El impacto económico de los incidentes de seguridad

“No me preocupa, hasta ahora nunca nos ha pasado nada…”. Éste es el comentario que recibo de muchos clientes cuando voy a hablarles de seguridad, a lo que suelo responder: “…al menos que vosotros sepáis…”.

En la actualidad los riesgos que corren las compañías crecen en la misma medida que su exposición en la Red, pero no sólo están ligados a la conexión, ni tienen que ver con ataques externos, sino que incluyen los que sufren a través del eslabón más débil dentro de las compañías: los usuarios (próximamente escribiré sobre un informe sobre la concienciación necesaria que acaba de dar a conocer Autelsi, en el que Telefónica ha colaborado). Cada vez estamos más ligados a los dispositivos, y estos a su vez se convierten en una grieta para la seguridad de las corporaciones. Troyanos, keyloggers, rootkits, etc. se pueden introducir a través de medios de almacenamiento portátil, dispositivos móviles… y, de esta forma, desplegarse internamente y capturar información, sin hacer el menor “ruido”. Más del 50 por ciento de los incidentes de seguridad en las compañías son efectuados internamente: empleados, exempleados, colaboradores, proveedores, socios, etc. En muchos casos no es necesaria siquiera una sofisticada técnica, sino que basta con hacer uso de la ingeniería social para tener “éxito”. La información en sí misma es un activo con mucho valor.

Aunque afortunadamente esto está cambiando, la política de seguridad de casi todas las empresas suele ser reactiva. Uno de los principales argumentos para no acometer medidas preventivas, que reduzcan o mitiguen los riesgos, es la falta de concienciación de los altos cargos de dichas compañías que no estiman oportuno invertir en estas medidas, ya que siempre esperan un retorno de esa inversión, y es por ende poco “justificable” inicialmente . Es obvio que la principal preocupación de las empresas es la consecución y crecimiento del negocio, y esta preocupación crece cuando la información sobre los riesgos se transmite con objetividad y criterio.

En términos empresariales perder dinero es prácticamente como dejar de ganarlo, y este argumento sí que impacta y convence a los altos cargos, cuando visualizan un incidente de seguridad en sus compañías como perdida de continuidad, extracción de información, daños para la reputación e imagen, etc., con graves consecuencias económicas. Pero es que además un 80 por ciento de los inversores pierde interés en empresas ciberatacadas.

El coste medio de un incidente de seguridad en una pyme es de unos 38.000 euros, y en una gran empresa, de unos 478.000 euros. En el año 2012 el 79 por ciento de las compañías sufrió un incidente de seguridad derivado de dispositivos móviles, y se estima que el número de dispositivos crece año tras año en torno a un 17 por ciento. Durante el año pasado, los incidentes de seguridad crecieron un 48 por ciento respecto al año anterior, y han supuesto un coste mundial de 305.000 millones de euros. España es el tercer país del mundo que sufre más ciberataques, tras EE.UU. e Inglaterra, con unos 18.000 ataques en 2014.

Estos costes se cuantifican teniendo en cuenta el impacto en la continuidad del negocio, la fuga o pérdida de datos y los costes asociados a solucionar los problemas del incidente por parte de especialistas.

La inversión necesaria para prevenir estos incidentes siempre es menor que el coste y el impacto para resolverlos. Y la medida más efectivaa a la hora de acometer esta prevención es contar con una buena estrategia: un Plan Director de Seguridad, o la implantación de las normas de la familia ISO 27000 (27001 y 27002), aunque siempre hay que tener en cuenta que se tratan de medidas eficaces para reducir el riesgo, ya que éste nunca podrá anularse, por lo que es muy importante poder evaluarlos y asumir los “menos” críticos.

Imagen: Gerard Van der Leun

Ingeniero de Seguridad con más de una década de experiencia en protección de redes y sistemas. Responsable de este ámbito en Grandes Empresas y Administración Pública del territorio norte en Telefónica. Interesado en la tecnología y todos los "geeks" derivados de ésta. Entusiasta de largas conversaciones con mis amigos y encantado de vivir junto al mar en La Coruña.

Soluciones y Sectores

Te puede interesar

Conoce toda nuestra Propuesta de Valor para Grandes Clientes

Para tu conectividad

Somos líderes en tecnologías de conectividad, contamos con un potente ecosistema de alianzas, conocemos al 100% los procesos y aplicamos las tecnologías a las necesidades de cualquier sector.

Para tu nube

Todas las ventajas que el Cloud puede aportar a tu negocio: Soluciones de los principales proveedores y puesta en marcha por equipos profesionales de primer nivel.

Para tu Ciberseguridad y Seguridad Tecnológica

Somos conscientes de que es esencial dotar a las empresas de los recursos necesarios para hacer frente a los riesgos de seguridad que pongan en peligro su negocio y su reputación.

Para tus Procesos

Desde Telefónica Empresas, te ayudamos a conocer, reducir y controlar tus procesos, generar eficiencias y optimizar operaciones, garantizando la permanencia de tu negocio.

Para tus Clientes

Conectar con tus clientes es básico para la pervivencia de tu negocio. Te ofrecemos todo tipo de soluciones (CRM, Asistentes virtuales, Espacios inteligentes, líneas 900…)
empleados dispositivos

Para tus Empleados

La propuesta de Telefónica Empresas incluye todas las herramientas que tus empleados necesitan para trabajar con la mejor experiencia de usuario. Porque retener el talento es básico.

Consultoría e innovación tecnológica

Toda nuestra experiencia de transformación e innovación a tu alcance. Porque en Telefónica Empresas contamos con un equipo con experiencia tanto en proyectos internos de la compañía, como con clientes de distintos sectores y tamaños.

Ir arriba