El impacto económico de los incidentes de seguridad

“No me preocupa, hasta ahora nunca nos ha pasado nada…”. Éste es el comentario que recibo de muchos clientes cuando voy a hablarles de seguridad, a lo que suelo responder: “…al menos que vosotros sepáis…”.

En la actualidad los riesgos que corren las compañías crecen en la misma medida que su exposición en la Red, pero no sólo están ligados a la conexión, ni tienen que ver con ataques externos, sino que incluyen los que sufren a través del eslabón más débil dentro de las compañías: los usuarios (próximamente escribiré sobre un informe sobre la concienciación necesaria que acaba de dar a conocer Autelsi, en el que Telefónica ha colaborado). Cada vez estamos más ligados a los dispositivos, y estos a su vez se convierten en una grieta para la seguridad de las corporaciones. Troyanos, keyloggers, rootkits, etc. se pueden introducir a través de medios de almacenamiento portátil, dispositivos móviles… y, de esta forma, desplegarse internamente y capturar información, sin hacer el menor “ruido”. Más del 50 por ciento de los incidentes de seguridad en las compañías son efectuados internamente: empleados, exempleados, colaboradores, proveedores, socios, etc. En muchos casos no es necesaria siquiera una sofisticada técnica, sino que basta con hacer uso de la ingeniería social para tener “éxito”. La información en sí misma es un activo con mucho valor.

Aunque afortunadamente esto está cambiando, la política de seguridad de casi todas las empresas suele ser reactiva. Uno de los principales argumentos para no acometer medidas preventivas, que reduzcan o mitiguen los riesgos, es la falta de concienciación de los altos cargos de dichas compañías que no estiman oportuno invertir en estas medidas, ya que siempre esperan un retorno de esa inversión, y es por ende poco “justificable” inicialmente . Es obvio que la principal preocupación de las empresas es la consecución y crecimiento del negocio, y esta preocupación crece cuando la información sobre los riesgos se transmite con objetividad y criterio.

En términos empresariales perder dinero es prácticamente como dejar de ganarlo, y este argumento sí que impacta y convence a los altos cargos, cuando visualizan un incidente de seguridad en sus compañías como perdida de continuidad, extracción de información, daños para la reputación e imagen, etc., con graves consecuencias económicas. Pero es que además un 80 por ciento de los inversores pierde interés en empresas ciberatacadas.

El coste medio de un incidente de seguridad en una pyme es de unos 38.000 euros, y en una gran empresa, de unos 478.000 euros. En el año 2012 el 79 por ciento de las compañías sufrió un incidente de seguridad derivado de dispositivos móviles, y se estima que el número de dispositivos crece año tras año en torno a un 17 por ciento. Durante el año pasado, los incidentes de seguridad crecieron un 48 por ciento respecto al año anterior, y han supuesto un coste mundial de 305.000 millones de euros. España es el tercer país del mundo que sufre más ciberataques, tras EE.UU. e Inglaterra, con unos 18.000 ataques en 2014.

Estos costes se cuantifican teniendo en cuenta el impacto en la continuidad del negocio, la fuga o pérdida de datos y los costes asociados a solucionar los problemas del incidente por parte de especialistas.

La inversión necesaria para prevenir estos incidentes siempre es menor que el coste y el impacto para resolverlos. Y la medida más efectivaa a la hora de acometer esta prevención es contar con una buena estrategia: un Plan Director de Seguridad, o la implantación de las normas de la familia ISO 27000 (27001 y 27002), aunque siempre hay que tener en cuenta que se tratan de medidas eficaces para reducir el riesgo, ya que éste nunca podrá anularse, por lo que es muy importante poder evaluarlos y asumir los “menos” críticos.

Imagen: Gerard Van der Leun