La probabilidad de sufrir un ciberataque es cada vez más alta, junto a un creciente nivel de gravedad y presión para las empresas. En respuesta, ReeVo Cloud & Cyber Security, proveedor de servicios en la nube y ciberseguridad, expone cuáles son los principales riesgos y qué deberían hacer las empresas para protegerse.
Efectivamente, el número de ciberincidentes crece anualmente y, según el reciente Informe Clusit, los ataques cibernéticos aumentaron a nivel mundial un 12% en 2023, siendo 4 de cada 5 de ellos de gravedad alta o crítica. En el caso de España, el 34% de los incidentes de ciberseguridad gestionados por CCN-CERT durante 2023 (107.777 incidentes) fueron clasificados con un nivel de peligrosidad alto, muy alto o crítico.
“Esta tendencia no solo pone de manifiesto el incremento de los ataques, sino que constata un recrudecimiento de los métodos y de la peligrosidad”, afirma Alessandro Siracusa de ReeVo Cloud & Cyber Security. “Dado que los cibercriminales van a seguir lanzando ofensivas cada vez más dirigidas y peligrosas, reconocer los riesgos cibernéticos y sus consecuencias es perentorio para todas las organizaciones, independientemente de su tamaño, nivel de madurez o actividad”.
Evaluar los riesgos, primer paso
El origen de los ataques es múltiple; ataques externos (hackers, malware, ransomware), errores humanos (configuraciones incorrectas, comportamiento negligente), problemas internos (fallos de hardware, de seguridad del software) o compromiso de la cadena de suministro (vulnerabilidades originadas por los proveedores). Así pues, cuando se habla de riesgos de un ciberataque, las empresas deben realizar un análisis de los mismos y evaluar del impacto, incluyendo todas las dimensiones implicadas: operativa, financiera, legal y reputacional.
A este respecto, sí se observa cierto “quorum” entre las organizaciones a la hora de identificar los riesgos más temidos, donde destacan las interrupciones operativas (tiempo de inactividad) y todo lo relacionado con accesibilidad, integridad y confidencialidad de los datos, principalmente.
Tal es el grado de preocupación que, a lo largo de los años, los analistas han intentado cuantificar el tiempo de inactividad y las violaciones de datos en términos financieros. Cuando se trata de grandes empresas, Gartner estimó en 2014 un coste de 5.600 dólares por minuto, y las conclusiones posteriores (de otros analistas) son incluso superiores. Se calcula que tan solo una hora de inactividad durante el Prime Day 2018 le costó a Amazon hasta 100 millones de dólares.
Casos extremos aparte, el tiempo de inactividad es el principal enemigo de cualquier compañía, especialmente en ciertos sectores como el manufacturero, cuyas operaciones pueden verse comprometidas por un ataque directo a sus redes OT.
Otro riesgo destacable es la llamada tríada “CIA” de los datos, es decir, Confidencialidad, Integridad y Disponibilidad. Una violación de datos puede tener consecuencias nefastas en tres ámbitos:
- Económico, vinculadas a posibles acciones legales por parte de los afectados;
- De conformidad (GDPR, HIPAA, etc.) y, por tanto, posibles sanciones;
- Reputacionales, ligadas a la ruptura de la relación de confianza con los propietarios de los datos y el ecosistema comercial de la empresa.
Daños a la reputación y pérdida de competitividad
Además de la continuidad del negocio y de la violación de datos, hay otros riesgos significativos.
El daño reputacional podría ser el peor, por sus implicaciones a largo plazo y por afectar a la percepción de los clientes, los inversores y el público en general. Ningún cliente o socio comercial quiere estar vinculado a una organización incapaz de proteger sus operaciones y/o datos.
En cuanto a las repercusiones financieras de los ciberataques, a menudo se habla de efectos indirectos derivados del incumplimiento normativo y/o de los problemas de continuidad de la actividad. Sin embargo, también se producen ataques directos en forma de fraude financiero, extorsión o ingeniería social, con el objetivo de acceder y apropiarse de los recursos (económicos.
Por último, están los incidentes cibernéticos que obligan a la organización a realizar desembolsos financieros imprevistos, reduciendo gravemente su capacidad de inversión. Esto puede poner a la empresa en una situación de desventaja en términos de reputación frente a sus competidores, pero también en lo relativo a presupuestos (publicidad, investigación y desarrollo…).
A la vista de los riesgos a los que se enfrentan las empresas, invertir en servicios, tecnologías y formación en ciberseguridad es transcendental, empezando por un conocimiento de 360º de los propios peligros. Crucial es también mantener adecuadamente los servicios y tecnologías de prevención, y, nunca, nunca, subestimar el alcance de todos estos riesgos.