Las pérdidas anuales por ciberataques se situaron de media en 4,7 millones de dólares en el último año fiscal, con más de una de cada 10 empresas que perdieron más de 10 millones de dólares, según un nuevo informe de The Cybersecurity Imperative, un programa de liderazgo de pensamiento global producido por el investigador independiente ESI ThoughtLab junto con Willis Towers Watson.
El estudio abarcó 467 empresas de múltiples sectores en 17 países y reveló que las empresas de todo el mundo esperan aumentar sus inversiones en ciberseguridad en un 34% en el próximo ejercicio fiscal, después de haberlas aumentado en un 17% el año anterior. Alrededor del 12% de las empresas encuestadas tienen previsto reforzar sus inversiones en ciberseguridad en más de un 50%. Además, desde el año pasado, el porcentaje de empresas que ven un impacto significativo de las actividades delictivas cibernéticas -como la instalación de software de rescate- se ha disparado, pasando del 57% al 71%.
Fernando Sevillano, director de riesgos de ciberataques de Willis Towers Watson Iberia, asegura: «Las empresas están experimentando impactos cada vez mayores por parte de diferentes tipos de agentes: servicios de inteligencia, grupos financiados por estados/organizaciones, empleados y proveedores que cuentan con información privilegiada, ciber-terroristas y hacktivistas. Llevar a cabo una gestión integral de los ciber-riesgos, en la que no sólo se consideren aspectos relacionados con la tecnología y con su operación, esto es, incluyendo a las personas y a las decisiones sobre el capital, es clave para minimizar este tipo de riesgos”.
La investigación muestra que para combatir los riesgos en evolución, las compañías necesitan tomar una defensa proactiva y en múltiples niveles. El ciber-riesgo aparece en el momento en que las organizaciones sustentan su negocio en sistemas de información, se introducen nuevas políticas en los procesos de gestión, se empodera a las personas para abrazar los cambios de la transformación digital y se definen nuevas inversiones en capital.
Sevillano concreta: “En este contexto de automatización, optimización, empoderamiento e inversión, los ciber-riesgos aparecen envolviendo la totalidad de los procesos de transformación digital y, por tanto, poniendo en peligro la consecución de los objetivos estratégicos de las empresas. Desde Willis Towers Watson, facilitamos la consecución de los objetivos estratégicos, mediante la gestión integral de los ciber-riesgos que aparecen en cada uno de los pilares que habilitan la transformación digital; personas, procesos, sistemas y capital”.
Las empresas están respondiendo asignando la mayor parte de sus presupuestos a la tecnología, buscando al mismo tiempo el equilibrio adecuado entre las inversiones en las personas y en los procesos. También se están centrando más en la identificación de riesgos para abordar las vulnerabilidades emergentes y están invirtiendo más en la resiliencia para garantizar que puedan responder rápidamente a los ataques exitosos.
El estudio también habla de inversión en ciberseguridad: algunas industrias, como los medios de comunicación y los mercados de consumo, están asignando menos y pueden estar más expuestas a los riesgos cibernéticos.
Y de la ciberseguridad como cualquier otra amenaza existencial para un negocio: los riesgos no se limitan a la privacidad, la responsabilidad y el robo de datos; también pueden producirse enormes riesgos operativos si se interrumpe el negocio, con repercusiones en la reputación que pueden perjudicar las posiciones de mercado.
También destaca la importancia de prestar atención a los riesgos de los socios y su cadena de suministro: a medida que las empresas recurren a ecosistemas de terceros para impulsar la transformación digital, aumentan su vulnerabilidad a los riesgos cibernéticos. Y tener en cuenta que los riesgos legales y regulatorios también están aumentando sustancialmente: las empresas que no cumplen con las nuevas normas se enfrentan a fuertes sanciones y consecuencias legales.
Medir pérdidas, costes y devoluciones totales también es clave: cuando seas golpeado por un ciberataque exitoso, necesitas entender todos tus costes -directos e indirectos, tangibles e intangibles-.
La encuesta se llevó a cabo en la primavera de 2019 como parte de una iniciativa de investigación global titulada El imperativo de la ciberseguridad. La encuesta actual es una continuación de una más exhaustiva de 1.300 empresas realizada en el otoño de 2018.
Por Alicia Miguel
Por Funds Society, Madrid