Los ciberataques crecen un 400% y sitúan la cobertura de riesgos en el centro de los negocios

Los ciberataques emergen como uno de los tres grandes riesgos y amenazas de las compañías españolas ante el despegue del cibercrimen, una industria cada vez más lucrativa. La nueva revolución tecnológica y la imparable transformación digital han situado la ciberseguridad en el centro de los negocios y como un asunto decisivo por su creciente impacto en la cuenta de resultados de las empresas. Los riesgos ciber nunca ha sido tan visibles y las brechas críticas y los ciberataques están a la orden del día, con un crecimiento del 400% desde la pandemia y pérdidas económicas estimadas en 265.000 millones de dólares para el año 2031.

Cada vez hay más conciencia de que las estrategias de ciberseguridad y protección digital son un objetivo prioritario para la supervivencia de las organizaciones, particularmente crítica en el caso de las pymes. La prevención está en el foco para que los daños económicos no sean irreversibles. Poder responder ante cualquier agresión o ciberataque requiere una gestión de riesgos y coberturas adecuada. Este cambio de paradigma y cultural hacia un mundo digital mejor y 'más confiable' ha quedado patente en el VIII Foro de Ciberseguridad: La seguridad, soporte de la nueva revolución tecnológica en la empresa celebrado este viernes por elEconomista.

El evento ha contado con la apertura institucional a cargo de Ignacio González Ubierna, Subdirector de NCC de INCIBE y la participación de directivos de empresas de ciberseguridad, ingeniería, banca o seguros debatieron sobre el potencial de la economía digital y los retos que enfrentan para su desarrollo. La mesa de debate, patrocinada por Telefónica, Marsh y DXC Technology, y moderada por Antonio Lorenzo, director de elEconomista Digital 4.0, ha contado con la participación de Paula Guevara, Cyber Growth Leader de Marsh en España; Rodrigo Blanco, Senior Director, Head of Information Security de Radisson Hotels Group; Mikel Salazar, director de Ciberseguridad de DXC Technology; Javier González Pascual, director Information Security Governance, Risk & Compliance de CaixaBank y Sergio de los Santos, director del área de Innovación y Laboratorio de Ciberseguridad y Cloud de Telefónica Tech.

Seguridad es confianza digital

La pandemia ha acelerado los planes de transformación digital de las compañías pero también los riesgos y amenazas. La empresa española y la sociedad han dado pasos de gigante hacia la digitalización pero la tecnología también nos ha hecho más vulnerables a los ataques de los cibercriminales y a su significativo aumento.

Esta 'tormenta perfecta' hace que las empresas que no invierten en ciberseguridad queden, directamente, fuera del mercado. Mikel Salazar, Director de Ciberseguridad de DXC Technology, cuenta con una visión privilegiada y acceso a más de 4.000 clientes a lo largo del mundo. Desde esta perspectiva, el panorama, concluye "es muy claro": las amenazas se incrementan. Las elecciones en más de 70 países también complican mucho la situación porque los cibercriminales están realmente haciendo negocio. Desde 2020 se han incrementado los ataques en un 400%, con lo que implica grandes costes financieros y riesgos reputacionales de las marcas. Hay dos tipos de compañías: las que han sido atacadas y las que lo han sido y no lo saben. La pérdidas financieras también son enormes, 265.000 millones de dólares estimadas para 2031. Faltan 4 millones de profesionales en ciberseguridad y el cumplimiento normativo dibuja también importantes desafíos".

Desde 2020 los ciberataques se han disparado un 400%, con los consiguientes costes financieros y reputacionales

En este sentido, Rodrigo Blanco, Senior Director, Head of Information Security de Radisson Hotels Group, asegura que asistimos a una situación que califica como "inédita". "Se dan de forma paralela dos efectos contrapuestos. Por un lado, el cibercrimen es una industria tremendamente lucrativa, que presiona a las empresas y las obliga a protegerse frente a un negocio basado en comprometer sus datos y su seguridad. Pero, por otro lado, la digitalización avanza a un ritmo imparable y sin retorno. Nunca visto. La unión de ambos efectos hace que el desafío de las compañías sea tremendo. Para poder protegerse de los ciber-riesgos hay que priorizar. Nuestra profesión es, en realidad, la de ser gestores de riesgos".

