Informe de ciberresiliencia 2023

Este artículo 2 es parte 16 de este informe.

October 11, 2023 / 5 minuto(s) de lectura

Elaborar un plan para afrontar los peligros del riesgo de reputación

La investigación sobre reputación de Aon demuestra que un ataque importante puede repercutir a largo plazo en el precio de las acciones de una empresa, ya sea de forma negativa o positiva.

Conclusiones principales

  1. De media, un incidente cibernético importante provocó una disminución del 9 % del valor para los accionistas* en el año siguiente al suceso.
  2. Las empresas a las que les fue peor obtuvieron una repercusión media en el valor del -21 %*.
  3. 18 empresas superaron con éxito un ciberataque, obteniendo un aumento medio del valor del 18 % aparte del mercado.

*Aparte del mercado.

La naturaleza intangible del riesgo de reputación implica que es uno de los riesgos más difíciles de evaluar y cuantificar. Según la encuesta bianual global de gestión de riesgos de Aon, la reputación se ha situado sistemáticamente entre las cinco preocupaciones principales durante más de diez años.1

Las organizaciones pueden abordar el riesgo de reputación de dos maneras: gestionándolo de forma proactiva o reaccionando ante un incidente de reputación cuando se produce. Con la gestión reactiva, es posible que se pierda el control de la narrativa del incidente, con lo que la organización (y su valoración) podría quedar expuesta a un juicio global a través de los medios de comunicación.

Las crisis de reputación suelen provocar que los mercados financieros reevalúen sus previsiones de flujos de efectivo futuros, lo que puede modificar la valoración de una empresa. El mercado recibe información nueva sobre la empresa y su gestión en momentos de crisis y suele formarse un consenso sobre si el impacto en los flujos de efectivo futuros a largo plazo será positivo o negativo. En esta valoración, es fundamental la prima de reputación, que es el excedente de la capitalización bursátil sobre los valores contables y de marca de la empresa. Indica la rentabilidad de la empresa que valoran los inversores, pero que no se refleja ni en la marca ni en los activos netos.2

Cuando el valor para los accionistas se ve afectado, el escrutinio se intensifica y pueden surgir riesgos normativos y de responsabilidad personal para los directores y gerentes. El antiguo director de seguridad de la información de una conocida empresa de movilidad de transporte fue condenado con cargos federales por encubrir pagos relacionados con una filtración de datos en 2016 en la que se robó información personal de 57 millones de usuarios3. Más recientemente, la Autoridad de Supervisión Prudencial del Reino Unido multó a un antiguo director de información de tecnofinanzas por incumplir las normas de conducta de los altos directivos.4

A medida que se agrava esta espiral de repercusiones de una filtración mal gestionada, la confianza en una empresa puede disminuir, y disminuirá. La confianza, o la respuesta emocional del cerebro que nos hace pensar que una organización es fiable y ofrece una sensación de credibilidad y seguridad, es fundamental para la prima de reputación. Un ciberataque importante, si tiene éxito, puede minar rápidamente la confianza, repercutir negativamente en el sentimiento de los clientes, depreciar el valor de la marca y afectar a la prima de reputación de una empresa. Mientras que el incidente en sí puede tener una duración limitada, los efectos a largo plazo pueden afectar a una empresa durante mucho más tiempo. Las organizaciones deben gestionar la reputación de una empresa como cualquier otro activo principal. Las empresas proactivas que planifican los acontecimientos adversos y se comunican con honestidad pueden descubrir que el mercado no solo perdona, sino que también puede recompensar a quienes los reconocen y responden con eficacia.

Resultados de Aon: riesgo de reputación

La investigación sobre reputación de Aon2 subraya la creciente gravedad de los ciberataques actuales. Un ciberataque importante puede repercutir a largo plazo en el precio de las acciones de una empresa. Un análisis de 47 sucesos cibernéticos destacados revela que, de media, estos incidentes provocaron una disminución del 9 % en el valor para los accionistas, aparte de los efectos del mercado, en el año siguiente al suceso. Esto se traduce en una repercusión negativa global en el valor de 225 000 millones de dólares. Las empresas que obtuvieron peores resultados (30) sufrieron una repercusión media en el valor del -21 %, aparte del mercado, o una pérdida de valor total de 670 000 millones de dólares.

