Inicio
Tendencias
Crisis

Gestión de crisis en turismo: lecciones del caso CrowdStrike

La mayor interrupción tecnológica de la historia le costó caro a las empresas turísticas, mostrando la importancia de la gestión de riesgos para evitar crisis.

Una -en apariencia- trivial actualización de un software de ciberseguridad de CrowdStrike interrumpió durante días la normal dinámica de los viajes, con miles de cancelaciones y retrasos en buena parte del mundo. El efecto dominó de este incidente nuevamente dejó en claro lo importante que es la gestión de riesgos para amortiguar crisis futuras.

Pero ¿cuál crisis?, ¿es posible prevenir la próxima?, ¿cuál es el costo de no hacer nada?, ¿por dónde esperan los expertos el próximo embate? Esas son algunas de las preguntas que abordaremos en este informe.

El costoso error de CrowdStrike

El 19 de julio pasado, empresas y gobiernos de todo el mundo vieron interrumpidos sus servicios al aparecer en sus monitores la famosa y temida “pantalla azul de la muerte” de Windows. El problema, ocasionado por un parche con errores implementado por CrowdStrike, se detectó al comienzo de la jornada en Australia y con el correr de las horas se fue extendiendo por Asia, Europa y América.

Se estima que cerca de 10 millones de dispositivos de Microsoft Windows fueron afectados, provocando interrupciones generalizadas en la operatoria de bancos, tarjetas y terminales de pago, centros de salud, empresas de logística y mensajería, y cajeros automáticos, entre otros. El costo de la caída para los negocios se estima que superó los mil millones de dólares.

Para varios expertos en ciberseguridad se trató de la mayor interrupción de Tecnología de la Información (TI) de la historia.

Turismo, una de las principales víctimas

En la edición de Ladevi Latam de junio pasado ahondamos la cuestión de la ciberseguridad en turismo, destacando que la “salvadora” digitalización tiene su lado B: los delitos informáticos. Si bien en esta ocasión no se trató de un ataque informático, allí destacamos que las empresas turísticas son un sector particularmente vulnerable.

Por un lado, porque la industria de los viajes concentra una enorme montaña de datos propios, de clientes y proveedores, el “oro” del siglo XXI. Pero, al mismo tiempo, se caracteriza por presentar muchas vulnerabilidades y brechas digitales ideales para los “piratas” informáticos (complejas arquitecturas de sistemas; tecnologías centrales heredadas; múltiples puntos de contacto con los empleados y los clientes; escasez de personal y alta rotación; baja sofisticación técnica; operaciones dispersas y localizadas; puntos de venta digitales y en las instalaciones; múltiples métodos de pago).

Te puede interesar: Ciberseguridad, un desafío vital para las empresas turísticas en la era digital

El trance de CrowdStrike, aunque haya sido un “inocente” incidente de alguien bien intencionado, afectó particularmente a la industria turística. Se calcula que durante los tres días de la crisis se produjeron más de 10 mil cancelaciones de vuelos y 1,4 millones de pasajeros se vieron afectados.

El director ejecutivo de Anderson Economic Group (una empresa que se especializa en estimar el costo de estos incidentes), Patrick Anderson, le dijo a CNN que las pérdidas son particularmente significativas para las aerolíneas “debido a los ingresos dilapidados por las cancelaciones y los costos excesivos de mano de obra y combustible para los aviones que sí volaron, pero con retrasos significativos”.

Más adelante veremos lo difícil que es recuperarse de esos costos.

Embed

La moraleja del caso Crowdstrike

La interrupción del servicio derivada del caso Crowdstrike fue un duro recordatorio de la importancia de la resiliencia cibernética en un mundo cada vez más digital. “También hay que considerar el panorama general: la resiliencia sistémica”, aportó Luna Rohland, especialista en la materia del Foro Económico Mundial, quien amplió: “A medida que las amenazas cibernéticas se vuelven más avanzadas, las empresas dependen cada vez más de unos pocos proveedores de software de seguridad sofisticados. Esta dependencia crea un único punto de falla, donde una falla en un sistema puede generar efectos en cascada globales. Equilibrar arquitecturas centralizadas y altamente protegidas con sistemas descentralizados de menor impacto es un desafío difícil”.

¿Cuál es la próxima crisis?

