Entender que recibirán un ciberataque en cualquier momento ayudará a las organizaciones a asumir que la inversión en seguridad informática ha pasado de ser una opción a una solución estratégica y de negocio.
La pandemia ha tenido muchas consecuencias, pero sin duda ha sido un acelerador para muchos sectores y especialmente para el campo tecnológico. De una forma u otra, ha permitido que procesos que empezaron tímidamente en algunas industrias y con más vigor en otras, tomen fuerza con la digitalización forzosa de prácticamente todo tipo de negocios y empresas y con el uso de datos para atraer negocio y nuevos clientes. Las empresas se están adentrando en entornos cloud –donde el 5G juega un papel esencial- para compatibilizar trabajo presencial y remoto. No es secreto para nadie: 3 millones de trabajadores teletrabajan actualmente en España, y el ecommerce ha aumentado un 36% en 2020, a la espera de que sume otro 24% en 2021 según las previsiones. Teletrabajo, compras online, trabajo en la nube… son tendencias que se han extendido rápidamente en nuestro día a día y en nuestros hábitos de consumo, y que están aquí para quedarse.
Pero esta exitosa –y acelerada- transición a la economía digital también está encontrando algunos obstáculos y riesgos. España es el país del mundo más ciberatacado: solo en 2020 se produjeron 40.000 ataques al día, un 125% más que en 2019, afectando tanto a grandes multinacionales como a autónomos o pymes, que son el 99% de las empresas de nuestro país y el espectro más vulnerable. Los ciberdelincuentes también se están adaptando a las nuevas tendencias: han pasado a utilizar sistemas de cifrado de datos y criptomonedas como forma de pago, y están encontrando formas de que sus ataques se propaguen a sí mismos. A nivel mundial, el coste medio de la brecha de seguridad en 2020 fue de 3,86M de $ según IBM, siendo el sector sanitario el que carga con el mayor importe. De hecho, desde que se aprobara en 2018 el Reglamento General de Protección de Datos (GDPR) en la UE, las empresas están obligadas a dar un paso más a la hora de prevenir posibles fugas de información relativas a clientes o empleados, no solo por una cuestión ética sino porque las multas y sanciones pueden llegar a suponer un problema importante para su liquidez. Por ejemplo, solo en 2020 se recaudaron 158,5 millones de euros en toda la UE por este motivo.
Y es que, entre los principales costes que tienen las empresas, se encuentra el cerrarse a nuevos mercados por la inadaptación tecnológica, perdiendo tanto ingresos como clientes. En España, ese grupo mayoritario que representan pymes y autónomos tiene un problema adicional: al no disponer de herramientas básicas para la investigación y detección del origen de un ciberataque, el mayor coste representa la contratación de urgencia de servicios o programas informativos para poder rastrear la amenaza.
Así, las compañías están afrontando una serie de retos en ciberseguridad que son comunes en todo el mundo. En primer lugar, existe la creencia generalizada de no ser el objetivo de ataques informáticos, es decir, de pensar que “eso no me va a tocar a mí” y por lo tanto de no tomar las medidas adecuadas para prevenirlos. La pregunta no es si tendremos un ciberataque, sino cuándo será, por lo que los actuales procesos de digitalización deben ir de la mano de la seguridad informática. En segundo lugar, en ocasiones no se presta la suficiente atención a los datos, que son una fuente de información muy valiosa de cara a la prevención y protección de las compañías. En un tercer lugar, la inversión en tecnologías de seguridad sigue siendo aún muy reducida, algo que se manifiesta también en una falta de formación de los empleados y miembros del equipo en este tipo de cuestiones, entre los principales focos de riesgo. Por ello, el valor de invertir en personas bajo el concepto de Security Awareness empieza a ganar terreno como medida de prevención y concienciación claramente rentable.
Las compañías están afrontando una serie de retos en ciberseguridad que son comunes en todo el mundo
Se están dando grandes pasos para buscar soluciones transversales, dinámicas y efectivas capaces de prevenir y prever una amenaza con tiempo, estableciendo protocolos de contingencia predefinidos. Incluso algunas compañías están recurriendo al hacking ético para hacer frente a estas ciberamenazas, lo que puede sumar una trinchera más a la posición defensiva de las organizaciones yendo más allá de la anticipación y tratando de detectar potenciales ataques simulándolos previamente. Pero aún hay un largo camino que recorrer para adaptarse a los nuevos tiempos de una forma que garantice seguridad y protección. En este sentido, el reciente Whitepaper de Vodafone Business en colaboración con APD y en partnership con CISCO, titulado Ciberseguridad Rentable, destaca seis medidas básicas para afianzar la protección de una compañía: realizar un diagnóstico de exposición para reducir los puntos de fuga y disminuir riesgos, analizar la vulnerabilidad de la compañía, simular un ataque real para identificar el nivel de ciberdefensa, entrenar a la plantilla en la ciberresiliencia con herramientas de protección, preparar un plan de respuesta fortaleciendo la organización y, en caso de que sea necesario, asociarse a partners especializados capaces de actuar proactivamente y monitorizar los procesos. La seguridad informática debe ser un proceso holístico que vaya desde la dirección de la empresa hasta el empleado recién llegado.
En definitiva, hoy en día la apuesta por la ciberseguridad en la empresa debe ser entendida como un aspecto rentable y competitivo más, y no como una opción o muro de contención de amenazas. Esta debe formar parte del ADN de la propia organización y de la formación de los empleados, con el fin de reducir la superficie de ataque y de tener capacidad de anticipación. No debe sorprender, por tanto, que la inversión en seguridad informática creciera un 10% en España durante 2020, un aumento acorde con el mercado global y con una clara tendencia a la rentabilidad.
Alberto del Sol. Director de Marketing&Innovation Vodafone Business.