Ciberataques: una amenaza existencial muy real para las organizaciones

Todos sabemos que la ciberseguridad es un elemento crítico del riesgo empresarial. Pero, ¿qué tan crítico? Algunas salas de juntas parecen prestar poca atención a la seguridad y aun así se las arreglan para evitar repercusiones graves. Por eso un nuevo informe de la aseguradora global Hiscox hace una lectura interesante. De hecho, afirma que muchas organizaciones europeas y estadounidenses han estado al borde de la insolvencia después de violaciones de seguridad. Y aunque el gasto va en aumento, menos empresas globales que nunca se describen como "expertas" en ciberpreparación.

Está claro que saber hacia dónde dirigir la inversión en ciberseguridad nunca ha sido tan importante. Entonces, ¿qué hacen los expertos para evitar la quiebra? Según el informe, es en gran medida una combinación de conceptos básicos de mejores prácticas y la voluntad de aprender de incidentes anteriores.

Una amenaza existencial

El informe se compila a partir de entrevistas con 5,000 empresas en los EE. UU., el Reino Unido, Bélgica, Francia, Alemania, España, los Países Bajos e Irlanda. Algunos de los hallazgos ya los conocíamos. Pero hay algunos matices interesantes. Por ejemplo:

• Siete de ocho países clasifican un ataque cibernético como la amenaza número uno para sus negocios
• La mitad (48 %) de los encuestados informó un ciberataque en los últimos 12 meses, frente al 43 % del año pasado.
• Una quinta parte (19 %) de los encuestados informó un ataque de ransomware, frente al 16 %. Dos tercios de las víctimas pagaron a sus atacantes

Hasta ahora, tan habitual. Sin embargo, existe un gran abismo de percepción entre los que han sufrido un ataque y los que no. Más de la mitad (55 %) de las víctimas de ciberataques ven la ciberseguridad como un área de alto riesgo, pero la cifra se reduce a solo el 36 % para aquellos que no se han visto comprometidos. Del mismo modo, el 41 % de los agredidos dice que ha aumentado su exposición al riesgo, pero para el otro grupo la cifra es inferior a la cuarta parte (23 %).

Otra pepita interesante: los ciberdelincuentes parecen estar apuntando cada vez más a las empresas más pequeñas. Aquellos con ingresos de US $ 100,000- $ 500,000 ahora pueden esperar tantos ataques como aquellos que ganan $ 1 millón- $ 9 millones al año.

Costo de las empresas caro

Esto es importante, ya que una quinta parte de las empresas que respondieron que fueron atacadas dicen que su solvencia se vio amenazada, un aumento del 24% con respecto al año pasado. Aunque no se desglosan en el informe, los costos de incumplimiento pueden incluir:

• cortes operativos
• Costos legales
• Horas extra de TI y costos forenses de terceros
• Multas reglamentarias
• Cliente abandono
• Pérdida de producción y ventas
• Daño reputacional a largo plazo

Esto puede explicar parcialmente por qué el gasto ha aumentado. El gasto medio en seguridad cibernética de los encuestados aumentó un 60 % el año pasado a US$5.3 millones, y ha aumentado un 250 % desde 2019, según el informe.

¿Cómo comprometen los atacantes a las organizaciones?

Para comprender mejor cómo su organización puede evitar la bancarrota, primero debemos saber cómo los actores de amenazas están causando tanto daño. Según el informe, los principales vectores de ataque son:

• Servidores en la nube (41 %)
• Correo electrónico comercial (40%)
• Servidores corporativos (37%)
• Servidores de acceso remoto (31%)
• Dispositivos móviles propiedad de los empleados (29 %)
• DDoS (26%)

Esto concuerda con los hallazgos de otros informes y la narrativa de que el trabajo remoto, las inversiones relacionadas con la pandemia en infraestructura en la nube y los desafíos de seguridad del trabajo remoto son algunos de los mayores riesgos que enfrentan las organizaciones en la actualidad. Estos se han combinado con el error humano para crear una gran superficie de ataque a la que pueden apuntar los actores de amenazas.

Qué hacer a continuación

Es motivo de cierta preocupación el hecho de que las puntuaciones de preparación cibernética estimadas por Hiscox cayeron un 2.6 % interanual, lo que provocó una fuerte caída en el número de empresas clasificadas como "expertas", del 20 % a solo el 4.5 %. La proporción clasificada como novatos también disminuyó significativamente, dejando a la mayoría como "intermedios". La preparación cibernética es importante porque los costos medios de ataque, como porcentaje de los ingresos, son dos veces y media más altos para las empresas clasificadas como "cibernovatas", afirma el informe.

Entonces, ¿cómo es una organización madura preparada para la cibernética? Afortunadamente, no todo depende de cuánto dinero esté disponible para gastar. Se destacan varias mejores prácticas, incluidas las siguientes:

• Formalice la ciberseguridad con roles claramente definidos y la aceptación de la junta directiva o la alta gerencia
• Asegúrese de que los altos ejecutivos tengan una visibilidad clara y un compromiso con la ciberseguridad
• Siga los estándares de las mejores prácticas, como el Marco del Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST)
• Distribuya la inversión en las cinco funciones clave del NIST: identificar, proteger, detectar, responder y recuperar
• Centrarse en la planificación de respuesta a incidentes y simulaciones de ataques a la luz de incertidumbre geopolítica actual
• Evaluar regularmente la infraestructura tecnológica y de datos corporativos
• Proporcionar efectivo formación en concienciación sobre ciberseguridad
• Asegúrese de que los proveedores y socios comerciales cumplan con los requisitos de seguridad
• Concéntrese en los procesos de "fruta madura", como la aplicación de parches, las pruebas de penetración y las copias de seguridad periódicas.

En conjunto, estos pasos ayudarán a minimizar las posibilidades de que un ataque finalmente lleve a la organización a la bancarrota.