Ciberseguridad, una necesidad real

Hay tres preguntas clave que nos tenemos que hacer si buscamos mejorar en cualquier ámbito, ¿cómo estoy yo?, ¿cómo están los demás? y ¿cómo me gustaría estar?

Las respuestas a estas tres preguntas son la base para definir cualquier plan de mejora y también para cimentar una estrategia efectiva en la ciberseguridad de nuestras compañías.

Para responder a la primera pregunta sobre nuestra situación actual, es importante partir de un análisis interno de fortalezas y debilidades, evaluándonos respecto a los estándares de seguridad del mercado de una forma objetiva y medible.

Según estadísticas del Ministerio de Economía, Industria y Competitividad, publicadas en 2018, el 82,9% de las empresas de la Comunidad Foral de Navarra disponen de conexión a Internet y casi la mitad gestionan facturas electrónicas a través de procesamiento automático, convirtiéndose en potenciales objetivos de un ciberataque. Por lo tanto, realizar un auto-diagnóstico debería ser prioritario para conocer nuestro nivel de exposición y madurez en ciberseguridad.

La respuesta a la segunda pregunta tiene una mayor complejidad, ya que requiere conocer la situación del mercado y del sector de nuestras empresas, para disponer de una referencia externa aplicable, que permita identificar las tendencias actuales en ciberseguridad y la situación frente a nuestros competidores, y tener así una base comparativa. En este sentido, el estudio publicado recientemente por el área de Cyber Strategy Transformation and Assessment de Risk Advisory de Deloitte “Las preocupaciones del CISO- El estado de la ciberseguridad en el 2019”, presenta un punto de partida interesante, mostrando el estado de la ciberseguridad de más de 50 empresas españolas y detallando las principales preocupaciones de los CISOs (directores de seguridad de la información y la ciberseguridad). El estudio incluye aspectos relevantes aplicables a todas las compañías navarras, como el porcentaje de inversión en ciberseguridad, la relación directa de dicha inversión con el volumen de ciberincidentes sufridos o la organización interna para la gestión de la ciberseguridad (comité de respuesta a incidentes, personal dedicado a la ciberseguridad, la figura del Delegado de Protección de Datos o DPO, etc.).

Una vez tengamos la respuesta a las dos primeras preguntas y conozcamos la situación de la que partimos y dispongamos, además, de una base comparativa, podremos definir un plan de acción que nos permita llegar al nivel de madurez que establezcamos como objetivo, basado en nuestras necesidades y posibilidades reales. Este plan permitirá tomar decisiones fundamentadas para hacer frente a los ataques cibernéticos actuales y futuros, estableciendo una estrategia de seguridad en nuestras compañías.

El estudio de Deloitte indica que el 76,19% de las empresas han sufrido un incidente cibernético con consecuencias importantes en los últimos seis meses. Además, se sabe que el cibercrimen ya supone más de 500.000 millones de euros de coste anual para las empresas a nivel mundial. En España, según el Instituto Nacional de Ciberseguridad de España (INCIBE), también se intensifican los ciberataques. Solo durante el año 2018, se registraron 123.000 incidentes, cifra récord, un 6,7% superior al año anterior y cada incidente de seguridad cuesta a las pymes españolas una media de 74.000€.

Los ciberataques son cada día más complejos y nadie está libre de sufrirlos. Pero las consecuencias una vez se materializan estos ciberataques son y serán las mismas para nuestras compañías (fuga de datos sensibles, paradas en la actividad, impacto reputacional, etc.). Así pues, definir una estrategia que permita preparar a nuestras compañías para detectar, proteger y en caso de finalmente sufrir el ataque, poder gestionarlo de una manera efectiva para minimizar su impacto en nuestras compañías, permitirá que seamos más seguros, ya que el objetivo del plan es definir una estrategia a largo plazo, estableciendo las bases para definir la estrategia del presente, para gobernar las amenazas del futuro.

En definitiva, para evitar tener que tomar medidas y cruzar los dedos para estar dentro de ese ínfimo porcentaje de empresas que no van a ser tarde o temprano objetivo de algún ataque, o dar palos de ciego con iniciativas en ciberseguridad que realmente no respondan a una necesidad real de nuestras compañías, es fundamental comenzar a dar los primeros pasos para definir una estrategia en ciberseguridad basada en las tres preguntas.