Los ataques cibernéticos cuestan 600.000 millones de euros, un 33% más que hace dos años

MARSH presentó el informe ‘Avanzando en la gestión del riesgo cibernético: de la seguridad a la resiliencia’, realizado junto a Mandiant, una compañía de Fire Eye, en el que se analiza el ciberriesgo y el panorama regulatorio mundial. Javier Ybarra, director de Riesgos Financieros y Profesionales, destacó un dato clarificador del informe: "A veces no crecen a la misma velocidad la inversión en tecnología que los riesgos que se están materializando".

De hecho, el coste de los ataques cibernéticos en 2018 fue de 600.000 millones de euros, un 33% más que en 2016, mientras que las inversiones vinculadas a la ciberseguridad solo aumentaron un 10%. Además, revela una tasa de crecimiento de los usuarios de internet 10 veces más rápida que la de la población de 2016 a 2018, lo que supone un aumento de las posibilidades para que ocurra un ataque o para que existan ciberdelincuentes.

De ahí la necesidad de aumentar la inversión en estrategias de seguridad con respecto a los riesgos cibernéticos, puesto que hay una gran divergencia entre el aumento de los delitos y sus correspondientes medidas y, en una economía cada vez más digital, las amenazas cibernéticas y las vulnerabilidades evolucionan rápido. Desde MARSH señalaron la necesidad de que las empresas se conciencien en cuanto al riesgo real y al impacto tanto operacional como financiero que los ataques cibernéticos pueden implicarles. "Nadie está exento de que vaya a suceder un incidente" por lo que la protección es de carácter vital para reducir costes tanto financieros como reputacionales.

Desde MARSH destacan la necesidad de que las empresas se conciencien en cuanto al riesgo real y al impacto tanto operacional como financiero que los ataques cibernéticos pueden implicarles. "Nadie está exento de que vaya a suceder un incidente" por lo que la protección es de carácter vital para reducir costes tanto financieros como reputacionales.

En este sentido, Ybarra aportó otro dato crucial: el 69% de los ataques tienen una motivación exclusivamente económica. Según expuso, "la ciberseguridad debe ser una prioridad estratégica» pero el problema con la falta de inversión en la protección de ciberataques por parte de las empresas viene dada por el cambio cultural que estamos experimentando, por ello es importante adoptar una cultura de ciberresilencia", indicó el directivo.

"Estamos viviendo un cambio de cultura con la entrada a la economía digital y hay que trabajar en el desarrollo cultural para que se materialicen las inversiones. El seguro de ciberriesgo es el seguro de incendios del siglo XXI", aseveró Ybarra que subrayó que el mercado asegurador está ya adaptando su oferta a estos nuevos desafíos que plantean un cambio tanto estructural como social. Según estimaciones publicadas en el informe, el valor de las primas de seguros de ciberseguridad van a experimentar un aumento de hasta el 20,1% para 2020 con respecto a su valor en 2014, lo que supone un crecimiento hasta tres veces más acelerado que el mercado general de seguros.

El documento, cuyas principales conclusiones también fueron expuestas por Macarena Bandrés, especialista del equipo de Riesgos Financieros -área de ciberriesgo, destaca los principales factores que incrementan el ciberriesgo y las complicaciones que impactan en la resiliencia de las multinacionales con operaciones en diferentes geografías y con diferentes jurisdicciones. También subraya la necesidad de que los modelos de negocio actuales redefinan una cultura de trabajo de resiliencia como estrategia principal, al mismo tiempo que construyen la resiliencia cibernética desde una perspectiva de gestión del riesgo de principio a fin.

Bandrés explicó la segunda parte del informe, que trabaja la metodología para la gerencia del riesgo cibernético, para la cual existen tres imperativos: entender (las amenazas y/o regulaciones, tanto de la propia organización como del sector), medir (cuantificar el impacto económico y contrastar con el nivel de tolerancia al riesgo aceptado ya que "ante una crisis se requiere rapidez y eficacia en la respuesta, para lo que se dio a conocer varias herramientas del bróker para medir el riesgo") y gestionar («definir un plan de acción adecuado para protegerse, asegurarse y recuperarse»); tres parámetros que se expusieron en base a un análisis de ciertos casos de ataques ciber en empresas en estas tres vertientes.

"Dado que los ciberataques y/o incidentes son inevitables, estar adecuadamente preparados es lo que distingue a las organizaciones resilentes del resto en gestión del riesgo, disminución de su impacto y la velocidad de recuperación", aseveró.

Por ello, a la hora de entender, hay que observar las tendencias que existen en el riesgo y que lo aumentan, las cuales son muchas pero sobre las que destacan especialmente dos: la ingeniería social, la cual ha ganado protagonismo (más del 90% de las brechas de seguridad son provocadas con ingeniería social -principalmente pishing a través de correos electrónicos), por lo que priorizar la concienciación y formación de los empleados resulta crítico para las organizaciones; y la normativa de protección de datos personales, puesto que el nivel de exigencia del cumplimiento normativo en materia de protección de datos de carácter personal se están viendo incrementados a nivel internacional, hasta el punto de que la UE ha dado un paso importante con la GDPR de efectiva aplicación desde mayo de 2018 y que incorpora un severo régimen sancionador.

Acceso al informe 'Avanzando en la gestión del riesgo cibernético: de la seguridad a la resiliencia'