Ciberriesgos, una cuestión más allá de la tecnología
La revolución tecnológica en la que estamos inmersos en la actualidad trae asociados unos riesgos, ligados a dos pilares principales: tecnología e información. Por una parte, existe una creciente dependencia de los negocios en las redes informáticas y la tecnología, y por la otra, se añade la inmensa cantidad de activos digitales y de datos privados que las empresas recogen y almacenan. Los avances traen consigo grandes mejoras, pero nos volvemos dependientes de ellos. Pero, ¿qué pasa si se estropea? ¿O los roban?
Jordi Ferrer, miembro de la unión de Brokalia, Jose Silva y Ferrer&Ojeda –
Para Ferrer, esta dependencia hace que el riesgo sobre estos dos pilares fundamentales para la empresa, que derivan de la tecnología y su uso, trascienden su ámbito para convertirse en un riesgo empresarial de primer nivel, y manifiesta que “si sólo por su componente accidental ya debería captar nuestra atención, resulta que dichos activos son un atractivo y a la vez una puerta de entrada para malhechores, que incrementan el riesgo. Si lo equiparamos con el riesgo de robo, la revolución tecnológica nos ha convertido a todos en joyerías”.
PREGUNTA: ¿Qué características ha de reunir el profesional o la entidad empresarial para ser un objetivo del ciberataque?
Sólo con que tengamos datos sensibles o necesarios para nuestro negocio, o dependamos de nuestros sistemas informáticos para trabajar, ya somos un blanco valioso. Las organizaciones criminales se han dado cuenta que bloquear nuestros sistemas o robar nuestra información es un negocio muy rentable, pues estamos dispuestos a pagar un alto precio por recuperarlos, o simplemente caemos fácilmente en sus trampas sin darnos cuenta. Y para ellos es tremendamente sencillo; de forma remota y casi sin esfuerzo tienen acceso a incontables oportunidades de ataque.
La realidad es que cualquier empresa, independientemente de su tamaño o sector, puede verse afectada. Los estudios señalan que PYMES y microempresas son el objetivo del 70% de los ciberataques en España. Cualquier organización, empresa o trabajador autónomo está bajo la amenaza de un ciberriesgo por la mera utilización de internet y el normal uso de hardware y software.
Solo con que tengamos datos sensibles o necesarios para nuestro negocio, o dependamos de nuestros sistemas informáticos para trabajar, ya somos un blanco valioso
Hoy la ciberseguridad es un serio problema de riesgo corporativo que afecta prácticamente a todos los niveles de actividad. Tres características hacen que la naturaleza de esta amenaza sea especialmente formidable: su complejidad y velocidad de evolución, el considerable potencial de daño financiero, competitivo y reputacional, y el hecho de que, como siempre, la protección total es un objetivo poco realista.
¿Cómo debe actuarse en temas de ciberseguridad en una PYME o profesional autónomo?
La ciberseguridad es una cuestión de gestión de riesgos en toda la empresa que debe abordarse desde una perspectiva estratégica, interdepartamental y económica. Los riesgos cibernéticos deben evaluarse de la misma manera que una organización evalúa la seguridad física de sus activos humanos y físicos y los riesgos asociados a su posible afectación.
Con impacto en un número creciente de temas -la continuidad del negocio, la privacidad del cliente y el ritmo de la innovación, por nombrar sólo algunos- está claro que los actuales modelos operativos para combatir los ataques no están a la altura. A menudo, se basan en el cumplimiento de normativas y centrados sólo en tecnología. En su lugar, deben estar basados en la colaboración en todas las funciones empresariales.
Cualquier organización, empresa o trabajador autónomo está bajo la amenaza de un ciberriesgo por la mera utilización de internet y el normal uso de hardware y software
Eso requiere una participación activa por parte del CEO y otros altos mandos de la organización que comprendan los amplios riesgos estratégicos de la inacción y que puedan catalizar el cambio.
¿Existe alguna responsabilidad de carácter legal cuando una empresa o profesional sufre unciberataque?
Sí. La Ley de Sociedades de Capital establece que la ciberseguridad forma parte de la estrategia de negocio, ya no es un tema de índole técnica que deba delegarse al área de Seguridad y Sistemas, sino que debe tratarse en el seno del Consejo de Administración. Por lo que puede ser objeto de responsabilidad la negligencia u omisión en este ámbito para la gerencia de una empresa.
Y especialmente, el nuevo Reglamento de Protección de Datos de la Unión Europea viene a incrementar la presión regulatoria al establecer, como punto fundamental, la obligación de notificar los incidentes, equiparándose así a la legislación americana, e introduce cambios en las sanciones pasando a ser éstas de hasta un 4% de la facturación de la sociedad. En definitiva, ser negligente o no tener un correcto plan de actuación en esta área es susceptible de sanciones e incluso imputación penal.
¿Y este riesgo es siempre externo y ajeno al control empresarial o profesional?
En gran parte sí, como mínimo el origen. Pero hay un factor humano muy importante que no debemos olvidar, como responder a un email fraudulento o pinchar un link sospechoso. Además, el ciberriesgo no se limita a los ataques – perder un pendrive con información sensible es también un riesgo ligado a la tecnología y los datos-. Las estadísticas muestran que el 35% de los incidentes cibernéticos se producen dentro de la propia empresa, causados por el factor humano. Puede ser por falta de formación, elusión de los protocolos internos, negligencia en la gestión de la información y su confidencialidad, de forma intencionada, por incompetencia, etc.
