La privacidad de los datos y la seguridad cibernética son riesgos reales para las empresas.
Cómo las empresas responden a este tipo de incidentes puede dañar su reputación y confianza. Dado que las implicaciones son a menudo complejas, el procedimiento de toma decisiones para frenar los daños potenciales es a menudo difícil. La Dirección y Administración deben evaluar las iniciativas y decisiones desde el punto de vista ético.
1. Toma de Decisiones en Condiciones VUCA
Análisis de dos casos de ataques cibernéticos de robo de
información
Análisis Cuantitativo del Riesgo
Etica e incertidumbre
David Solís
2. Resumen
La privacidad de los datos y la seguridad cibernética son riesgos reales para las
empresas.
Los delitos cibernéticos representan una seria amenaza para las empresas no sólo
en el aspecto económico y pueden llevar la organización al colapso: a raíz de la
filtración de los datos, ya sea robo o pérdida,, la mayoría de los empleados
responsables pueden ser despedidos o enfrentar cargos por responsabilidad
profesional, la empresa puede enfrentar investigaciones regulatorias, multitud de
demandas, interrupción de los servicios de negocio, caída del precio de las
acciones y la reputación de la empresa puede debilitarse. El hacking es un
problema grave, una amenaza potencial para todos las empresas habilitadas por
sistemas de software.
Cómo las empresas responden a este tipo de incidentes puede dañar su reputación
y confianza. Dado que las implicaciones son a menudo complejas, el procedimiento
de toma decisiones para frenar los daños potenciales es a menudo difícil. La
Dirección y Administración deben evaluar las iniciativas y decisiones desde el punto
de vista ético.
3. Estado Actual de los Incidentes de Infiltración 1
Casos de Estudio 2
Línea de Tiempo 3
Marcos de Referencia 4
Conclusiones 5
Referencias 6
Q & A 7
4.
5. 1,378,509,261
1,792
52.2%
4.2%
NUMERO DE INCIDENTES
REGISTROS COMPROMETIDOS EN 2016
INCIDENTES DONDE SE
DESCONOCE EL NUMERO DE
REGISTROS COMPROMETIDOS
INCIDENTES DONDE LOS DATOS
ESTABAN ENCRIPTADOS CADA SEG.
44
CADA MINUTO
2,623
CADA DIA
3,776,738
CADA HORA
157,364
FRECUENCIADEREGISTROS
PERDIDOSOROBADOS
Fuente:
Breach Level Index
18. ‣ Noviembre / Diciembre 2013
‣ Los hackers se conectaron a la red con credenciales
robadas a la empresa de calefacción y ventilación Fazio
Mechanical Services, que robaron a través de un sofisticado
ataque de phishing.
‣ Los hackers fueron capaces de cargar programas de
malware en los sistemas POS de Target y permanecer sin ser
detectados.
‣ Se comprometieron los datos de tarjetas de 40 millones e
información personal de 70 millones de clientes.
110 MILLONES PERSONAS
AFECTADAS
19. ‣ Repercusiones
• Las ganancias cayeron 41% durante los primeros seis meses del
año fiscal.
• Los costos acumulados son de $292 millones, se han recuperado
$90 millones por seguros, siendo $202 millones los costos netos.
• El CEO Gregg Steinhafel y la CIO Beth Jacob renunciaron.
‣ ¿Qué podría haber hecho Target de manera diferente?
• Asegurar adecuadamente el acceso de terceros a su red.
• Segmentar la red para que terceros no pudieran acceder
información sensible.
• Pruebas periódicas de sus sistema para identificación temprana
de vulnerabilidades.
20.
21. ‣ Septiembre 2014 (Abril 2014)
‣ Los hackers utilizaron credenciales de terceros para entrar
en la red y instalaron malware en los POS’ a través de una
vulnerabilidad sin actualización.
‣ La infracción involucró 56 millones de tarjetas y 53 millones
de direcciones de correo electrónico de clientes.
‣ Home Depot enfrenta al menos 44 demandas.
‣ Los costos acumulados a enero de 2017 son de $298
millones, se han recuperado $100 millones por seguros,
siendo $198 millones los costos netos.
