Socio Director de S2 Grupo 

Hace unos días se publicó una noticia por Europa Press, basada en un estudio de British Telecom, diciendo que las empresas europeas están a la cola mundial en materia de ciberseguridad. Sólo un 20% de los líderes empresariales europeos perciben la seguridad como una prioridad principal, frente al 41% de EEUU y el 30% mundial. Evidentemente, el estudio se centra en las áreas más desarrolladas del mundo en materia de tecnología.

No es sólo una cuestión de prioridad: sólo el 58% de las empresas europeas es capaz de medir el retorno de inversión en ciberseguridad, frente al 90% de las empresas estadounidenses. ¿Qué temen los empresarios cuando se trata de ciberamenazas? Las amenazas internas accidentales (pérdidas o destrucción de información), el ‘hacktivismo’ y el crimen organizado. Es decir, la pérdida o robo de información, considerada como un activo valioso. La cuestión es ¿por qué existe tanta diferencia en la prioridad otorgada a la seguridad por los europeos frente al resto de áreas tecnológicamente avanzadas, especialmente EEUU?

En mi opinión, se debe, probablemente, a que en EEUU se valora más la capacidad de generar dinero que tiene el conocimiento, lo que se demuestra en la mayor inversión en I+D, tanto en términos absolutos como porcentuales, y también que están más engrasados los procesos que van desde las ideas hasta el mercado: transferencia tecnológica, creación de empresas y obtención de inversión y financiación.

Por otra parte, hace una semana, el Gobierno español constituyó el Consejo de Ciberseguridad Nacional, cuyo objetivo es garantizar el uso seguro de las redes y sistemas de información, mediante el fortalecimiento de las capacidades de prevención, detección y respuesta a los ciberataques. Aunque la presidencia de este Consejo es rotatoria, lo que no dice mucho a favor de la coordinación entre los diferentes departamentos implicados, está claro que, para el Gobierno, las ciberamenazas también son reales.

No es extraño que se produzca este movimiento, visto lo que está ocurriendo con las escuchas legales e ilegales entre Estados, la participación en el espionaje de las grandes multinacionales del sector de las tecnologías de información y, en resumen, la constatación de que muchas de nuestras paranoias tienen una base real cada vez más indudable.

Ambas noticias son positivas y, juntas, son una buena indicación de que el mundo empieza a darse cuenta de la que se nos ha venido encima.

Siempre es mejor aceptar la realidad y tomar medidas hasta donde seamos capaces, pero gestionando los riesgos en lugar de ignorarlos. En nuestra empresa, S2 Grupo, llevamos años trabajando en el área de concienciación en materia de ciberseguridad, y podemos afirmar que, aunque todavía queda mucho camino por recorrer, especialmente entre las Pyme, los empresarios y directivos empiezan a tener claro que las amenazas son reales y que se puede perder mucho en un incidente de ciberseguridad.

Quizás, la mejor manera de valorar el impacto de uno de estos incidentes sea tratar de analizar el coste de sus consecuencias. Para ello, podemos distinguir entre diferentes tipos de incidentes.

En primer lugar, aquellos que involucran la difusión de información confidencial, tanto de clientes de la organización, como de información relativa a los productos o nuevos desarrollo de la empresa. En estos casos, los estudios demuestran que el conocimiento del incidente por parte del público produce un impacto económico negativo en la empresa. Este impacto se mide mejor en las empresas cotizadas en Bolsa, en las que se produce una pérdida de valor en el precio de las acciones, pero también se traduce en pérdida de negocio en cualquier tipo de empresa.

En segundo lugar están los incidentes que no afectan a ninguna información confidencial. En tal caso, no parece que haya, hoy por hoy, un impacto negativo en el mercado, aunque se hagan públicos. Sin embargo, estos pueden afectar a la propia infraestructura tecnológica y a la continuidad de negocio, con las consiguientes pérdidas económicas.

En tercer lugar cabe citar los incidentes que suponen un incumplimiento de las leyes vigentes y están sujetos, por tanto, a una sanción. La ley más conocida en este ámbito es la de Protección de Datos de Carácter Personal, cuyas sanciones son de conocimiento general y en cuya discusión no vamos a entrar pero, con el tiempo, serán mucho más importantes las consecuencias derivadas de la vulneración de datos de terceros y las posibles demandas por daños y perjuicios.

Por último, no hay que perder de vista la existencia de los ataques mediante APT (amenazas permanentes), que se instalan en las infraestructuras tecnológicas y quedan en estado latente, pasando desapercibidas hasta que, en los momentos oportunos, van filtrando la información confidencial a los delincuentes. En ocasiones, durante años.
En resumen, creo que queda claro que sí, que la ciberseguridad es un asunto serio.

www.s2grupo.es