El riesgo (y el coste) de un ciberataque

Los ciberataques y su coste

Los ciberataques han dejado de ser algo lejano, que ocurre en otros lugares y a otras empresas. Los objetivos ya no son sólo las entidades financieras, las grandes empresas o determinadas entidades que concentran intereses de altos vuelos.

Las amenazas de ataques cibernéticos se han generalizado de forma exponencial en los últimos años convirtiéndose en uno de los riesgos más universales que existen en la actualidad para el progreso y el crecimiento económico, y la preocupación se ha extendido entre las empresas, sea cual sea su tamaño, haciendo de la ciberseguridad y la lucha contra los hackers y el “malware” algo radicalmente necesario para el futuro de cualquier empresa.

Según datos de Marsh, el coste estimado de los ataques cibernéticos en el conjunto mundial asciende a 600.000 millones de dólares y, según distintas fuentes puede llegar a alcanzar entre 2 y 6 billones de dólares entre 2019 y 2021, con un coste medio por entidad o empresa de casi 6 millones de dólares para los ataques registrados en Estados Unidos. Marsh estima también que el mercado de la seguridad cibernética supera ya ampliamente los 120 millones de dólares anuales, y que la inversión realizada en este terreno crecerá a un ritmo de un 10% anual.

El coste mundial de los ataques: 600.000 millones de dólares y de 2 a 6 billones en 2019 y 2021

Una reciente encuesta de McKinsey señala que buena parte de los expertos sitúan ya los riesgos informáticos y cibernéticos como una de las prioridades máximas en la gestión de la empresa.

En el caso de España, específicamente, el año 2017 registró 120.000 incidentes cibernéticos según informa Howden, convirtiéndose en “el tercer país más atacado del mundo tras Estados Unidos y el Reino Unido”, y 3 de cada 4 empresas españolas han sufrido un episodio de ataque cibernético en los últimos 5 años, la mitad de ellos concentrados en las pymes españolas, sobre muchas de las cuales el pasado año se cebó la infección del Ransomware “Wannacry” y “Petya”.

España en 2017 tuvo 120.000 incidentes cibernéticos , “tercer país más atacado del mundo”

Las compañía de seguridad informática Kaspersky alerta de nuevas amenazas para el año actual y los siguientes, y afectarán no sólo a los PCs y portátiles sino también a los teléfonos móviles, que han comenzado a ser objeto de brechas a través de plataformas de espionaje como “Pegasus”, plataformas que “burlan las defensas de seguridad de sistemas operativos móviles como iOS, convirtiéndose en un sistema potente contra el cual casi no hay forma de defenderse”.

Riesgo para el comercio electrónico

Sumen a ello los avances que el cibercrimen está experimentando a la hora de quebrar los sistemas de criptografía, abriendo “puertas traseras” en los firewall y sistemas de encriptado, y tendremos numerosas actividades y negocios que pueden pasar de ser amenazadas a entrar en crisis, como algunas de las relacionadas con el comercio electrónico, que han registrado en los últimos años “grandes fugas de información personal identificable”, señala Kaspersky, entre ellas la que afectó a Equifax, que “puso en riesgo a 145,5 millones de norteamericanos”.

Otro de los ámbitos en los que comienza a producirse el ataque de los hackers es el de los módems y enrutadores, ataques que en algunos casos logran desviar la información hacia una dirección de conexión diferente.

El entorno de innovación y entrada en nuevos proyectos, productos y mercados, está obligando a la introducción de la inteligencia artificial, la robotización y la automatización de los procesos en todas las empresas que apuestan por su transformación digital, como un peaje indispensable para esta estrategia, pero también están generando toda una serie de riesgos adicionales en relación con la seguridad cibernética.

Amenazas para el sector financiero

Las amenazas de fraude y ciberataques concretos para el sector financiero en 2018, especialmente alentados por las innovaciones que se están produciendo en los servicios financieros, se centran en los medios de pago, especialmente por la presión para agilizar su realización y dotarlos de más rapidez mediante el uso de machine learning y de inteligencia artificial; la ingeniería social y el phishing; las nuevas amenazas para la banca móvil, a través del teléfono, usado ya por el 35% de los usuarios de estos servicios; las filtraciones de datos; las criptomonedas y los ICOs, que pueden convertirse en objetivo clave para los cibercriminales; el secuestro de cuentas; y los ataques a cajeros automáticos; de acuerdo con las predicciones que Kaspersky había realizado a comienzos de este año.

La gestión de estos nuevos riesgos reclama nuevos modelos junto con la dotación presupuestaria adecuada para establecer los mecanismos, procesos y protocolos necesarios, especialmente en los canales de comunicación e información y en los sistemas de autenticación, junto con programas de sensibilización, formación y preparación de las plantillas y un adecuado inventario y análisis del atractivo de la empresa, los activos a proteger y los puntos más sensibles y vulnerables por los que pueden producirse las brechas de los ciberatacantes.

Los dispositivos vulnerables aumentan, más aun con el auge de internet de las cosas

Cualquier estrategia de control de estos riesgos debe tener en cuenta que el número de dispositivos vulnerables está aumentando dramáticamente, señala la consultora americana, más aun con el desarrollo de internet de las cosas, de modo que los puntos finales pasan de ser varios miles a millones o decenas de millones, muchos de los cuales, por su antigüedad tienen una escasa seguridad. “Para 2020, el desarrollo de internet de las cosas puede incluir hasta 30.000 millones de dispositivos, muchos de ellos fuera del control corporativo”.

Considerarlo y gestionarlo como riesgo

A la hora de  desarrollar una estrategia eficaz en este terreno es imprescindible considerar lo relativo a los ciberataques como un riesgo más, uno de los de mayor trascendencia futura, y manejarlo cono tal riesgo y no solo como una cuestión relativa a los departamentos de tecnología. Por ello, “los elementos clave de su gestión incluyen la priorización de amenazas relevantes, la determinación del apetito de riesgo de una empresa (su disposición a aceptar algún riesgo) y la definición de iniciativas para minimizar el riesgo”, remarca Mckinsey.

Todos los expertos coinciden también en que la primera condición para una eficaz protección frente al riesgo de ciberataques es el compromiso de la alta dirección de todas las compañías. Sin embargo, precisamente por el expertise que requiere la gestión de este tipo de riesgos no es fácil para los altos ejecutivos hacer frente a este serio problema para el que la mayoría de las veces se sienten poco preparados y sin criterios sólidos para enfrentarse a ellos, como ha señalado la consultora americana.

Algo que nunca puede llevar a la paralización. Por ello, se hace necesario disponer de un equipo que tenga la capacidad y habilidades necesarias para impulsar la configuración, operación y monitoreo continuo de los controles de seguridad en la información, como también las habilidades y recursos para responder a las alertas de seguridad.

Al frente, un ejecutivo con capacidad de veto en las decisiones relacionadas con los riesgos cibernéticos

Un equipo que debe ser liderado por un alto ejecutivo que informe regularmente ante el consejo de administración y los departamentos interesados, y que disponga de capacidad de veto en” todas las decisiones relacionadas con los riesgos cibernéticos, como la subcontratación, la selección de proveedores y las excepciones a los controles de seguridad.