsen-colonial-pipeline-ransomware-attack/
- Ranger, S. (2020, 26 de junio). "Las cuatro horas más estresantes de mi carrera": qué se siente al ser víctima de un ataque informático. ZDNet. https://www.zdnet.com/article/it-is-stressful-it-is-frightening-what-its-like-to-be-a-victim-of-hacking-and-ransomware/
- Wiederhold, B. (2014). El papel de la psicología en la mejora de la ciberseguridad. Cyberpsychology, Behavior and Social Networking, 17, 131-132. https://doi.org/10.1089/cyber.2014.1502
- Informe sobre el coste de una violación de datos en 2020. (2020). Seguridad IBM.
- Cheng, J. Y.-J., & Groysberg, B. (2017, 22 de febrero). Por qué los consejos de administración no se enfrentan a las ciberamenazas. Harvard Business Review. https://hbr.org/2017/02/why-boards-arent-dealing-with-cyberthreats
- Evans, D. (2012, 21 de junio). Su juicio del riesgo está comprometido. Harvard Business Review. https://hbr.org/2012/06/recognize-the-limits-of-judgme
- Patterson, D. (2021, 19 de mayo). La ciberdelincuencia prospera durante la pandemia, impulsada por el aumento del phishing y el ransomware. CBS News. https://www.cbsnews.com/news/ransomware-phishing-cybercrime-pandemic/
- Pearlson, K., Thorson, B., Madnick, S., & Coden, M. (2021, 9 de marzo). Los ciberataques son inevitables. ¿Está preparada su empresa? Harvard Business Review. https://hbr.org/2021/03/cyberattacks-are-inevitable-is-your-company-prepared
- Garvin, D., & Levesque, L. (2005, 17 de noviembre). A Note on Scenario Planning. Harvard Business Publishing. https://hbsp.harvard.edu/product/306003-PDF-ENG
- Iny, A., Khanna, S., Coden, M., & Struck, B. (2021). Refuerce su estrategia con escenarios cibernéticos. Boston Consulting Group & The Decision Lab. https://app.hubspot.com/documents/3834397/view/233481126?accessId=f10950
- Refuerce su estrategia con escenarios cibernéticos. (2021). [Transcripción de la videoconferencia]. https://app.hubspot.com/documents/3834397/view/268002968?accessId=622f3d
- Sheffer, C. E., Mackillop, J., Fernandez, A., Christensen, D., Bickel, W. K., Johnson, M. W., Panissidi, L., Pittman, J., Franck, C. T., Williams, J., & Mathew, M. (2016). Examen inicial de las tareas de cebado para disminuir el descuento por demora. Behavioural Processes, 128, 144-152. https://doi.org/10.1016/j.beproc.2016.05.002
- Selsky, J. W., y McCann, J. E. (2008). Managing Disruptive Change and Turbulence through Continuous Change Thinking and Scenarios. En Business Planning for Turbulent Times (1ª edición, p. 20). Routledge. https://www.taylorfrancis.com/chapters/edit/10.4324/9781849770644-21/managing-disruptive-change-turbulence-continuous-change-thinking-scenarios-john-selsky-joseph-mccann
- Porter, M. (2011). Ventaja Competitiva de las Naciones: Creating and Sustaining Superior Performance. Simon and Schuster.
- Oliver, J. J., & Parrett, E. (2018). Gestión de la incertidumbre futura: Reevaluando el papel de la planificación de escenarios. Business Horizons, 61(2), 339-352. https://doi.org/10.1016/j.bushor.2017.11.013
- Hershfield, H., Goldstein, D., Sharpe, W., Fox, J., Yeykelis, L., Carstensen, L., & Bailenson, J. (2011). Increasing Saving Behavior Through Age-Progressed Renderings of the Future Self. JMR, Journal of Marketing Research, 48, S23-S37. https://doi.org/10.1509/jmkr.48.SPL.S23
- Jarzabkowski, P., y Kaplan, S. (2015). Herramientas de estrategia en uso: Un marco para entender las "tecnologías de la racionalidad" en la práctica. Strategic Management Journal, 36(4), 537-558. https://doi.org/10.1002/smj.2270
- Schoemaker, P. J. H. (1995, 15 de enero). Planificación de escenarios: A Tool for Strategic Thinking. MIT Sloan Management Review. https://sloanreview.mit.edu/article/scenario-planning-a-tool-for-strategic-thinking/
- Barber, M. (2009). Questioning Scenarios. Journal of Futures Studies, 13(3). https://jfsdigital.org/wp-content/uploads/2014/01/113-A04.pdf
- Hiltunen, E. (s.f.). Escenarios: Process and Outcome. Journal of Futures Studies, 13(3). Obtenido el 26 de abril de 2022, del sitio Web: https://jfsdigital.org/articles-and-essays/2009-2/vol-13-no-3-february/scenario-symposium/scenarios-process-and-outcome/.
- Wright, G., O'Brien, F., Meadows, M., Tapinos, E., & Pyper, N. (2020). Planificación de escenarios y prospectiva: Advancing theory and improving practice. Technological Forecasting and Social Change, 159, 120220. https://doi.org/10.1016/j.techfore.2020.120220
- Wilkinson, A., y Kupers, R. (2013, 1 de mayo). Vivir en el futuro. Harvard Business Review. https://hbr.org/2013/05/living-in-the-futures
- Wack, P. (1985, 1 de septiembre). Escenarios: Uncharted Waters Ahead. Harvard Business Review. https://hbr.org/1985/09/scenarios-uncharted-waters-ahead
About the Authors
Lindsey Turk
Lindsey Turk es asociada de contenidos de verano en The Decision Lab. Tiene un Máster de Estudios Profesionales en Economía Aplicada y Gestión por la Universidad de Cornell y es licenciada en Psicología por la Universidad de Boston. En los últimos años, ha adquirido experiencia en atención al cliente, consultoría, investigación y comunicación en diversos sectores. Antes de The Decision Lab, Lindsey trabajó como consultora para el Departamento de Estado de EE.UU., colaborando con su iniciativa internacional contra el VIH, PEPFAR. A través de Cornell, también trabajó con una empresa de alimentos saludables en Kenia para mejorar el acceso a alimentos limpios y cita esta oportunidad como lo que cimentó su interés en el uso de la ciencia del comportamiento para el bien.
Dan Pilat
Dan is a Co-Founder and Managing Director at The Decision Lab. He has a background in organizational decision making, with a BComm in Decision & Information Systems from McGill University. He has worked on enterprise-level behavioral architecture at TD Securities and BMO Capital Markets, where he advised management on the implementation of systems processing billions of dollars per week. Driven by an appetite for the latest in technology, Dan created a course on business intelligence and lectured at McGill University, and has applied behavioral science to topics such as augmented and virtual reality.