El Economista - El Economista Tecnologia
Entonces, ¿hay que tomarse en serio esto de la ‘ciberseguridad’?
Sólo una de cada cinco compañías europeas considera como una prioridad principal proteger sus equipos informáticos de posibles ataques externos. El resto no es consciente de las consecuencias
En un informe publicado recientemente porBritish Telecom, se afirma que las empresas europeas están a la cola mundial en materia de ciberseguridad. Así, sólo un 20 por ciento de los líderes empresariales del viejo continente percibe la seguridad como una prioridad principal, frente al 41 por ciento de sus homólogos estadounidenses. Por otra parte, este estudio dice también que sólo el 58 por ciento de las empresas europeas es capaz de medir el retorno de inversión de la ciberseguridad, frente al 90 por ciento al que se llega en Estados Unidos.
¿Por qué existe tanta diferencia en la prioridad otorgada a la seguridad entre estas dos áreas geográficas tecnológicamente avanzadas? Principalmente, porque la capacidad que tiene el conocimiento a la hora de generar negocio es un factor tradicionalmente más valorado en Estados Unidos que en Europa. No es por casualidad que en ese país la inversión en I+D, tanto en términos absolutos como porcentuales, sea muy superior, y que los procesos que concretan las ideas y que las llevan al mercado -transferencia tecnológica, creación de empresas y obtención de inversión y financiación- estén allí mucho mejor engrasados.
Quizá la mejormanera de queA dministraciones públicas y empresarios comiencen a valorar seriamente el impacto que un incidente de ciberseguridad puede tener en el normal desarrollo de su actividad sea analizando el coste de sus consecuencias. Para ello, antes que nada, habrá que saber distinguir los diferentes tipos de incidentes.
Por una parte, aparecen los que involucran la difusión de información confidencial, tanto de clientes de la organización como la relativa a productos o a nuevos desarrollos de la empresa. En estos casos, está demostrado que el conocimiento del incidente por parte de la opinión pública produce un impacto económico negativo en la empresa, fácilmente medible en las empresas cotizadas si se tiene en cuenta la desvalorización del precio de las acciones, pero también en cualquier tipo de compañía, controlando su pérdida de negocio.
En segundo lugar, están los incidentes que no afectan a ninguna información confidencial. En este caso y aunque se hagan públicos, no parece que en un primermomento acarreen directamente consecuencias negativas para el negocio. Sin embargo, sí pueden afectar a la infraestructura tecnológica de la corporación y, por lo tanto, a la continuidad futura del mismo.
En tercer lugar, existen incidentes que suponen un incumplimiento de la
legislación vigente y que están sujetos a una sanción administrativa. En España, por ejemplo, podemos hacer referencia a la Ley de Protección de Datos de Carácter-Personal, cuyas sanciones son del conocimiento general. Es previsible que estas sanciones por vulneración de datos de terceros sean cada vez más severas y que se unan, además, a condenas judiciales por daños y perjuicios.
Por último, no hay que perder de vista el crecimiento exponencial de los ataques APT (amenazas avanzadas permanentes). Liderados por grupos con un alto nivel de recursos, tanto económicos como técnicos, son especialistas en introducirse en las infraestructuras tecnológicas de una empresa o una Administración, y quedar en estado latente durante periodos de tiempo prolongados hasta encontrar el momento oportuno para comenzar a filtrar información confidencial a los delincuentes. Estas amenazas pasan totalmente desapercibidas para las soluciones tradicionales de seguridad.
En este punto, y visto lo que está ocurriendo con las escuchas legales e ilegales entre Estados, la participación en el espionaje de las grandes multinacionales del sector de las tecnologías de información y la sofisticación de los últimos ciberataques sufridos, queda constancia de que muchas de nuestras paranoias en el campo de la ciberseguridad tienen una base real incuestionable.
Lo más apropiado en esta situación es aceptar la realidad y tomar las medidas oportunas. En esta labor, cada uno deberá llegar hasta donde sea capaz de acuerdo a sus circunstancias, pero siempre gestionando los riesgos en lugar de ignorarlos.
El Gobierno español, por ejemplo, ha constituido hace un par de meses el Consejo de Ciberseguridad Nacional, cuyo objetivo es garantizar el uso seguro de las redes y de los sistemas de información mediante el fortalecimiento de las capacidades de prevención, detección y respuesta a los ciberataques. Es un organismo que ya nace con algunas deficiencias en su organización interna. Sin embargo, no por ello deja de ser una noticia positiva y un paso adelante en la protección nacional frente a la ciberdelincuencia.
Las empresas privadas, especialmente las pymes, tienen aún mucho camino por recorrer. Apesar de ello, confío en que empresarios y directivos comiencen a tener claro que las amenazas son reales y que tienen mucho que perder si se exponen sin defensa a cualquier incidente de ciberseguridad.
La ciberseguridad, todos deben saberlo, es un asunto muy serio.