109 MILLONES PERSONAS
AFECTADAS
22. ‣ ¿Cuáles fueron las áreas de oportunidad?
• La alta dirección fue complaciente con la seguridad de la
información. La respuesta de la compañía fue lenta y tardó en
tomar medidas. Cuando los empleados pidieron capacitación en
seguridad, la respuesta de la dirección fue: “Nosotros Vendemos
martillos”
• Presuntamente se utilizaba una versión no actualizada del
software antivirus de Symantec para proteger su red.
• Riguroso control de los empleados. Home Depot contrató a un
ingeniero de software para la supervisión de la seguridad en 2.200
tiendas. Dicho ingeniero había estado en prisión por desactivar
deliberadamente las computadoras en la empresa anterior.
• Pruebas periódicas de sus sistema para identificación temprana de
vulnerabilidades.
23.
24. Estado Actual de los Incidentes de Infiltración 1
Casos de Estudio 2
Línea de Tiempo 3
Marcos de Referencia 4
Conclusiones 5
Referencias 6
Q & A 7
30. Precio Acción - Target
28
In future years, Target Canada will serve as a gold standard case study in
what retailers should not do when they enter a new market.
From opening too many stores at once to a lack of a sales website, Target
took multiple missteps — some of them operational, some strategic — in
order to flop as spectacularly as it did in Canada, the sum total of which
resulted in a group of highly disenchanted consumers.
“We missed the mark from the beginning by taking on too much too
fast,” chief executive Brian Cornell conceded in a company blog post on
Thursday as the company announced it is shutting down its 133 Canadian
stores just two years after its much-anticipated launch.
36. Precio Acción - Target
32
Las acciones de Target cayeron el 28 de febrero de
2017, pero no se debió a su política del uso del baño de
casi un año. La caída se debió a la plática sobre las
expectativas financieras durante un evento del día del
inversionista realizada ese mismo día.
37.
38. 34
Wall Street was expecting Target to project earnings of $5.30 per share,
but the company instead gave guidance of $3.80 to $4.20 per share which
was “well below” expectations, prompting the drop in share value
What is dogging Target and other retailers has been competition with all-
online retailers like Amazon, which do not have the overhead cost of
brick-and-mortar locations.
Although Target offers online shopping, profit there tends to be lower due
to associated costs like shipping and price competition from the likes
of Amazon.
Department stores across the country are paying the price for
underestimating Amazon this holiday season.
39. Impacto en el precio de la acción
35
This mismatch between the stock price and the medium and long-term
impact on companies’ profitability should be addressed through better
data. Shareholders still don’t have good metrics, tools, and approaches to
measure the impact of cyber attacks on businesses and translate that into
a dollar value. In most cases, at the time a security breach is disclosed, it
is almost impossible for shareholders to assess its full implications.
Shareholders should look beyond short-term effects and examine the
impact on other factors, such as overall security plans, profitability, cash
flow, cost of capital, legal fees associated with the breach, and
potential changes in management.
40. Precio de la acción vs ataque cibernético
36
‣ No entendemos las implicaciones.
• Debido a la proliferación de empresas habilitadas por tecnología y modelos
digitales de negocios se ha vuelto común escuchar noticias frecuentes de
ataques cibernéticos.
‣ No podemos medir su impacto.
• Dado que no se cuenta con herramientas suficientes para medir el impacto
de los ataques, se está a merced de las empresas para revelar los
impactos de sus propias brechas de datos corporativos. Los incidentes
pueden tener un efecto a largo plazo en la empresa, ya que aborda varios
juicios legales y la disminución de la confianza de los consumidores
‣ Las compañías no divulgan los incidentes inmediatamente.
• A menudo los sistemas infiltrados se encuentran comprometidos durante
varios meses antes de que la compañía llegue a ser consciente - y podría
ser otras pocas semanas o meses hasta que la compañía tenga un
diagnóstico completo para divulgar públicamente el incidente.
Razones por las que no hay impacto
41. Precio de la acción vs ataque cibernético
36
‣ No entendemos las implicaciones.
• Debido a la proliferación de empresas habilitadas por tecnología y modelos
digitales de negocios se ha vuelto común escuchar noticias frecuentes de
ataques cibernéticos.
