A medida que surgen estimaciones desorbitadas sobre el coste que supondrá para las empresas hacer frente a las secuelas de las interrupciones inducidas por CrowdStrike la semana pasada, es crucial desglosar las fuentes de estos gastos y comprender qué parte de la carga financiera será absorbida por los ciberseguros.
Parametrix, conocida por sus soluciones de supervisión y seguros en la nube, ha cifrado las pérdidas totales del 25% de las empresas de la lista Fortune 500 afectadas (excluida Microsoft) en la asombrosa cifra de 5.400 millones de dólares.
Según Parametrix, ellas mismas cubrirán la mayor parte de esa factura: “Es probable que la parte de la pérdida cubierta por las pólizas de ciberseguro no supere el 10% o el 20%, debido a las grandes retenciones de riesgo de muchas empresas y a los bajos límites de las pólizas en relación con la pérdida potencial por interrupción”.
Cuando las TI hacen estragos
En un escenario de alto impacto como el de la metedura de pata de CrowdStrike, las empresas incurren en costes por múltiples razones. Los expertos destacan la pérdida de ingresos debida al tiempo de inactividad, el aumento de los gastos operativos y los costes de reparación, entre otros.
Según Duncan Brown, vicepresidente del grupo de investigación de IDC, “lo más probable es que los costes se deban a la pérdida de operaciones por la indisponibilidad de los sistemas”. “A esto seguirían la pérdida de productividad y los costes operativos (como aviones y trenes en el lugar equivocado), seguidos de las actividades de remediación para solucionar el problema, muchas de las cuales requieren intervención manual”.
700 millones de dólares sólo en reparación
Según un estudio de J. Gold Associates, cada máquina afectada, por término medio, costaría a una organización 82,50 dólares para ser reparada por un empleado interno. Los costes podrían triplicarse si la empresa tuviera que contratar ayuda externa. Microsoft calcula que hay 8,5 millones de equipos Windows afectados, por lo que sólo los costes de reparación del incidente ascienden a más de 700 millones de dólares.
Los gastos operativos y las pérdidas para la empresa variarían mucho de una organización a otra, y de un segmento a otro. Parametrix, utilizando sus sensores de monitorización de servicios, estimó que el sector sanitario era el más afectado, con 1.940 millones de dólares en pérdidas directas por el incidente, seguido de cerca por la banca y el transporte, con 1.150 millones y 860 millones, respectivamente. Estimó las pérdidas por empresa en estos tres segmentos en 64,60, 71,8 y 143,38 millones de dólares, respectivamente.
Chris Steffen, vicepresidente de investigación de Enterprise Management Associates, afirma que en realidad las cifras podrían ser mucho más elevadas. “Parametrix afirma que sólo hubo 146 millones de dólares de pérdidas directas para el sector aéreo”, dijo. “Pero varias aerolíneas sufrieron interrupciones durante varios días (Delta se recuperó finalmente el miércoles de esta semana). Incluso si se tienen en cuenta las multas monetarias asociadas a los retrasos y las nuevas reservas, por no hablar de la reputación de la marca y otros costes no realizados, 146 millones de dólares parecen muy pocos”.
Aparte de las pérdidas directas, es probable que los costes ocultos adicionales del incidente incluyan indemnizaciones a los clientes por pérdida de servicio y multas por incumplimiento, añadió Brown. Actualmente se está debatiendo cómo podrían ser esas cifras.
Además, habrá costes de reputación para las marcas que sufran la angustia de los clientes. La propia CrowdStrike, señaló Steffen, se vio gravemente afectada y sus acciones cayeron más de un 20%, lo que supuso una pérdida de más de 15.000 millones de dólares en valor para los accionistas.
Sin malicia, no hay dinero
Parametrix calcula que las pérdidas aseguradas por este incidente pueden oscilar entre los 54.000 y los 1.080 millones de dólares, asumiendo que la proporción entre pérdidas aseguradas y pérdidas financieras es del 10-15%.
Esta estimación se ve respaldada en cierta medida por la empresa de inteligencia sobre ciberriesgos CyberCube. El equipo del Cyber Aggregation Event Response Service (CAERS) de la empresa hizo una estimación general de los pagos de los seguros en torno a los 1.000 millones de dólares.
“El modelo de catástrofe cibernética de CyberCube estima las pérdidas preliminares aseguradas por el suceso del 19 de julio para el mercado independiente de los ciberseguros entre 400 y 1.500 millones de dólares, lo que representa un impacto aproximado del 3-10% en las primas cibernéticas mundiales de 15.000 millones de dólares actuales”, afirma CyberCube en un blog.
Según la empresa, la naturaleza no maliciosa del suceso influye en la cobertura de seguro que activan las pólizas. Es probable que la interrupción del negocio debida a un “fallo del sistema” sea el principal desencadenante del siniestro, y este tipo de cobertura no suele incluirse de serie en muchas pólizas y, cuando está disponible, suele estar sujeta a sublímites, añade.
A medida que el lío CrowdStrike comienza a asentarse, existe una creciente preocupación de que los costos podrían aumentar más allá de las estimaciones actuales. Las empresas afectadas deben poner en común sus recursos para recuperarse rápidamente antes de que las pérdidas se disparen.
Read More from This Article: Calculando el coste de CrowdStrike: el fallo que significó miles de millones
Source: News