El 86% de las empresas españolas tarda más de una hora en saber que ha sufrido un ciberataque, según se desprende del informe Cyber Readiness Report 2019 presentado hoy por Hiscox, aseguradora especializada en seguros para empresas, a nivel mundial. El estudio analiza la ciberpreparación del tejido empresarial de 7 países: España, EEUU, Gran Bretaña, Alemania, y Holanda (que ya fueron analizados en 2018) y Francia y Bélgica, que se estrenan en el informe por primera vez. Una vez detectado el incidente, la mitad de las compañías españolas (49%) tarda más de 5 horas en detenerlo, y 1 de cada 3 (34%) supera las 8 horas para volver a desarrollar su actividad con normalidad. Concluida la gestión del mismo, el 26% no toma ninguna medida tras el ataque, mientas que un 22% invierte en tecnología de prevención, el 18% en tecnología de detección y un 16% reformula sus programas de respuesta a incidentes.
“Nadie podría imaginar que casi 9 de cada 10 compañías tardaran más de una hora en saber que se ha producido un incendio en una de sus instalaciones o que han robado en su centro de almacenaje, pues esto es lo que está ocurriendo en las empresas españolas cuando hablamos de incidentes cibernéticos. Además, el informe confirma que más del 34% no recupera su actividad hasta pasadas unas 8 horas, una jornada laboral completa, con los costes económicos y de reputación que esto puede conllevar”, ha comentado Alan Abreu, responsable de cyber de Hiscox en España.
Si derivado del ciberataque se han perdido los datos de contacto de los afectados la notificación de la brecha tendrá que hacerse por un canal público
“Los datos del estudio hacen pensar que la mayoría de organizaciones difícilmente podrán dar respuesta a las nuevas exigencias en materia de comunicación de brechas de datos, según se establecen en el RGPD y la nueva LOPD. Así, muchas organizaciones españolas una vez ha pasado el plazo máximo de 72 horas para realizar la debida notificación a la AEPD no dispondrán de los datos que se les requiere, como las circunstancias que provocaron la brecha, naturaleza de los datos afectados, número de afectados, consecuencias sobre los mismos, o las medidas adoptadas para remediar y mitigar tal situación. Este contexto se complicará aún más en aquellas organizaciones que no cuenten con un programa robusto de gestión de riesgos y respuesta a incidentes. Si derivado del ciberataque se han perdido los datos de contacto de los afectados, no es posible identificar a los mismos de forma certera, o los sistemas informáticos han quedado inutilizados, la notificación de la brecha tendrá que hacerse por un canal público, con el consiguiente impacto reputacional”, comenta José Antonio Rubio Doctor Ingeniero en Ciberseguridad y Confianza Digital.
Para profundizar en el nivel de preparación de las empresas en materia de ciberseguridad, en el informe Cyber Readiness Report 2019 ha considerado 4 aspectos evaluados del 0 al 5: tecnología disponible, recursos dedicados, estrategia desarrollada y procesos implementados.
Tras realizar el análisis, el informe concluye que España tiene en su tejido empresarial con un 76% de compañías cibernovatas, un 15% intermedias y un 9% que obtienen la calificación de ciberexpertas, valores muy similares a los resultados del informe publicado en 2018. Entre el resto de países analizados destacan positivamente EEUU y Alemania con un con 11% de entidades ciberexpertas, y negativamente Francia con un 81% de compañías cibernovatas.