¿Será el 2021 el año de la ciberseguridad empresarial?

La ciberseguridad empresarial ha sido un tema recurrente en las reuniones del Consejo de Administración de las empresas españolas. Recordemos que, el mayor incremento en el número de ciberataques del tipo «ransomware» de Europa, se ha producido en España.

Por ello, esta cuestión ha cobrado una gran relevancia, escalando posiciones en la agenda de los consejeros. Además, las repercusiones de sufrir este u otro ciberataque pueden llegar a ser irreparables, tanto a nivel económico como reputacional, y afectando no solo a las compañías, sino a la imagen de las personas que conforman los órganos de gobierno.

Por último, cabe recalcar que la regulación está principalmente focalizada en incrementar la responsabilidad en el cumplimiento de las normas y mostrar transparencia en todo momento. En definitiva, ante esta tesitura, cabe responder a preguntas como las siguientes: ¿Qué son exactamente los ciberataques del tipo <<ransomware>>? ¿Cuál debe ser la postura de los consejeros? ¿Qué decisiones deben tomarse? Todo ello, con el objetivo de que el 2021 sea el año de la ciberseguridad empresarial.

¿Qué es la ciberseguridad empresarial?

Cuando hablamos de ciberseguridad empresarial, nos referimos a la práctica de proteger todo sistema conectado a Internet frente a los ataques cibernéticos. De ahí que, hablemos de brechas en la ciberseguridad cuando se producen incidencias que afectan a la seguridad de los sistemas de la información.

Y, como ya hemos señalado, evitar que la empresa sufra ciberataques debe ser una de las prioridades, evitando así las consecuencias económicas y de imagen provocadas a consecuencia de estos.

Incremento del número de ciberataques

En todo Europa, aunque especialmente en España, se ha producido un incremento en el número de ciberataques. Sin embargo, estas incidencias no solo han aumentado cuantitativamente, sino que también han hecho lo propio desde el punto de vista cualitativo. A día de hoy, estos ciberataques son más sólidos y sus consecuencias más graves.

Pero, ¿por qué se ha producido este incremento? Especialistas en la ciberseguridad empresarial sostienen que la crisis del Covid-19 ha sido la principal razón. Principalmente a consecuencia del teletrabajo y las reuniones en línea, un cambio para el que muchas empresas aún no estaban preparadas. De ahí que, los ciberataques se hayan incrementado en mayor medida en España, donde el confinamiento domiciliario ha sido mayor.

Por otro lado, señalamos que la pandemia no ha generado nuevos riesgos, sino que ha potenciado los que ya existían. Haciendo referencia a las declaraciones del CNI, los incidentes clasificados como de riesgo “muy alto” se han duplicado con respecto al 2019, y los registrados como “críticos” también se han incrementado con respecto al año pasado. Y todo ello, provocado por la excepcionalidad de la crisis que estamos atravesando.

Por último, señalamos que la regulación actual, promovida por la Unión Europea, está enfocada en incrementar la responsabilidad de las entidades en materia de cumplimiento normativo y transparencia.

En definitiva, 2021 será el año de la ciberseguridad empresarial, o, en su defecto, lo contrario, por lo que conviene abordar la cuestión de la ciberseguridad en los Consejos de Administración. Y, para hacerlo, debe conocerse cuál es la principal amenaza: los ataques <<ransomware>>.

Frecuencia y sofisticación del <<ransomware>>, el ataque cibernético que ha crecido un 160% en España

Para solucionar un problema, es necesario aplicar una serie de pasos, siendo los primeros identificar y conocer el problema. Por ello, vamos a explicar en qué consiste este tipo de amenaza cibernética que tanto se ha incrementado a lo largo de estos últimos meses (aunque su presencia figura entre las principales amenazas desde hace años).

