7 claves sobre el coste de los ciberataques contra pymes
El coste de los ciberataques contra pymes incluye los gastos de resolución de incidentes y el abono de sanciones e indemnizaciones
Cada 39 segundos se produce un ciberataque en el mundo, lo que significa que diariamente se lleva a cabo más de 2.000 incidentes. Este dato da buena muestra del desafío que supone la ciberseguridad para las empresas y los ciudadanos. Y esta cifra va en aumento. ¿Por qué? Las empresas están cada vez más expuestas a los ataques y los delincuentes no solo tienen en su punto de mira a las grandes compañías.
Resulta evidente que, cuanto más grande es una empresa, más desorbitante puede ser la cifra económica que pierda por culpa de un ciberataque. Por ejemplo, hace unos días Halliburton, una multinacional gasística que sufrió un incidente de seguridad grave en agosto, anunció que dicho ataque había causado unas pérdidas de 35 millones de dólares.
El coste de los ciberataques contra pymes no acapara titulares, pero puede ser letal para una empresa
El quid de la cuestión radica en que ese coste millonario es perfectamente asumible por Halliburton, una compañía con un volumen de negocios anual que se cuantifica en miles de millones. Sin embargo, que una pequeña o mediana empresa tenga que invertir 50.000 euros en solventar un incidente y hacer frente a sus consecuencias puede resultar devastador para sus cuentas y su viabilidad financiera. Y esta situación es perfectamente plausible.
De hecho, el año pasado, más de un tercio de las empresas con menos de 10 empleados sufrió algún tipo de ciberataque.
Por eso, es fundamental abordar a cuánto puede ascender el coste de los ciberataques contra pymes. Ya que un incidente de seguridad grave puede llevarse por delante un negocio. Así ocurre en el 60% de los casos en los que una pequeña o mediana empresa es víctima de un ciberataque exitoso que paraliza su actividad y menoscaba la integridad de su información: datos de clientes y trabajadores, propiedad intelectual, información comercial…
A continuación, vamos a desgranar los gastos que deben tenerse en cuenta a la hora de estimar el coste de los ciberataques contra pymes para concienciar a todos los negocios de la necesidad de que sitúen la ciberseguridad en el centro de su estrategia e inviertan en protegerse frente a los incidentes.
Costes de resolver un incidente de seguridad y recuperar la normalidad
En el coste de los ciberataques contra pymes debemos incluir, en primer lugar, los gastos que se deben realizar para solucionar los incidentes de seguridad y mitigar su impacto.
En función de la gravedad del incidente y de la sofisticación del ataque, este coste puede llegar a ser extraordinariamente elevado, al tener que:
- Contratar a expertos en ciberseguridad para expulsar a los delincuentes de la infraestructura tecnológica de la empresa, contener el ataque y recuperar la normalidad.
- Poner en marcha un plan para recuperar la normalidad cuanto antes, por ejemplo, mediante la recuperación de los sistemas afectados o la implementación de copias de seguridad para volver a tener acceso a la información.
- Diseñar e implementar una estrategia de comunicación de crisis para mitigar el impacto del mismo en la reputación de la empresa.
- Disponer de asesoramiento legal para realizar todas las acciones vinculadas a un ataque exitoso como la notificación del incidente a las autoridades y a las personas que se hayan podido ver afectadas por él como los clientes o los trabajadores.
Si sumamos todos estos gastos nos encontramos con que el coste de los ciberataques contra pymes puede ascender a miles de euros limitándonos exclusivamente a la gestión del incidente.
Pérdidas económicas por el menoscabo de la actividad del negocio
Para calcular el coste de los ciberataques contra pymes debemos sumar, a los gastos anteriores, las pérdidas económicas que se producen cuando un incidente impacta en la actividad empresarial.
Seguro que has oído hablar de un concepto clave en esta era: continuidad de negocio. Si un ciberataque consigue poner en jaque la continuidad de negocio las pérdidas de las empresa pueden ser muy elevadas, por lo que el coste de los ciberataques contra pymes se multiplicaría. ¿Por qué?
Una empresa parada o que no puede realizar sus actividades cotidianas con normalidad es un negocio que pierde dinero. Cada segundo que los trabajadores y los equipamientos tecnológicos no pueden realizar acciones productivas lastra las finanzas de una organización. Además, si el incidente afecta a la actividad comercial, la empresa no podrá vender o tendrá que hacerlo de una manera analógica.
Por ende, para saber el coste de los ciberataques contra pymes no basta con listar los recursos empleados en la gestión de un incidente, sino que es necesario tener en cuenta los costes operativos que se siguieron sufragando aunque no se pudiese trabajar con normalidad, así como el lucro cesante al no poder gestionar, por ejemplo, los pedidos de los clientes.
Abono de rescates y pérdidas económicas provocadas por fraudes
Actualmente, vivimos una auténtica pandemia de ransomware. Este tipo de código malicioso es empleado por los delincuentes para secuestrar los datos de los negocios y exigir un rescate a cambio de:
- Una clave para poder desencriptarlos y, de esta manera, recuperar la información.
- No hacer públicos datos de índole privada como podrían ser el número de DNI de los clientes y trabajadores e, incluso, su información financiera como números de cuentas bancarias.