Charlie Sultan, presidente de Concur Travel en SAP Concur, lo graficó en un informe de PhocusWire al señalar que el concepto de gestión de crisis “pasó de manejar una emergencia cada cinco años aproximadamente” a hacer de la seguridad una prioridad “cotidiana y en todas partes”.

Como resultado, las responsabilidades de las organizaciones con sus empleados, clientes y proveedores son cada vez mayores y, por ende, es necesario invertir en sistemas y prácticas para la gestión del riesgo. Y el deber de cuidado ahora comienza durante el proceso de planificación del viaje.

La próxima década se caracterizará por las crisis ambientales y sociales impulsadas por tendencias geopolíticas y económicas subyacentes. Una era de bajo crecimiento y baja inversión socava aún más la resiliencia y capacidad de manejar futuros choques”, planteó Saadia Zahidi, directora general del Foro Económico Mundial, en la reunión anual en Davos.

Pero es la naturaleza interconectada de estas crisis lo que el Informe de Riesgos Globales del Foro señala como un peligro particular. "Las crisis concurrentes, los riesgos profundamente interconectados y la erosión de la resiliencia están dando lugar al peligro de ‘policrisis’, donde incidentes dispares interactúan de tal manera que el impacto global supera con creces la suma de cada parte”, advirtió el Foro Económico Mundial en Davos.

Te puede interesar: El turismo de cara a la gestión de riesgo global

De hecho, en 2023 la Encuesta Global de Gestión de Riesgos (GRMS) de la aseguradora AON clasificó a los ataques cibernéticos o las violaciones de datos como el riesgo actual número uno, en paralelo a una desaceleración económica. La interrupción del negocio, el daño a la marca o la reputación, el clima y los desastres naturales completan el top 5 de las preocupaciones.

Por su parte, la Encuesta de Percepción de los Riesgos Globales del Foro Económico de 2024 (reúne la opinión de 1.500 líderes y 200 expertos en la temática) no brilla por su optimismo. Más de la mitad de los consultados (54%) esperan un bienio con cierta inestabilidad y un riesgo moderado de catástrofes mundiales. Pero las perspectivas son notablemente más negativas en el horizonte temporal de 10 años, ya que casi dos tercios prevén un panorama tormentoso o turbulento y menos del 10% aguarda una situación tranquila o estable.

¿Podría alguien prever que el error de un empleado de una empresa de ciberseguridad alteraría por tres días la normal dinámica de los viajes? Claro que no, pero tampoco es casualidad que la ciberseguridad sea un tópico central en dos de los estudios más valorados sobre riesgos globales.

De hecho, en 2023 la Encuesta Global de Gestión de Riesgos (GRMS) de la aseguradora AON, específica para la industria hotelera y de viajes, clasificó a los ataques cibernéticos o las violaciones de datos como el riesgo actual número uno, en paralelo a una desaceleración económica. La interrupción del negocio, el daño a la marca o la reputación, el clima y los desastres naturales completan el top 5 de las preocupaciones.

Por su parte, la Encuesta de Percepción de los Riesgos Globales del Foro Económico de 2024 (reúne la opinión de 1.500 líderes y 200 expertos en la temática) no brilla por su optimismo. Más de la mitad de los consultados (54%) esperan un bienio con cierta inestabilidad y un riesgo moderado de catástrofes mundiales. Pero las perspectivas son notablemente más negativas en el horizonte temporal de 10 años, ya que casi dos tercios prevén un panorama tormentoso o turbulento y menos del 10% aguarda una situación tranquila o estable.

Los fenómenos meteorológicos extremos; un cambio crítico en los sistemas terrestres; la pérdida de biodiversidad y el colapso de los ecosistemas; y la pérdida de recursos naturales son los cuatro principales riesgos a largo plazo que figuran en el informe del Foro Económico Mundial. “Debemos reconocer la magnitud de la amenaza, pero mantener el optimismo de que podemos responder de forma que evitemos y mitiguemos las peores consecuencias”, analizó Gill Einhorn, responsable de Innovación y Transformación de la entidad. “Somos responsables de la posible sexta extinción masiva, pero también estamos en una posición única para responder y evitarla”, añadió.

Te puede interesar: el clima, fuente de las mayores amenazas turísticas

Luego de los ambientales, los riesgos tecnológicos se encuentran entre los que se espera que empeoren con más gravedad en la próxima década y dominan el panorama a largo plazo. Se temen resultados adversos de las tecnologías de IA a medida que penetren en los sistemas económicos, sociales y políticos. Un riesgo que se enlaza con el temor a la desinformación y la ciberseguridad.