‣ No podemos medir su impacto.
• Dado que no se cuenta con herramientas suficientes para medir el impacto
de los ataques, se está a merced de las empresas para revelar los
impactos de sus propias brechas de datos corporativos. Los incidentes
pueden tener un efecto a largo plazo en la empresa, ya que aborda varios
juicios legales y la disminución de la confianza de los consumidores
‣ Las compañías no divulgan los incidentes inmediatamente.
• A menudo los sistemas infiltrados se encuentran comprometidos durante
varios meses antes de que la compañía llegue a ser consciente - y podría
ser otras pocas semanas o meses hasta que la compañía tenga un
diagnóstico completo para divulgar públicamente el incidente.
Razones por las que no hay impacto
Es importante tener en cuenta que mientras el precio de
las acciones puede parecer no afectado, las empresas
enfrentan consecuencias en otras formas, incluyendo el
gasto de millones de dólares para actualizar sus sistemas
de seguridad y para resolver las demandas relacionadas.
42. Estado Actual de los Incidentes de Infiltración 1
Casos de Estudio 2
Línea de Tiempo 3
Marcos de Referencia 4
Conclusiones 5
Referencias 6
Q & A 7
46. Teorías Normativas de la Etica Empresarial
41
‣ La Dirección y Administración deben evaluar
las iniciativas y decisiones desde el punto de
vista ético.
‣ La mayoría de los ejecutivos no tienen una
formación formal en ética, filosofía y
razonamiento moral.
‣ Es difícil determinar o discutir normas
sociales.
‣ Hay tres teorías de la ética empresarial que
son útiles para evaluar una iniciativa o
decisión.
48. Teorías Normativas de la Etica Empresarial
43
Teoría Definición Métricas
Accionista
Maximizar la inversión de
los accionistas de manera
legal y no fraudulenta.
¿Esta acción maximizará el valor del
accionista? ¿Pueden lograrse
objetivos sin comprometer los
estándares de la empresa y sin
infringir las leyes?
Stakeholder
Maximizar los beneficios
para todos los interesados
mientras se compensan los
los intereses en conflicto.
¿La acción propuesta maximiza los
beneficios colectivos para la
empresa? ¿Esta acción trata
injustamente a una de las partes
interesadas?
Compromiso
Social
Crear valor para la sociedad
de una manera justa y no
discriminatoria.
¿Esta acción crea un beneficio
"neto" para la sociedad? ¿La acción
propuesta discrimina a cualquier
g r u p o e n p a r t i c u l a r, y s u
implementación es socialmente
justa?
49. Notificación de Datos Personales y Acta
de Protección National Cybersecurity Protection Act of 2014
‣ Un solo estándar
nacional.
‣ Notificación a las
personas dentro de
3 0 d í a s d e l
incidente.
‣ El castigo puede ser
hasta de 30 años de
prisión.
50. Estado Actual de los Incidentes de Infiltración 1
Casos de Estudio 2
Línea de Tiempo 3
Marcos de Referencia 4
Conclusiones 5
Referencias 6
Q & A 7
51. Conclusiones
46
‣ Aunque los incidentes fueron parecidos, los casos de Target y Home
Depot son inconmensurables.
‣ Es más fácil y económico implementar un programa de
administración de seguridad de la información que asumir las
consecuencias de un ataque.
‣ La cyber seguridad tiene que ser un objetivo de la alta dirección.
‣ Es necesario evaluar decisiones e iniciativas desde la ética
empresarial para tener un balance entre los intereses de todos los
stakeholders.
‣ Aunque el precio de la acción puede no verse afectado después de
un incidente de seguridad, la credibilidad y reputación si son
afectadas y hay consecuencias cuyo costo económico es enorme.
‣ Se requiere un enfoque integral (TOGAF, COBIT, COSO, GRC),
administración de riesgos (ISO 31000) y cumplimento de estándares
de seguridad (ISO 27001, PCI DSS, HIPAA, entre otros).
52. Estado Actual de los Incidentes de Infiltración 1
Casos de Estudio 2
Línea de Tiempo 3
Marcos de Referencia 4
Conclusiones 5
Referencias 6
Q & A 7