_
_
_
_
Desayunos Cinco Días

La ciberseguridad como reto de la empresa y de la sociedad

Prevención, formación e inversión son los pilares para establecer una correcta defensa contra los ciberataques. Los riesgos han crecido con el desarrollo de la digitalización

Los ciberataques se han convertido en una cotidianidad. Gobiernos, empresas, instituciones, organismos, personas... Todos estamos expuestos a un ataque informático, y es más habitual de lo que pensamos. En un mundo más globalizado, digitalizado y conectado, las puertas de acceso son más amplias.

Moody’s acaba de publicar un informe donde advierte que más de 70 sectores se enfrentan a ciberataques en todo el mundo. La mayor amenaza se dirige a bancos, operadoras de telecomunicaciones, tecnológicas, hospitales, empresas químicas, de energía y de servicios de transporte, y a las infraestructuras de electricidad, agua y gas. Hace unos días tres hospitales catalanes quedaron sin sistema informático por un ataque.

La Comisión Europea estima que los costes vinculados a la ciberdelincuencia en el mundo alcanzaron en 2020, primer año de la pandemia, los 5,5 billones, el doble que en 2015. El daño causado va más allá de la economía y las finanzas. “Afecta también los cimientos democráticos de la UE y amenaza el funcionamiento básico de la sociedad”, según la Comisión. Para el Foro Económico Mundial se encuentra entre las 10 principales amenazas del planeta.

Cinco Días en colaboración con Zurich Seguros celebraron un desayuno bajo el título Ciberseguridad: estrategias y herramientas frente a una amenaza constante, donde representantes de diferentes sectores abordaron la problemática y dieron respuestas sobre la forma de actuar contra un ataque cuando ocurre y, sobre todo, hablaron de la necesidad de establecer las líneas rojas para evitar que ocurra; es decir, de prevenir.

Roberto Tous, head of speciality lines de Zurich Seguros arrancó el debate poniendo en contexto la importancia que en la actualidad tiene la ciberseguridad. “Está en el top tres de los riesgos en las agendas de los consejos de administración”, dijo.

Augusto Pérez, director de riesgos y seguros corporativo de Telefónica, especificó que existen algunas diferencias entre grandes empresas y pymes. “En las grandes corporaciones la gestión de riesgos es algo fundamental. Antes se consideraba como una amenaza emergente; ya no”. “Las pymes van con cierto retraso, algunas tienen falta de recursos y otras se mueven más por experiencia propia”.

Formación para todos

Daniel Hernández, director de risk advisory en Deloitte, añadió que hay algo común a las grandes compañías y las pymes, y es en la necesidad de “formación y capacitación”, “El factor humano es clave para la gestión del riesgo”, expuso.

Eduard Terradas, chief technology officer de Filmin, desveló que cada día “bloquean un millón de peticiones maliciosas”. “Esto para una pyme es un riesgo muy alto; el beneficio será mayor si invierten en protección”. Y advirtió: “la ciberseguridad es un sector económico en sí mismo porque puede conseguir rentabilidad con datos sensibles”.

Para los expertos la clave está en la prevención. Lo primero “es entender el perfil de riesgo de cada uno y del negocio”, dijo Augusto Pérez. Aunque “no hay ninguna actividad que esté libre de sufrir un ciberataque”, matizó Roberto Tous.

Acotar tiempos

Eduard Terradas contó que “la media de detención de un ataque es de unos seis meses”. En su opinión, “una de las cosas que hay que conseguir es acotar el tiempo”. En cualquier caso, cuando se es víctima de esta situación Terradas reconoce que “hay cosas que son irrecuperables”.

En este campo, la protección a través del seguro es una herramienta clave, aunque en ocasiones resulta complicado. “Pueden surgir problemas con el departamento tecnológico, ya que contratar una cobertura es como decir que no está haciendo bien su trabajo”, expuso Pérez.

Roberto Tous reconoció que algunas veces “al interlocutor le cuesta aceptar la necesidad de cubrir ese tipo de riesgo”. “Se necesita madurez de las empresas, sobre todo en las pymes”.

El representante de Zurich Seguros apuntó que el objetivo de la compañía es "reducir la distancia frente a los ciberataques, acelerando nuestros servicios para prevenir y proteger a largo plazo”. “Si la empresa decide transferir la protección a la aseguradora, nosotros tenemos el reto de estar a la altura, de ser constante en la evolución de las proposiciones y la oferta para mejorar la protección”.

Daniel Hernández reveló que el 83,9% de las pólizas son de pymes que facturan menos de 10 millones de euros, y paradójicamente probablemente sean “las que sufren ataques más masivos”. E hizo un llamamiento en este sentido: “para atacar tienes todo el tiempo del mundo, pero para defenderte no”.