Es obvio que cada uno de los riesgos de los que venimos hablando generan impactos en la llegada de turistas al destino en caso de concretarse. Ya sean producto de la inestabilidad política, económica, social o ambiental, siempre la percepción de seguridad de un lugar es el elemento que condiciona con más preponderancia la elección por parte de los turistas.

Sobran los ejemplos recientes para demostrarlo. Pero el punto no es contar las pérdidas, sino entender que la incertidumbre es potencial, inconmensurable e incontrolable, pero el riesgo siempre es una consecuencia de decisiones humanas y que se convierta en una crisis disruptiva depende de cómo se gestione previamente esa amenaza potencial.

¿Cosa de grandes?, la gestión de riesgos en mipymes

La gestión de riesgos fue tradicionalmente algo reservado para grandes compañías y aplicado en casos ocasionales. Sin embargo, como decía Charlie Sultan, debería volverse en algo “cotidiano y en todas partes”.

Las micro, pequeñas y medianas empresas (mipymes) son el alma de la economía del turismo. “En un mundo cada vez más impredecible, estas organizaciones deben adoptar estas prácticas antes reservadas para los gigantes del mundo de los negocios”, planteó Hersh Shah director general la filial India del Instituto de Gestión de Riesgos.

“Al integrar la gestión de riesgos en el entramado de sus operaciones, las mipymes pueden sortear mejor las incertidumbres, optimizar sus procesos de toma de decisiones y mejorar su capacidad de resiliencia ante posibles retos. Además de generar confianza entre las partes interesadas, incluidos inversores, acreedores, proveedores y clientes”, explicó Shah, quien delineó algunas medidas para iniciar el proceso:

  • Empezar por la cultura: el inicio debe ser el compromiso de la cúpula directiva, desde donde se debe fijar la importancia de la gestión de riesgos y asignar recursos para su aplicación efectiva.
  • Designar un responsable: teniendo en cuenta que es probable que una mipyme no cuente con el presupuesto para contratar un responsable, Shah sugiere, en su lugar, identificar un agente interno que pueda obtener la certificación de gestión de riesgos y actuar como líder en la materia. A su vez, cada departamento debería nombrar a alguien encargado de la aplicación de dichas políticas y recibir capacitación a tal fin.
  • Evaluación de riesgos: identificar, analizar y priorizar los riesgos -ya sean operativos, financieros, estratégicos o externos- es vital para el desarrollo de estrategias de respuesta adecuadas.
  • Supervisar e informar: revisar y actualizar periódicamente el perfil de riesgo es fundamental. Para ello existen herramientas de gestión de riesgos online asequibles y adaptadas a mipymes.

El costo de la inactividad

Según un estudio de Oxford Economics, en asociación con Splunk, el costo de inactividad por la suma de fallos como el de CrowdStrike asciende a unos 400 mil millones de dólares, o el 9% de las ganancias de las organizaciones.

“Esta vez, el culpable fue un error en una actualización de un software. La próxima podría ser el resultado de un incidente de ciberseguridad como el desastre de WannaCry en 2017, o una deficiencia humana, un fallo de infraestructura o incluso un evento geopolítico. Las empresas de todo tipo son vulnerables al tipo de daño financiero, operativo y de reputación que se produjo”, señaló Teri Robison, responsable de Liderazgo de Pensamiento en Oxford Economics.

  • US$ 49 millones: es la pérdida de ingresos por inactividad que experimenta una empresa anualmente.
  • 75: es el número de días que se necesita para recuperar los ingresos perdidos.
  • US$ 22 millones: las multas regulatorias promedio que una organización acumula por año.
  • US$ 12 millones: invierten en promedio anualmente las empresas que se recuperan más rápido de los incidentes de inactividad, pero tienen menos pérdidas de ingresos y costos ocultos.

“A medida que las organizaciones ceden más control a los socios tecnológicos y nuestra interconexión digital se expande más rápido que la infraestructura, aumenta la probabilidad de incidentes con impacto global. Por lo tanto, es más crucial que nunca protegerse de problemas causados por fallas individuales. Minimizar el impacto del tiempo de inactividad depende de la organización”, concluyó Teri Robinson.

Temas relacionados

Deja tu comentario