De acuerdo con el reciente informe “Risk in Focus 2020. Hot topics for internal auditors”, publicado por la European Confederation of Institutes of Internal Auditing (ECIIA), la ciberseguridad y la seguridad de los datos es el riesgo que más preocupa a los directivos de las empresas.
De hecho, un 78% de los directivos encuestados la considera uno de sus cinco mayores riesgos.
Múltiples amenazas para la ciberseguridad
Durante los últimos años, la sucesión de noticias acerca de las brechas de seguridad sufridas por centenares de empresas a lo largo del mundo ha contribuido a dar exposición a uno de los mayores retos del sector.
En el caso de España, Accenture estima que nuestras empresas están expuestas a un riesgo equivalente a 88.000 millones de euros, en el periodo 2019-2023.
La seguridad de los sistemas y bases de datos de las empresas está constantemente expuesta a amenazas de todo tipo. Sin embargo, y aunque el cibercrimen es el que suele llenar las portadas, existen otros peligros que también deben ser considerados y neutralizados.
Amenazas internas
Por sorprendente que parezca, la actividad de los empleados supone una amenaza constante para la ciberseguridad.
- En algunos casos, su comportamiento negligente provoca situaciones de vulnerabilidad, que los criminales utilizan para acceder al sistema.
- En otras ocasiones, es el propio empleado quien realiza voluntariamente una actividad perjudicial para la empresa.
Por regla general, estas situaciones podrían prevenirse con las soluciones especializadas en gestión de accesos e identidades. Es decir, con un mayor control y un uso racional de las credenciales de acceso a las diferentes aplicaciones y bases de datos utilizadas por el negocio.
Cibercrimen
Por su parte, el cibercrimen tiene múltiples caras y motivaciones.
Lejos de la imagen del “hacker como lobo solitario” que el público tiene de esta actividad delictiva, la realidad es que el cibercrimen ha adquirido un elevado nivel de sofisticación y organización:
- Las organizaciones criminales funcionan como auténticos negocios, cuyo producto es la información sustraída de las empresas y organizaciones en las que fijan sus objetivos.
- Los países también actúan como fuente de financiación de ataques informáticos contra objetivos de carácter estratégico en naciones enemigas.
- Por último, también existen organizaciones de ciberactivistas, que actúan movidas por criterios ideológicos o políticos.
Sea como fuere, las empresas y los organismos públicos son los principales objetivos de estas actividades criminales.
Desastres naturales
Aunque España no es un país caracterizado por los desastres naturales, muchas de nuestras empresas sí actúan en rincones del mundo donde este tipo de fenómenos pueden provocar graves daños a la infraestructura digital de sus instalaciones.
Coste económico de los incidentes de IT
Durante mucho tiempo, la inversión en ciberseguridad había sido concebida como un coste propio de la actividad del negocio.
Sin embargo, la práctica ha demostrado que el verdadero coste se manifiesta cuando tiene lugar un incidente que afecta a la infraestructura digital de aquel.
Ya en el informe “SMB Business Continuity”, elaborado por IDC en 2015, se expuso el coste medio por cada hora de interrupción de la actividad en una pequeña empresa de hasta 10 empleados es de 8.220 dólares.
Más recientemente, el informe “2018 Cost of a Data Breach Study: Global Overview”, publicado por el Ponemon Institute, indicó que el coste medio de una brecha de seguridad ha aumentado en un 6,4% en apenas 1 año.
Hay que tener en cuenta que el coste no sólo se limita al propio incidente, sino que tiene múltiples ramificaciones:
- Por un lado, tenemos los costes generados por la pérdida de datos, así como la paralización de la actividad durante la resolución del problema. Es decir, hay que sumar el coste de los ingresos habituales, que dejan de obtenerse.
- Además, hay que asumir los costes fijos, que la empresa continúa sufragando pese a la interrupción de su actividad.
- Por descontado, se deben sumar los costes invertidos en las reparaciones y recuperación del incidente de IT.
- El daño reputacional es uno de los más difíciles de estimar, pero no por ello deja de tener un impacto real en el futuro inmediato del negocio.
- Finalmente, no se debe descartar el coste legal, en caso de que el incidente de IT se haya visto favorecido o agravado por la ausencia de las medidas de seguridad de obligado cumplimiento, de acuerdo con la normativa vigente.
El Reglamento General de Protección de Datos (RGPD) es un ejemplo de la importancia que los legisladores nacionales e internacionales han dado a la protección de los datos de carácter personal, atesorado por las organizaciones.
Las sanciones por su incumplimiento pueden alcanzar los 20 000 000 EUR o el 4 % del volumen de negocio total anual.
Si deseas dotar a tu negocio con una solución que garantice una óptima gestión del consentimiento de los datos, en cumplimiento con el RGPD, te recomendamos solicitar información acerca de Asentify.
Lectura recomendada:
Inversión en ciberseguridad
Según el mencionado informe de ECIIA, el 68% de las empresas afirman que la ciberseguridad es uno de los principales riesgos, en el que invierten la mayor parte de sus recursos de auditoría interna.
Ahora bien, el reciente informe publicado por Deloitte, “Las preocupaciones del CISO. El estado de la ciberseguridad en 2019”, ha revelado que el 30% de las empresas españolas no se consideran preparadas para combatir eficazmente las amenazas contra la seguridad digital.
Nuestro tejido empresarial necesita dotarse de los recursos necesarios, para garantizar su ciberseguridad y, por lo tanto, la continuidad de su actividad.