Por otro lado, Hernández comentó que la tendencia en la demanda de servicios en el sector asegurador está cambiando. “La protección de las compañías va encaminada a las coberturas complementarias, además de las tradicionales”.

El representante de Telefónica confirmó este movimiento. “Se va más allá de la cobertura financiera”. “Es una parte de servicio que se puede clasificar como una parte de resiliencia”. “Las aseguradoras están muy preparadas, tienen profesionales y con una disponibilidad de 24 horas los siete días a la semana”.

Herramientas

Sin embargo, Tous reconoció que en el sector “el ratio de éxito de activación de servicios preventivos es muy bajo, y es algo que aporta un valor muy importante a la compañía. Es otro de los retos que tenemos; intentar que se active de manera exitosa”, manifestó.

“Hay un amplio abanico de herramientas para hacer frente a los delincuentes, aunque las pymes que facturan por debajo de los 10 millones probablemente no tengan ni las más simples”. apuntó Daniel Hernández.

Cuando los hackers hacen acto de presencia se debe actuar con celeridad. “Hay que intentar improvisar lo menos posible y no menospreciar, por ejemplo, el impacto de la reputación o a terceros”. “La gestión de la crisis es un montón de disciplinas coordinadas con unos planes ensayados”, expuso Hernández.

Para el representante de Zurich Seguros, “el ciberriesgo es como una mancha de aceite, ya que no se trata en sí de un ataque a los datos, sino también en cómo puede afectar a otros”. Y ese es el análisis que debe hacerse para establecer una protección.

La manera en la que actúan los delincuentes ocupó una parte del encuentro. Hay hechos como una mayor utilización de las redes sociales, la computación en la nube, o el teletrabajo que han incrementado las posibilidades de ataque. “A veces los hackers pueden comprar los datos, de usuario y contraseña, de un empleado insatisfecho con su compañía. ¿Cómo sabes que se está haciendo un comportamiento anómalo? A veces no es tan sencillo”, comentó Hernández.

Por eso, Eduard Terradas consideró que “es importante informar y formar a las personas”. “Nosotros intentamos enviar ejemplos sobre lo que está ocurriendo”, “Hay un abc, incluso para las pymes, para asegurar el perímetro, como es la doble autentificación.”

El Parlamento Europeo considera que el ransomware (los delincuentes encriptan los datos de una organización y exigen un pago para recuperar el acceso) es “la amenaza más preocupante en la actualidad”. Los datos son alarmantes: en 2021 el coste global por este tipo de ataque fue de 18.000 millones de euros, 57 veces más que en 2015, con un pago medio de 150.000 euros.

Aquí entra en juego la normativa. “El pago del rescate es un otro reto de componente legal, porque al final se está pagando a un criminal”, opinó Roberto Tous. Hay casos, recordó Eduard Torrent “en los que se ha acusado de financiar el terrorismo”. Por esto mismo, Tous afirmó que “este tipo de situaciones es muy difícil que trascienda en una póliza”. “Nosotros tenemos experiencia cero en este sentido, y creo que los reguladores van a ser más claros”.

El Internet de las cosas amplia las amenazas

 

Responsabilidad. En 2024, unos 22.300 millones de dispositivos estarán conectados al Internet de las cosas, según datos recogidos por la Comisión Europea. “¿De quién será la responsabilidad? ¿Del fabricante, del producto, mía?”, reflexiona Eduard Terradas. En este sentido, Roberto Tous apuntó que el tema central es que “se trata de un mundo conectado con muchos agentes”. Y para este escenario “no existe un histórico”, para las aseguradoras porque “no hay pólizas”. “También habrá que conocer la visibilidad que tiene y ser más eficientes”.

Educación. Daniel Hernández dijo que con el Internet de las cosas, “una sola acción podrá poner en marcha varios dispositivos”. “Y esto también implica que la ciberseguridad no es un tema exclusivo de las grandes corporaciones; con lo cual habrá que pensar en cómo educamos a la sociedad en estos temas”. Este tipo de actuaciones deben evitar la brecha digital entre los adultos, sobre todo entre los más mayores, ya que “formamos parte del sistema digital y lo tenemos que defender”, subrayó Hernández. Sobre esta exposición, Eduard Terradas añadió que los riesgos cada vez van a ser mayores; porque en las compañías todos los assets van a tener un componente digital y eso incrementa las amenazas”.

Fraude. Los pagos fraudulentos es otro de los problemas de peso que los expertos abordaron en el debate. “Cada vez hay más interés por proteger esto; no es un tema de ciberriesgo puramente, pero es un fraude económico que cada vez sucede más”, expuso Roberto Tous. El phishing “es como el timo de la estampita de toda la vida, pero que llega a través del correo o SMS”. “Una vez más es necesaria la formación de la gente, y la doble firma (o autentificación), para cualquier operación”, destacó Augusto Pérez.

 

Archivado En

_
_