Sin embargo, no todas las empresas perdieron valor tras un ataque. Algunas vieron aumentar su capital de reputación en el transcurso del incidente. Nuestra investigación identificó 17 empresas que superaron con éxito estos retos, logrando un aumento medio del valor del 18 % por encima de las tendencias del mercado, lo que se tradujo en una ganancia de valor combinada de 445 000 millones de dólares. Estas empresas respondieron de forma rápida y eficaz para minimizar los daños del incidente y aprovecharon la oportunidad para controlar la narrativa de la reputación y mitigar los daños a su marca en general.


Incidentes cibernéticos


Cibernético Cantidad Repercusión en el valor final ($) Valor final (%)
Agregado 47 -228B -6
Ganadores 17 437B 19
Perdedores 30 -666B -20

El ransomware, que normalmente se considera una amenaza operativa, también puede dañar en gran medida el capital de reputación y afectar al valor para los accionistas. Cuando comparamos el impacto de las filtraciones de datos con los ataques de ransomware, nuestro estudio a largo plazo de 12 incidentes importantes de ransomware muestra que, de media, estos ataques tuvieron un impacto un 12 % menor que las filtraciones de datos.


Años cibernéticos


Filtración de datos Cantidad Valor final ($) Valor final (%)
2010-2015 16 -147B -0.74
2016-2021 31 -81B -8.54

En general, los ciberataques son más perjudiciales hoy en día y nuestra investigación muestra un aumento visible de la repercusión en el valor. La repercusión media en el valor de 31 ciberataques entre 2016 y 2021 fue un 8 % inferior a la repercusión media de 16 ciberataques ocurridos entre 2010 y 2015.


Tipos de incidentes cibernéticos


Filtración de datos Cantidad Valor final ($) Valor final (%)
Filtración de datos 31 -356B -5.73
Ransomware 12 -93B -12.32

Las partes interesadas suelen ver con buenos ojos la gestión de los riesgos cibernéticos y la contratación de seguros cibernéticos. Esto puede ofrecer protección contra la volatilidad financiera y la reducción del valor para los accionistas (BPA) y ayudar a proteger a empleados, clientes y socios. Hay cinco características de la recuperación del valor de la reputación que pueden ayudar a las empresas a mitigar el riesgo de consecuencias negativas para su reputación tras una filtración: preparación, liderazgo, comunicación, acción y cambio. Las empresas deben comprometerse a fondo con la prevención y mitigación de las pérdidas cibernéticas mediante un plan sólido de recuperación o de respuesta a incidentes. Un liderazgo firme y visible de los directores generales y una divulgación precisa y bien coordinada forman parte del plan de respuesta crítica. Se debe actuar de forma inmediata y global. Y, por encima de todo, hace falta arrepentirse de forma genuina y comprometerse a cambiar de verdad.

Referencias

Nota de la investigación: los porcentajes de repercusión y las cifras en dólares son cifras modelizadas que han eliminado los movimientos del mercado.

1 «Informe global de gestión de riesgos 2021». Aon. Informe. 2021.

«Reputation Risk in the Cyber Age: The Impact on Shareholder Value». Pentland Analytics y Aon. Informe. 2018.

3 «Former Chief Security Officer of Uber Convicted of Federal Charges for Covering Up Data Breach Involving Millions of Uber User Records». Fiscalía de los Estados Unidos. Comunicado de prensa. 5 de octubre, 2022.

4 «Former CIO of TSB Bank Fined £81k by PRA over 2018 IT disruption». FinTech Futures. Artículo. 18 de abril, 2023.


Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. y Aon Risk Services, Inc. de Florida, y sus filiales autorizadas ofrecen los productos y servicios de seguros.

La información aquí contenida y las afirmaciones expresadas son de carácter general, no pretenden abordar las circunstancias de ninguna persona o entidad en particular y se facilitan únicamente con fines informativos. Esta información no sustituye el asesoramiento de un asesor jurídico o de un profesional de seguros cibernéticos y no debe utilizarse para tal fin. Si bien nos esforzamos por proporcionar información exacta y oportuna y utilizamos fuentes que consideramos fiables, no puede garantizarse que dicha información sea exacta en la fecha en que se recibe o que siga siéndolo en el futuro.

Gestionar el riesgo cyber en seis temas destacados.

El informe de este año es una guía para que los directivos comparen la madurez del riesgo de su organización con la de otras empresas similares y para ayudarles a tomar mejores decisiones sobre la gestión cibernética en seis temas de riesgo destacados: cibernético, operativo, de la cadena de suministro, interno, de reputación y sistémico.