Los incidentes de seguridad informática pueden dañar irreversiblemente la reputación de una institución
Los incidentes de seguridad se han convertido en una de las principales fuentes de riesgo para la reputación de las empresas, por detrás solamente de los escándalos éticos, de acuerdo con “Reputation@Risk”, un informe de Deloitte Touche Tohmatsu Limited (DTTL). El tema de seguridad corporativa incluso ha superado, aunque por un pequeño margen, a las cuestiones de seguridad del producto y servicio de atención al cliente como la principal causa de riesgo de reputación.
Debido a este delicado panorama crecen las preocupaciones entre los presidentes ejecutivos, directores y ejecutivos en las áreas de riesgo sobre el impacto de los incidentes de seguridad en la reputación de sus compañías.
En la encuesta se entrevistaron a más de 300 altos ejecutivos, directores, y ejecutivos de riesgo de todo el mundo para conocer sus puntos de vista en relación con el riesgo reputacional: qué lo motiva, quién es responsable, la capacidad de la organización para hacer frente al mismo, y su impacto. Dada la preponderancia de los ataques cibernéticos y el enorme potencial de dañar las marcas de las compañías, las preocupaciones por el tema de seguridad, tanto física como cibernética, fueron un tema central en la encuesta.
Casi el 20% de los encuestados señaló que experimentó un incidente de seguridad en los últimos tres años que terminó dañando la reputación de su empresa. Entre los encuestados que experimentaron un incidente que produjo un daño reputacional (relacionado a la seguridad, la ética, el medio ambiente, o algo más), señalaron que el tema de seguridad es el incidente más citado. De cara al futuro, el 38% de los encuestados prevé que un problema de seguridad (en concreto, la pérdida de datos de clientes) tendrá un impacto significativo en sus empresas en los próximos tres años, y el 65% de los encuestados se siente preparado para hacer frente a tal evento.
El impacto de los eventos que crean un riesgo reputacional es palpable, un 41% de los encuestados cuyas empresas experimentaron un incidente que terminó dañando su reputación dijo que la pérdida de ingresos fue la consecuencia más importante. El mismo número de encuestados citó a la pérdida de valor de la marca como el mayor impacto del incidente, mientras que el 37% puso la investigación por parte de los reguladores al tope de la lista de ramificaciones.
«Teniendo en cuenta que el riesgo reputacional se encuentra entre los principales riesgos estratégicos de las empresas, y que la seguridad es uno de los principales impulsores de riesgo reputacional, los CIO, o directores de tecnología, y CISO, responsables centrales de seguridad informática, seguramente serán vigilados mucho más de cerca por los presidentes ejecutivos y los directores en el tema de seguridad cibernética», señaló Henry Ristuccia, líder de Gobierno, Riesgo y Cumplimiento para Deloitte. «Los CIO y CISO deben estar preparados para explicar en forma concisa el perfil de riesgo cibernético de la empresa y las medidas que están tomando para reducir el riesgo.»
Ristuccia señala que la reputación de una empresa se ve afectada por su desempeño y las decisiones de negocio que toman sus líderes en una amplia gama de áreas, incluyendo la seguridad. Cómo elige una empresa abordar el tema de seguridad cibernética, desde el nivel de inversión en la preparación hasta la búsqueda de un enfoque holístico, puede tener una enorme influencia en la reputación de una empresa.
Los encuestados parecen reconocer esta situación si se toma en cuenta que el 40% dice que en la actualidad están enfocados en administración de los riesgos de seguridad y el 43% que estima que la seguridad seguirá siendo el segundo mayor motor de riesgo de reputación durante los próximos tres años.
«Incluso si una empresa experimenta un incidente de seguridad altamente publicitado, una respuesta eficaz durante la crisis puede reducir el daño reputación», señala Ristuccia. «Cada decisión durante una grave crisis puede afectar el valor. Los ejecutivos deben ser conscientes de que los riesgos reputacionales destruyen valor más rápidamente que los riesgos operacionales».