[30/07/2024] Parametrix, proveedor de servicios de monitoreo, modelado y seguros en la nube, estima que la pérdida financiera directa total que enfrentan las empresas de las Fortune 500 de EE. UU. (excluyendo Microsoft) por la interrupción de CrowdStrike el 19 de julio es de 5,4 mil millones de dólares. Según lo señalado en el comunicado de prensa, es probable que la parte de la pérdida cubierta por las pólizas de seguro cibernético no supere el 10% o el 20%, debido a las grandes retenciones de riesgo de muchas empresas y a los bajos límites de la póliza en relación con la posible pérdida por interrupción. La pérdida media ponderada es de 44 millones de dólares por empresa de la lista Fortune 500, pero oscila entre los seis millones de dólares (empresas manufactureras) y los 143 millones de dólares (aerolíneas).
Un análisis en profundidad de Parametrix estima que la mayor pérdida financiera directa la sufrirán las empresas de la lista Fortune 500 en el sector de la salud (1.938 millones de dólares), seguidas de la banca (1.149 millones de dólares). Las empresas de estos sectores asumen el 57% de las pérdidas, pero representan solo el 20% de los ingresos de Fortune 500, debido al impacto desigual del evento en los sectores empresariales. La manufactura, el sector más grande por ingresos, sufrió una pérdida trivial de solo 36 millones de dólares en total, en comparación con sus ingresos anuales de 3,4 billones de dólares en 130 empresas, mientras que el evento le costó a las seis aerolíneas de Fortune 500 aproximadamente 860 millones de dólares, frente a ingresos de 187.100 millones de dólares.
"Nuestro análisis de la interrupción de CrowdStrike muestra no solo el posible alcance de un evento de pérdida cibernética sistémica, sino también sus límites", sostuvo Jonatan Hatzor, cofundador y CEO de Parametrix. "Nos dice más sobre las formas en que las aseguradoras y reaseguradoras pueden diversificar sus carteras de riesgo cibernético para minimizar los impactos potenciales del riesgo cibernético sistémico. Sin embargo, nuestro análisis no muestra todo el panorama de la diversificación. Una aseguradora cibernética centrada en empresas muy grandes sufrirá sin duda una pérdida de CrowdStrike mucho mayor en relación con la prima que una con una gran cartera de pymes".
Y agregó: "La prevención es importante, pero los portadores de riesgos tienen un control limitado sobre la ocurrencia de eventos y las prácticas de los proveedores de servicios. La industria debe centrarse en áreas controlables, como el mapeo y la gestión del riesgo de agregación. Al comprender estos puntos, podemos evaluar las exposiciones clave y mitigar las amenazas maliciosas y no maliciosas. Este enfoque proactivo permite tomar mejores decisiones de suscripción y soluciones efectivas de transferencia de riesgos para gestionar el riesgo sistémico".
Una cuarta parte de las empresas de la lista Fortune 500 se vieron afectadas (125 corporaciones), incluido el 100% de las aerolíneas de la cohorte y el 43% de las empresas minoristas y mayoristas. Alrededor de tres cuartas partes de las empresas del sector sanitario y bancario sufrieron costos directos. Más allá de estas pérdidas financieras primarias, el impacto de CrowdStrike en los servicios críticos dio lugar a una cascada de retrasos operativos que afectaron a las empresas de la lista Fortune 500 y a sus entidades posteriores. El análisis concluye además:
- Las industrias tradicionales que dependen de computadoras físicas experimentaron tiempos de recuperación más largos, lo que subraya la resiliencia y la rápida recuperación de los sistemas basados en la nube.
- Las (re)aseguradoras cibernéticas pueden gestionar el riesgo sistémico a través de la diversificación estratégica entre sectores industriales, proveedores de servicios y tamaños de empresas.
- El impacto de la interrupción de CrowdStrike fue distinto debido a su implementación tanto en las instalaciones como a través de la nube. Por lo tanto, las aseguradoras no deben confiar únicamente en el evento CrowdStrike para modelar futuros fallos basados en la nube.
La visión sin precedentes de Parametrix sobre el impacto financiero del evento CrowdStrike se basa en:
- Más de 54 mil millones de puntos de datos, que en conjunto definen el rendimiento histórico de los servicios en la nube,
- Experiencia en fallas de sistemas y pérdidas por interrupción del negocio, y
- Monitoreo directo del estado del servicio en tiempo real de seis mil empresas líderes en tecnología, incluida una parte significativa de Fortune 500.
Franca Cavassa, CTOPerú