El <<ransomware>> es un código malicioso capaz de secuestrar dispositivos para así robarles la información, y cuyas consecuencias principales son:

• Pérdidas económicas: se estima que, a nivel mundial, recuperar el control puede suponer un gasto de 730.000 dólares de media. Por lo que las pérdidas económicas son elevadas.
• Pérdidas reputaciones de la compañía: que pueden incluso agravarse si información “de carácter no público” sale a la luz, por ejemplo, en medios de comunicación.
• Problemas operacionales: por supuesto, después de sufrir un ciberataque de esta envergadura, cabe revisar el flujo de operaciones de la compañía.
• Pérdida reputacional de los miembros del Consejo de Administración.

Además, cabe destacar otras dos cuestiones fundamentales:

• Pagar un rescate no garantiza que la empresa recupere la información robada a través de un ataque del tipo <<ransomware>>. Ni tampoco tiene por qué ser esta la alternativa más barata. De hecho, puede resultar incluso más costoso a la larga.
• La clave está en la prevención: después de sufrir un ciberataque, las empresas no tienen reparos en implementar las soluciones para lograr un gobierno corporativo moderno. Sin embargo, la clave es hacerlo antes de sufrirlos, evitando así que ocurran.

Recomendaciones para que los Consejos puedan prevenir los ciberataques

Partiendo de la base que acabamos de señalar: “la clave está en la prevención”, ¿qué medidas o recomendaciones debería aplicar el Consejo de Administración?

Involucrar al CIO/CISO

Cada vez son más numerosas las empresas que involucran a sus CIO/CISO o expertos en ciberseguridad durante las reuniones del Consejo, ya que les permite educar a los consejeros sobre estos nuevos temas.

Por otro lado, y en referencia al papel del CIO, destacamos que es necesario verificar si el máximo responsable de ciberseguridad tiene una buena relación con los reguladores, ya que existe una obligatoriedad de notificar cualquier incidente a la autoridad competente, y hacerlo será más, o menos complicado, dependiendo la relación que exista entre ambas partes.

Poner todos los medios a disposición de la seguridad informática

La segunda recomendación consiste en equipar a la compañía con soluciones que fortalezcan la ciberseguridad empresarial y la integridad de los datos. Como ya hemos señalado, la clave está en la prevención. Y, aunque no es una tarea sencilla desarrollar unos sistemas informáticos seguros, hacerlo es aún más complicado cuando no se ponen a disposición de dicho fin todos los medios disponibles.

En definitiva, el Consejo de Administración debe facilitar los medios con los que proteger la integridad informática de la compañía y dar ejemplo también. Tal y como dijo Ana Plaza en el webinar sobre digitalización del Consejo de Administración que organizamos (y que puede ver en diferido aquí): “Ahora todos hablamos y llevamos muchos años hablando de la digitalización, de lo que supone, y yo creo que el Consejo tiene que predicar con el ejemplo. No concibo una empresa en la que se esté haciendo un proceso de transformación digital y no haya una plataforma digital para gestionar desde arriba”.

Y, por último, al igual que debe analizarse la seguridad informática de una empresa, se debe hacer lo propio con los proveedores (tanto actuales, como pasados y futuros), verificando que se puede confiar en todos aquellos que trabajan con la compañía.

Creación de una comisión de ciberseguridad

La tercera recomendación, que debería ser una obligación para cualquier Consejo de Administración, es la de crear comisiones especializadas en la ciberseguridad empresarial.

Esta comisión atesoraría las siguientes funciones:

• Identificar todas las amenazas a la ciberseguridad de su compañía.
• Valorar la posibilidad de que ocurran, así como los efectos que provocarían (a nivel económico, reputacional, …).
• Creación de planes de contingencia (revisados periódicamente) para afrontar cada una de las amenazas en caso de que estas ocurran.

A través de esta comisión, las empresas pueden profundizar de forma exitosa en la ciberseguridad empresarial.

Y, en definitiva, por muy repetitivo que pueda parecer, es necesario recalcar que la clave de la ciberseguridad empresarial está en la prevención, para lo que es necesario seguir las recomendaciones ofrecidas, e implementar herramientas que garanticen la seguridad de la información, como las ofrecidas por Diligent.