Tanto las autoridades policiales como los especialistas en ciberseguridad recomiendan encarecidamente a las empresas que no paguen estos rescates. ¿Por qué?
- No existe ninguna garantía de que los delincuentes vayan a cumplir su palabra.
- El dinero sirve para financiar a los grupos delictivos y permitirles lanzar nuevos y más complejos ataques.
Sin embargo, muchas organizaciones pagan los rescates para evitar que dé a conocer públicamente que sus datos han sido secuestrados. Por ende, es fundamental tener en cuenta al calcular el coste de los ciberataques contra pymes el dinero invertido en pagar a los criminales, una acción, que, repetimos, no debería llevarse a cabo.
Junto a esta cuestión debemos tener en cuenta otra derivada de los incidentes de seguridad que resulta clave para dilucidar el coste de los ciberataques contra pymes: los fraudes.
En muchas ocasiones, los delincuentes usan la información que han obtenido en un ataque para:
- Lanzar nuevas campañas contra la empresa empleando los datos obtenidos y logrando cometer fraudes financieros contra ella.
- Vender los datos a otros delincuentes para que sean estos los que cometan fraudes económicos.
El dinero sustraído de manera ilícita mediante fraudes financieros debe sumarse al coste de los ciberataques contra pymes.
Daños reputacionales y pérdida de ingresos futuros
Uno de los grandes motivos por los que algunas empresas contravienen la recomendación de no pagar un rescate por su información es que intentan evitar los daños reputacionales asociados a un incidente de seguridad grave.
Precisamente, el menoscabo de la reputación empresarial es una de las consecuencias más importantes de los ciberataque aunque su cuantificación resulte más compleja.
Los daños reputacionales pueden llegar a ser severos en caso de que el incidente tenga consecuencias negativas para los clientes y los socios comerciales del negocio.
Por ejemplo, uno de los objetivos predilectos de los ciberdelincuentes son los datos privados de los clientes de las empresas. ¿Por qué? Con esta información pueden llevar a cabo fraudes económicos suplantando la identidad del negocio y logrando acceder a las cuentas bancarias de sus víctimas o convencerlas de que realicen pagos ilegítimos.
Si los clientes de una empresa son víctimas de fraudes y estafas como consecuencia de un incidente de seguridad que afectó al negocio, su confianza en él se verá rota para siempre.
El deterioro de la reputación de una compañía tiene consecuencias económicas evidentes puesto que se puede traducir en la pérdida de clientes y, sobre todo, en una menor capacidad de atracción nuevos consumidores. Estos daños económicos deben tenerse en cuenta para comprender el coste de los ciberataques contra pymes.
Sanciones por incumplir la normativa en ciberseguridad y protección de datos
Los incidentes de seguridad también pueden desencadenar sanciones y multas por incumplir la normativa en vigor. Así, muchas de las sanciones que impone la Agencia Española de Protección de Datos (AEPD) tienen su origen en los ciberataques. ¿Por qué? Las empresas están obligadas a disponer de todas las medidas técnicas y organizativas necesarias para garantizar la protección de los datos privados.
Si un ciberataque se salda con el robo de datos personales y se demuestra que los mecanismos de la empresa para protegerlos no eran lo suficientemente sólidos, el negocio puede recibir cuantiosas multas.
A ello debemos sumar que las empresas que operan en sectores especialmente sensibles como el de la salud o el legal están obligadas a cumplir unos requisitos de seguridad más exigentes.
Por lo tanto, es fundamental que a la hora de diseñar una estrategia de ciberseguridad las empresas sean conscientes de las normas que tienen que cumplir y contemplen el abono de sanciones para dilucidar a cuánto puede ascender el coste de los ciberataques contra pymes.
Costosos conflictos legales y el pago de indemnizaciones también deben tenerse en cuenta al calcular el coste de los ciberataques contra pymes
Sin salirnos del terreno legal, debemos señalar que las empresas no solo se exponen a multas administrativas, sino que pueden verse abocadas a largos y onerosos conflictos legales. ¿Por qué? Los clientes, trabajadores o socios afectados por un incidente de seguridad pueden presentar acciones judiciales contra la empresa por incumplir sus deberes de protección de datos.
Además, en caso de perder los juicios, las empresas pueden ser condenadas a abonar indemnizaciones por los daños causados a ciudadanos y otros negocios.
Por lo tanto, para hacer predicciones sobre el coste de los ciberataques contra pymes es imprescindible tener en cuenta el pago de indemnizaciones y el desembolso económico asociado a un conflicto legal: honorarios de los abogados, tasas judiciales, costas del proceso si se pierde…
En definitiva, el coste de los ciberataques contra pymes puede llegar a ser tan elevado que provoque el endeudamiento de una empresa e, incluso, su cierre. Por eso, es fundamental que los negocios sean conscientes de la importancia de proteger a una pyme de los ciberataques e implementen medidas preventivas para evitar incidentes de seguridad críticos.
En este sentido, es fundamental que los propietarios y los cargos directivos de las pequeñas y medianas empresas dispongan de conocimientos sobre ciberseguridad y asuman que, hoy en día, es un área crítica para todas las empresas ya que en mayor o menor medida todos los negocios están digitalizados. De esta manera, se podrá minimizar la posibilidad de sufrir un incidente grave y limitar el coste de los ciberataques contra pymes.