Día sí, día también, en los medios aparecen noticias sobre empresas víctimas de ciberataques. Generalmente son compañías conocidas por la mayoría o que gestionan infraestructuras críticas como, por ejemplo, el suministro eléctrico. Esto puede llevarnos al error de pensar que a los ciberdelincuentes solo les interesan las grandes organizaciones. Nada más lejos de la realidad. Las pymes son las más vulnerables porque sus presupuestos para la ciberseguridad son mucho más reducidos en comparación con empresas de mayor tamaño.
En este artículo vamos a analizar la evolución de los ciberataques a lo largo del tiempo y los costes que estos suponen para las empresas.
[hde_related]
Incremento de los ciberataques en España
En 2006 se fundó el Centro Criptológico Nacional (originalmente se le denominó CERT Gubernamental Nacional). Desde su creación ha sido la institución encargada de velar por la ciberseguridad en España y de gestionar todos los ciberincidentes que afecten a sistemas que manejan información clasificada, de las Administraciones Públicas y de empresas y organizaciones de importancia estratégica para el país.
Durante este tiempo, el CCN-CERT ha recopilado todos los incidentes y las tendencias de amenazas para la seguridad informática en informes anuales. Como se puede observar en la siguiente infografía, los ciberincidentes registrados han aumentado de forma considerable en los últimos años:
[infogram id=»ciberincidentes-en-espana-2009-2018-1hnp27d37l9y2gq?live»]
Los ciberataques no afectan solo a las grandes empresas
En Hablemos de empresas hemos ido tratando toda la actualidad sobre las mayores ciberamenazas para las empresas y los países más afectados. Incluso hemos abordado cómo pueden afrontar las compañías riesgos potenciales como el phishing, el spear phishing, el cryptojacking y las amenazas APT. Sin embargo, aun existe la falsa creencia de que las pequeñas y medianas empresas no deben preocuparse por la ciberseguridad porque su tamaño no las hace interesantes para los ciberdelincuentes. Dos estudios echan por tierra este mantra:
- El 2019 Data Breach Investigations Report de Verizon revela que el 43% de los ciberataques a nivel mundial van dirigidos a pymes, el 63% de los cuales tiene éxito, desvela.
- El 2019 Global State of Cybersecurity in Small and Medium-Sized Businesses elaborado por Ponemon Institute y Keeper Security, afirma que el 66% de las pymes han recibido ciberataques durante el último año.
No hay que tomarse a broma la ciberseguridad en las empresas, independientemente de su tamaño. Y más cuando la legislación ha endurecido las sanciones por no garantizar la privacidad y la confidencialidad de los datos de personales.
Los costes de un ciberataque
El coste de un ciberataque no solo es el pago de una multa por parte de la empresa (si se descubre que no ha puesto los medios necesarios para evitarlo), existen más factores que afectan a la cuantía:
- Las actividades relacionadas con el descubrimiento del incidente y la investigación del origen y el alcance de este pueden implicar el uso de herramientas o tecnologías que deben comprarse por no disponer de ellas. Tampoco hay que descartar la contratación de un proveedor de servicios especializado en estas situaciones.
- Detener y minimizar el impacto del ciberataque motivará el cierre de equipos y programas afectados. Algo que en muchas ocasiones afectará a la continuidad del negocio. Por ejemplo, cuando un comercio no puede utilizar el software o los dispositivos de terminal punto de venta (TPV), el negocio queda inoperativo.
- La recuperación de los sistemas es vital para restablecer la actividad de la empresa. Restaurar el equipamiento y las aplicaciones será más o menos costoso en función de si quedaron totalmente inoperativos o no: no es lo mismo resetear dispositivos y reinstalar programas desde cero que comprar equipos nuevos.
- Información perdida o robada: la perdida de información estratégica, propiedades intelectuales, histórico financiero, datos de clientes y empleados, etc. es de un valor incalculable. A esto se le suma la posible sanción por la filtración de datos personales sensibles.
- La imagen de marca puede resultar perjudicada y causar, por ejemplo, una disminución de las ventas o contratación de los servicios.
[infogram id=»coste-ciberincidentes-2018-1h7z2lz850gg6ow?live»]
La consultora Accenture, en su informe The cost of cybercrime, estima que en 2018 el coste medio de los ciberataques para las empresas ascendió a 11,6 millones de euros, un 12% más que en 2017. En España la cifra se sitúa entorno a los 7,3 millones de euros de media por empresa en 2018.
Si lo llevamos al terreno de las pequeñas y medianas empresas, el ya mencionado informe 2019 Global State of Cybersecurity in Small and Medium-Sized Businesses, indica que las pymes gastaron una media de 1,3 millones de euros por culpa de los ataques informáticos. No es de extrañar que, según un estudio de Kasperky y Ponemon Institute, el 60% de las pymes que han sufrido un ciberataque desaparecen a los 6 meses.
Imágenes | Steve Buissinne en Pixabay y Blake Wisz on Unsplash