La ciberseguridad se convierte en la asignatura pendiente de las empresas españolas
Los ciberataques costaron 5.000 millones de dólares en todo el mundo en 2017
- Pérdida de datos sensibles, inactividad empresarial y daños de reputación, entre las consecuencias
- Las empresas españolas, conscientes de los riesgos, buscan expertos en la materia
Los ataques maliciosos están a la orden del día. El año pasado WannaCry y Not Petya pusieron en un aprieto a gobiernos y empresas a lo largo y ancho del mundo. De hecho, se estima que los daños causados por ciberataques con ramsomware costaron unos 5.000 millones de dólares en todo el mundo en 2017, y la cifra podría superar los 11.500 millones en 2019 si no mejora la ciberseguridad. En España aún queda trabajo por delante, aunque muchas empresas, conscientes de la importancia de protegerse, ya han empezado a contratar expertos en la materia para resguardarse ante los ataques que están por llegar.
Los expertos insisten en que “la seguridad al 100% no existe”, pero afirman que se puede trabajar para ser menos vulnerables
La proliferación de los ataques con ramsomware -un tipo de programa dañino que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción- ha obligado a instituciones, empresas y usuarios a ponerse al día. “El nivel global de protección ha mejorado mucho en los últimos años”, afirma Marcos Gómez, subdirector de servicios de Ciberseguridad de INCIBE, el Instituto Nacional de Ciberseguridad dependiente del Ministerio de Energía, Turismo y Agenda Digital. “Ahora somos más capaces de detectar, prevenir y mejorar la respuesta a los ataques maliciosos”, dice el experto, que avala el esfuerzo que se está haciendo aunque reconoce que todavía queda camino por recorrer.
Sobre todo, dice Gómez, teniendo en cuenta la “dependencia tecnológica” que existe actualmente. “Es de sentido común protegerse”, afirma el responsable de INCIBE, que reconoce que la concienciación de los españoles es cada vez mayor, y que por eso está mejorando la ciberseguridad. Aunque recuerda también que “los ciberdelincuentes se van adaptando”, por lo que debe haber un trabajo constante de cultura y sensibilización para evitar, en la medida de lo posible, los ataques.
Eso sí, teniendo en cuenta que “la seguridad al 100% no existe”. El año pasado el INCIBE resolvió un total de 123.064 incidentes de seguridad, un 6,77% más que 2016. La mayoría de ellos, 116.642, había afectado a empresas y ciudadanos, mientras que otras 885 incidencias afectaron a operadores estratégicos (dan soporte a servicios esenciales como transporte, telecomunicaciones, sanidad...) y 5.537 correspondieron al ámbito académico de la RedIRIS, según se desprende del Balance 2017 presentado esta misma semana en Madrid.
Los ataques más repetidos son los de ramsonware. Según un informe de la consultora CyberSecurity Ventures, difundido por G DATA, los rescates son sólo la punta del iceberg a la hora de valorar los daños causados por el ransomware. De hecho, en 2017 la factura alcanzó los 5.000 millones de dólares, cinco veces más que en 2016, y se estima que los ciberataques seguirán creciendo de forma que, para 2019, los daños causados por los ciberdelincuentes podrían ascender a 11.500 millones de dólares.
Esas son sólo las cifras, porque no se pueden olvidar las otras consecuencias de los ataques maliciosos, como la pérdida de datos sensibles, la inactividad empresarial y las caídas de la productividad (cuando las empresas se ven afectadas), e incluso daños de reputación e imagen. “Dependiendo del sector, hay más o menos concienciación, pero en general en España nos estamos poniendo las pilas y hemos mejorado bastante”, afirma Sara Muñoz, responsable del departamento de Cyber de Marsh España, cuya labor consiste en ayudar a sus clientes a anticipar, cuantificar y comprender la variedad de riesgos a los que se enfrentan, entre ellos los ciberataques.
“Estamos mejor, pero no es suficiente”, reconoce Muñoz, que señala la necesidad de incrementar la inversión en materia de ciberseguridad. De hecho, asegura que una buena forma de protegerse es contratar uno de los seguros que hay disponibles actualmente en el mercado, y que cubren todo tipo de ciberriesgos, tanto para empresas como para particulares. La oferta se ha incrementado considerablemente en los últimos años, de forma que se puede elegir entre seguros tan variados como los de Allianz, Axa, Mapfre o Zurich, por poner algún ejemplo. “Hemos detectado un aumento en la contratación de este tipo de pólizas, sobre todo ante la entrada en vigor de la nueva normativa de protección de datos”, señala la experta de Marsh, que cree que la tendencia irá en aumento.
DEMANDA DE EXPERTOS
Y no sólo eso, ya que las empresas demandan, cada vez más, perfiles de responsables en ciberseguridad. El informe 'Talento de ciberseguridad: la gran brecha en la ciberprotección' del Instituto de Transformación Digital de Capgemini, dado a conocer a finales de febrero, revela que el 68% de las empresas necesita incorporar a expertos en ciberseguridad. “La deficiencia de competencias en materia de ciberseguridad tiene un efecto muy real en las organizaciones”, ha dicho Mike Turner, director de operaciones de ciberseguridad de Capgemini. En su opinión, “invertir meses, y no semanas, en encontrar candidatos adecuados no sólo resulta ineficiente, sino que, además, deja a las organizaciones peligrosamente expuestas a los ciberataques”.
Sólo el 9% de las empresas son 'ciberexpertas', frente al 75% calificadas de 'cibernovatas' y el 16% 'ciberintermedias'
Y las empresas, sabedoras de los riesgos a los que se exponen, ya se han puesto manos a la obra. Al menos las españolas. Según el informe 'Hiscox Cyber Readiness Report 2018' (elaborado por la consultora Forrester para la aseguradora británica Hiscox), una de cada tres empresas españolas contratará expertos en ciberseguridad este año. De hecho, España es el país con mayor porcentaje de previsión de contratación de expertos en seguridad (29%), por delante de Gran Bretaña (26%), Estados Unidos (25%), Holanda (25%) y Alemania (24%).
Una decisión, la de la contratación de expertos, que quizá tenga algo que ver con otra de las conclusiones de este informe. En él queda en evidencia que las compañías españolas no están tan bien preparadas como deberían: sólo el 9% de las corporaciones son 'ciberexpertas', frente al 75% que obtienen la calificación de 'cibernovatas' y el 16% que se catalogan como 'ciberintermedias'.
¿QUÉ HACER PARA EVITAR ATAQUES?
Como dicen los expertos, la seguridad al 100% no existe, aunque siempre hay margen para mejorar. Marcos Gómez, de INCIBE, apunta a una serie de claves que pueden ayudar en materia de prevención y que son un buen primer paso para evitar los ciberataques. Entre ellas, menciona “tener los equipos y los sistemas actualizados y parcheados” y “mantenerse informado de los riesgos”. Además, en el caso de las empresas, aconseja fomentar una mayor cultura de la responsabilidad entre los empleados, porque muchas veces son el “eslabón débil” por el que se “cuelan” los ciberdelincuentes, con mensajes a través del email o cuando se produce una “navegación inadecuada”.
Por su parte, Sara Muñoz, de Marsh España, aconseja a las empresas “cifrar la información, segmentar el acceso de determinados perfiles de usuarios, formar a los empleados y desarrollar un plan de continuidad del negocio que contemple acciones de ciberseguridad”. “Siempre vamos a ir por detrás de los ciberdelincuentes, pero hay que intentar ser menos vulnerables”, concluye.