El recorrido en las empresas en términos de prevención y concienciación es amplísimo y una asignatura pendiente. No podemos cruzar los dedos y desear que no nos pase nada, hay que actuar
¿Cómo puede producirse un ciberataque y qué podemos esperar de el?
Las formas en que se produce un ciberataque se diversifican constantemente, pero las más habituales son infectar a través de un archivo, redireccionar a webs infectadas, instalar pasarelas de pago falsas, o atacar el sistema informático con la finalidad de interrupción del negocio. Una vez recibido el ataque, las repercusiones sobre la actividad y patrimonio de una empresa suelen afectar en forma de responsabilidades o daños.
Las responsabilidades se pueden cuantificar a partir de las reclamaciones de terceros perjudicados, así como por cumplimiento de las regulaciones específicas que hemos comentado. Pero también los daños se cuantificarán sobre las pérdidas en las que incurra la actividad de la empresa hasta recuperar la situación anterior al suceso derivado del ciberriesgo, Y muy importante es tener en cuenta, además, los costes en los que tenga que incurrir para solventar el incidente: contratar equipos de informática forense para identificar los problemas, contratar empresas jurídicas para ayudar a abordar las obligaciones legales, establecer centros de atención telefónica para asistir e informar a los clientes, una pérdida de ingresos, o diversos otros costes en los que se incurre simplemente al intentar reemprender las actividades normales. Pero también hay que tener en cuenta los daños a la reputación, que puede resultar lo más nocivo en cuanto a pérdida de confianza de los clientes.
¿Qué pueden hacer las empresas y especialmente los Administradores de Fincas Colegiados colegiados para evitar un ataque informático?
Lo cierto es que, aunque parezca algo fuera de nuestro control, hay mucho por hacer. La solución es de doble enfoque: prevención y transferencia.
Antes que nada, es esencial disponer de una buena prevención: Identificar cuáles son nuestros activos clave, proveer formación continuada al personal en concienciación seguridad y compliance en medios TIC, establecer protocolos de comunicación claros, especialmente entre Dirección y Áreas críticas, realizar una due diligence contractual con proveedores críticos, desarrollar manuales de crisis y protocolos de respuesta, evaluar las opciones de apoyo en caso de producirse un incidente, etc. El recorrido en las empresas en términos de prevención y concienciación es amplísimo y una asignatura pendiente. No podemos cruzar los dedos y desear que no nos pase nada, hay que actuar.
Ser negligente o no tener un correcto plan de actuación en esta área es susceptible de sanciones e incluso imputación penal
Además de todo este buen trabajo de prevención y mitigación, es importante estar preparado ante una crisis y disponer de respuestas de antemano. La prevención y la formación no eliminan el riesgo, sólo lo limitan. No olvidemos que los cibercriminales aprovechan las debilidades que presentan los sistemas informáticos y las plataformas tecnológicas, y esto es algo imposible de solventar, puesto que cada día evolucionan. Sólo el hecho de desarrollar una nueva app o programa informático, genera nuevas vulnerabilidades en los sistemas. Por todo ello, transferir el riesgo a una entidad aseguradora con una cobertura de ciberriesgo ofrece la tranquilidad de contar con un servicio especializado de primera respuesta, y de poder garantizar la asunción económica de costes, pérdidas y otras consecuencias.
¿Qué ventajas ofrecen los seguros contra un ataque informático?
Comparémoslo con el riesgo de incendio: instalamos extintores, detectores de humo, pasamos auditorías, y los empleados tienen formación sobre prevención y sobre cómo actuar en caso de incendio. Pero por muy buena que sea la prevención y los sistemas de extinción, somos conscientes que el fuego se puede producir, y contratamos un seguro para la empresa, que entre otras cosas, cubre el incendio.
En el caso ciber debería ocurrir igual, pero nos paramos mucho antes: instalamos antivirus, firewalls y protocolos informáticos de seguridad. Debería existir un manual de crisis en la empresa y los empleados deberían tener formación sobre utilización de medios tecnológicos y cómo actuar en caso de incidente, pero generalmente no la tienen. Deberíamos ser conscientes que por muy buenos informáticos que tengamos, un ataque o incidente se puede producir; y aun así no nos cubrimos las espaldas.
Por supuesto, es una decisión de negocio. Pero en ningún caso se debe suplir una cosa con la otra, esto es, dejadez en la prevención y contratar el seguro para que nos “salve”. De hecho la compañía aseguradora lo impediría, ya que audita nuestros sistemas antes de darnos cobertura. Igual que hace con un seguro de robo. No podemos dejar la puerta abierta y contratar un seguro. Nos pedirán que, como mínimo tengamos alarma, y los accesos protegidos. Al fin y al cabo el primer interesado en que no nos roben deberíamos ser nosotros.
Y lo podemos ver como una ventaja: el seguro de ciberriesgos nos puede servir en 3 fases. Primero, tener cierta confianza en que nuestros sistemas de seguridad informática son buenos. Segundo, tener cubierta la primera respuesta cuando se produzca un incidente y no sepamos qué hacer. Y tercero, la tranquilidad de que tendremos un respaldo económico para los perjuicios que no se hayan podido evitar.