Los directivos de empresas del Ibex 35, de las telecos, las aerolíneas, los bancos y entidades financieras y las pymes ya no pueden mirar hacia otro lado ante los ciberriesgos que corren sus compañías. Las empresas sufren ataques, principalmente de ransomware (secuestro de los sistemas y sus datos a cambio de un rescate) y de phishing (engaño que sirve para robo de datos a través de credenciales), así como otros tipos de ciberataques constantemente. Muchos triunfan, como el ocurrido la madrugada del pasado martes 10 de octubre por Air Europa, que expuso los datos de las tarjetas de crédito de cientos de sus clientes.
El informe de la consultora PriceWaterhouseCoopers (PwC) se hizo tras entrevistar a más de 20 Chief Information Security Officer (CISO) que forman parte de la comunidad de CyberLideria de empresas de referencia en el mercado español, y pretende ayudar a sus líderes a reflexionar sobre la mejor manera de abordar la gestión los riesgos de Ciberseguridad. Hay que tener en cuenta, que según otro informe publicado por Hiscox, las empresas españolas que cuentan con más de 1.000 empleados han visto aumentar el coste medio de los ciberataques en un 34%, y ha pasado de 248.568 euros en 2021 a 333.939 en 2022. Y continúa subiendo.
las compañías de nuestro país sufrieron una media de 224 ciberataques al año, solo por detrás de Estados Unidos, Francia y Reino Unido. Somos el cuarto país más atacado
El mismo informe recoge que las empresas españolas destinaron menos presupuesto a ciberseguridad, con un 20,7% del presupuesto total de Tecnologías de la Información, lo que supone 3,2 puntos porcentuales menos que en 2021, y el 83% de las empresas españolas no hicieron un seguimiento de las implicaciones financieras de los ciberataques. No concuerda esta bajada de inversión y de preocupación con el hecho de que las compañías de nuestro país sufrieron una media de 224 ciberataques al año, solo por detrás de Estados Unidos, con 249, Francia, que sufrió 247, y Reino Unido con 241. Somos el cuarto país más atacado.
Nuestros grandes directivos deben tener en cuenta que el coste medio de recuperación por ataques, solo los ransomware, que siempre suponen un gasto por el secuestro de datos y sistemas, y probablemente por el pago del rescate, aumentó un 88% en España. Aún son muchas las corporaciones que deciden pagar. El 49% afirma que decidió hacer frente a un rescate en al menos una o más ocasiones para recuperar los datos robados, y un 42% para evitar la publicación de datos confidenciales. El mayor motivo para hacerlo fue proteger los datos del personal, reconocido por un 39% de las empresas españolas, un porcentaje que asciende del 30% de 2021.
DIRECTIVOS RESPONSABLES
La responsabilidad, como cuando se trata de otros riesgos, como los financieros, debe empezar por el consejo de administración, haciendo gala de su rol habitual de supervisión y aprobación del riesgo, y teniendo ya muy claro que el ciberriesgo no es cosa de los «frikis de informática», sino que es un riesgo más de negocio, y cada vez más importante.
El comité de dirección, es el «propietario» de los ciberriesgos, y responsable de la toma de decisiones sobre los mismos. Inmediatamente después, el CISO es el apoyo fundamental para entender las amenazas y apoyar en los procesos de gestión para evitarlas. Los directivos tienen que espabilarse y conocer los riesgos y el impacto en sus negocios, comprender su marco de gestión, garantizar que haya recursos para lucha contra el cibercrimen y monitorizar la eficacia de las medidas implantadas.
Los directivos tienen que espabilarse y conocer los riesgos y el impacto en sus negocios
Sus equipos deben hacerles saber a qué se enfrentan si no conocen la regulación aplicable, que es ingente, y si no se supervisa su estricto cumplimiento. Las multas pueden hacer tambalear sus cuentas de resultados por incumplir reglamentos como el RGPD o las directivas NIS si son empresas de sectores esenciales. También deben considerar las perspectivas externas, generar confianza y, muy importante, comunicar con transparencia en las situaciones de crisis que, desde luego, las van a tener.
EN IMPACTO NEGATIVOS DE LOS CIBERATAQUES
La omnipresencia de la tecnología conlleva una mayor exposición al Ciberriesgo. La disrupción digital ha desencadenado un incremento masivo en la utilización de soluciones tecnológicas. Sin embargo, la dependencia de la tecnología lleva aparejada una mayor vulnerabilidad y exposición al riesgo. Esto deriva en un contexto de amenazas crecientes, originadas por atacantes con cada vez más recursos.
Los ciberataques generan un impacto negativo tanto a nivel económico, como reputacional, operacional y legal, porque la legislación ha avanzado incluso más que la manera de enfrentar los riesgos tecnológicos de muchos de los directivos españoles, y eso que el 25% de los CEO españoles ya ven los ciberriesgos como una de las principales amenazas para su empresa, lo que sitúa a la ciberseguridad todavía detrás de la Volatibilidad económica, la inflación y los conflictos geopolíticos en importancia como riesgo.
Los ciberataques generan un impacto negativo tanto a nivel económico, como reputacional, operacional y legal
Los delincuentes en la red cada vez sofistican más sus ataques, que ya se producen y comercializan de manera masiva. Los ciberataques con alto impacto ya no son hechos puntuales estamos hablando situaciones cada vez más generalizadas que puede afectar a cualquier empresa o individuo.
COMPROMETER LOS SUELDOS DE DIRECTIVOS
Como solución, el informe plantea que al igual que la alta dirección de las empresas tiene una retribución variable ligada al cumplimiento de objetivos de rentabilidad, ventas, calidad, etc, que se incluyan indicadores de ciberseguridad y tengan una variable de ingresos según su responsabilidad ante la ciberseguridad de su compañía.
Si una empresa es atacada, la confianza de los accionistas, los clientes y la sociedad en general se pierde, y las consecuencias pueden ser demoledoras
Para ello tienen que comprometerse y desarrollar programas formativos y de capacitación y ser proactivos en la detección, la comunicación y la gestión de los incidentes. Pero deben empezar por comprender cómo las tecnologías digitales soportan los procesos claves del negocio, porque sin ellas ya no es posible generar beneficios.
Son los jefes, con la ayuda de sus especialistas, los que deben definir e implantar un Marco de gestión de Ciberriesgos sistemático, operativo y dinámico. También invertir dinero y personal formado para que funcione. Si una empresa es atacada, la confianza de los accionistas, los clientes y la sociedad en general se pierde, y las consecuencias pueden ser demoledoras. La Ciberseguridad puede generar confianza en los grupos de interés. «La confianza es muy difícil de ganar, pero muy fácil de perder», tal y como resalta el informe de PwC.