Una opinión compartida por Paula Guevara, Cyber Growth Leader de Marsh en España, quien matiza que "se trata de riesgos que está ahí desde que existe la tecnología pero que han tomado una mayor  relevancia en los últimos años. Las organizaciones son más conscientes de que es un riesgo estratégico para ellas, así es como se debe ver. Desde Marsh tratamos de acompañar a nuestros clientes en esa gestión de la ciberseguridad. Al final, todos sufriremos un incidente cibernético, lo importante es estar preparados para hacerle frente de forma adecuada", explicó.

Entre los sectores más vulnerables y también atacados figura el financiero. Javier González Pascual, director Information Security Governance, Risk & Compliance de CaixaBank, asegura que "cada año tenemos más ataques y los fraudes aumentan. La revolución tecnológica está aquí, los clientes nos piden los mejores productos y, para ofrecérselos, tenemos que usar las mejores tecnologías. La clave está en analizar de forma adecuada el riesgo y, para ello, debemos tener a una visión más continúa y menos estática. Tenemos que poner el acento en los controles necesarios para poder mitigarlos", señala.

Una adecuada gestión del riesgo

Aunque hay muchos más ataques, más sofisticados y destructivos, Sergio de los Santos, director del área de Innovación y Laboratorio de Ciberseguridad y Cloud de Telefónica Tech, se muestra optimista. "Llevo más de 20 años en el sector y debo reconocer que hemos mejorado en muchos aspectos. El riesgo siempre ha estado ahí pero antes no teníamos herramientas para poder combatirlo". En su opinión, ahora "el riesgo es el mismo y el impacto es mayor (puede echar abajo directamente el negocio), pero tenemos la mejor tecnología que hemos tenido nunca para defendernos. Yo soy técnico y los productos son cada vez más sofisticados.

El discurso, advierte De Los Santos, ha cambiado mucho: "antes, teníamos que pelearnos para incluir una capa de ciberseguridad la ciberseguridad, ahora ya no se discute. Somos plenamente conscientes y hemos perdido la vergüenza a decir que hemos sido atacados, hemos compartido mucha información en la industria. Tenemos, por tanto, todas las herramientas y la actitud adecuada para poder hacer frente al problema".

En definitiva, los expertos lo tienen claro: todas las compañías están siendo atacadas, sean o no conscientes de ello. "Una buena estrategia de ciberseguridad no consiste simplemente en gastar más, sino en hacerlo mejor y en contar con una adecuada gestión de riesgos. Es decir, hacer una medición y evaluación continúa para decidir dónde es necesario invertir más", confirma González Pascual. La gestión de riesgos es una decisión, ante todo, de negocio.

El desafío es traducir los riesgos 'ciber' en riesgos operacionales para traducir su impacto económico en la cuenta de resultados. "Es importante que las compañías tomen decisiones documentada e informadas. Hay riesgos de ciberseguridad sistémicos y otros de segunda", añade Blanco.

También pasa por entrenar y formar a empleados y usuarios para mitigar en lo posible los errores humanos y conocer al enemigo. El coste de atacar no es comparable al coste de defender. Antes, la seguridad era preventiva, pero ahora las compañías ya hablan de ella en términos de resiliencia: asumen que se van a ver comprometidas, por lo que su análisis pasa por ver cómo pueden prevenir las amenazas y recuperarse de los ataques de la forma menos dolorosa posible. 

La seguridad está cada vez más en el centro del negocio y en la toma de decisiones estratégicas como un pilar fundamental de la transformación digital y una "una palanca fundamental desarrollo y de mejora de la competitividad" de la mano del profesional responsable de velar por ella en las empresas: el CISO (Chief Information Security Officer), un interlocutor clave para hacer llegar las demandas a los comités directivos de las compañías.

A esta mayor concienciación empresarial en torno a la ciberseguridad se suma una legislación cada vez más extensa con reglamentos como DORA (Digital Operational Resilience Act), la propuesta legislativa de la Unión Europea para mejorar la ciberseguridad y la resiliencia operativa de las entidades financieras en el ámbito digital.23 mar 2023 y las regulaciones y estándares de cumplimiento, como el Reglamento General de Protección de Datos (GDPR) en Europa, que han impulsado la necesidad de contar con profesionales en ciberseguridad para garantizar la protección de los datos y el cumplimiento de las regulaciones.

Puede ver la jornada completa aquí: