Los riesgos cibernéticos, la principal preocupación de las empresas a nivel global
Aparte de la crisis del coronavirus y otros recientes eventos geopolíticos como el Brexit, o el cambio climático, este año ya ha hecho historia de otra manera. Por primera vez, el Barómetro Anual de Riesgos 2020 de Allianz, publicado en enero, ha demostrado que los incidentes de ciberseguridad son ahora la principal preocupación de las empresas y organizaciones de todo el mundo. Casi el 40% de las empresas encuestadas para el informe califican los ciberataques como el mayor riesgo para su negocio, lo que supone un aumento de seis veces en menos de una década y una clara indicación de la rapidez con que ha crecido la conciencia de las ciber-amenazas, impulsada por la creciente dependencia de las empresas de sus datos y sistemas de TI.
¿Por qué consideran las empresas que las ciberamenazas son ahora un riesgo mayor que las amenazas más tradicionales como incendios, desastres naturales u otras formas de interrupción de su actividad comercial? Porque los costes para una empresa de un incidente cibernético están aumentando, debido a varios diferentes motivos.
Violaciones de datos más grandes y más caras
A medida que las empresas generan y almacenan volúmenes cada vez mayores de datos de sus clientes, las violaciones de los mismos son cada vez mayores y más costosas. En particular, las denominadas mega-violaciones de datos -que implican más de un millón de registros- son cada vez más frecuentes y costosas, hasta un promedio de 42 millones de dólares según el Ponemon Institute, y hasta diez veces más para aquellas violaciones que superan los 50 millones de registros. El RGPD europeo probablemente traiga también consigo nuevas multas en 2020. Nueve meses después de su entrada en vigor, los organismos nacionales de protección de datos sólo habían resuelto alrededor del 50% de casos de infracciones según la Junta Europea de Protección de Datos (EDPB). A medida que los organismos reguladores reducen este atraso, se registrarán más multas de mayor cuantía. Según Europol, el ransomware es actualmente la ciber-amenaza más importante y se ha convertido en un factor clave para las reclamaciones de los ciber-seguros en los últimos años. Los incidentes son cada vez más frecuentes y dañinos, apuntando a las grandes empresas que dependen de los datos para proporcionar productos y servicios con sofisticados ataques y fuertes demandas de extorsión que pueden llegar a ser millonarias.
Pero estas demandas de extorsión son sólo una parte del impacto económico. La interrupción de las actividades comerciales acarrea las pérdidas más graves de los ataques de ransomware y, en algunos casos, la demanda de extorsión oculta el objetivo real de los delincuentes, por ejemplo, el robo de datos personales.
Los ataques de BEC dan lugar a un fraude de miles de millones de dólares
Los ataques de Business Email Compromise o BEC, también conocidos como el fraude del CEO, también están aumentando en frecuencia y suponen pérdidas a nivel global de al menos 26.000 millones de dólares desde 2016, según el FBI estadounidense. Estos ataques suelen incluir emails de ingeniería social y phishing para engañar a los empleados o a los altos directivos para que revelen sus credenciales de acceso o para realizar transacciones fraudulentas.
El creciente riesgo de los litigios
Hoy en día, muchas grandes infracciones de datos desencadenan acciones reguladoras, pero también pueden desencadenar litigios por parte de los consumidores, socios comerciales e inversores afectados. Cuando lo hacen, los gastos legales pueden aumentar considerablemente los costes. En Europa, el GDPR facilita a las víctimas de una violación de datos o de privacidad el derecho a una reparación jurídica. Además, los bufetes de abogados demandantes y los financiadores de los litigios buscan activamente entablar demandas colectivas por violaciones de datos en Europa y en otros lugares - recientemente se dio el visto bueno en los tribunales del Reino Unido a una demanda colectiva contra British Airways tras su violación de datos en 2018.
Las fusiones y adquisiciones pueden tener problemas cibernéticos heredados
La ciber-vulnerabilidad ha surgido como un tema candente en las fusiones y adquisiciones (M&A) dado que hasta las empresas adquirentes mejor protegidas estarán expuestas a riesgos si adquieren una empresa con una ciberseguridad débil y podrían ser responsables de cualquier daño por incidentes anteriores a la fusión. Una auditoria de ciberseguridad debe convertirse en una prioridad para las empresas durante una fusión o adquisición, ya que muchas empresas no son lo suficientemente diligentes en este ámbito y, una vez realizada la adquisición muchas empresas no abordan con suficiente rapidez las deficiencias de los sistemas adquiridos.
Los factores políticos juegan un papel importante en el ciberespacio
La participación de los Estados nacionales en los ciberataques aumenta el riesgo para las empresas, que son objetivo de aquellos que buscan robar la propiedad intelectual o de grupos que intentan causar trastornos o daños físicos. Incluso cuando las empresas no son el objetivo directo, los ciberataques respaldados por el estado pueden causar daños colaterales. En 2017 el ataque de malware NotPetya se dirigió principalmente a Ucrania, pero se extendió rápidamente por empresas de todo el mundo.
Gestionar el riesgo cibernético y mejorar la resistencia
La compra de un seguro cibernético debe ser uno de los puntos finales del plan de una empresa para mejorar su resistencia cibernética. El seguro tiene un papel vital para ayudar a las empresas a recuperarse si todas las demás medidas son insuficientes, pero no debe sustituir a la gestión estratégica de riesgos. La actualización y la supervisión continua de los sistemas y copias de seguridad debería ser obviamente la prioridad de la estrategia de ciberseguridad de cualquier empresa, pero también debería serlo la inversión en la concienciación de los empleados, dado que muchos incidentes son el resultado de un error humano.