Este es el titular que nunca querríamos ver en nuestra empresa. La pandemia ha puesto de manifiesto la importancia de los riesgos no financieros, especialmente el reputacional, operacional, climático y, finalmente, el rey de reyes el ciberriesgo. A medida que aumentaba el teletrabajo, las amenazas de ciberseguridad experimentaban un crecimiento brutal hasta los 40.000 ciberataques al día en España.
1.- El ciberriesgo es una materia de consejo y la ciberseguridad es de todos. Suele ser una confusión habitual pensar que el ciberriesgo es algo de «los chicos de tecnología». Esto es cierto, pero solo en parte. Es el consejo de administración el que define el apetito de riesgo en todos los ámbitos de la compañía, en ciberseguridad también. Hay algunas preguntas que el consejo debe hacerse: ¿en qué situación está actualmente la organización? ¿Cultura? ¿Competencias? ¿Responsabilidades? ¿Tenemos indicadores que nos ayuden a hacer seguimiento? ¿Qué riesgos deben ser aceptados, evitados, mitigados o asegurados?
En el día a día, resulta crucial la formación y concienciación de los empleados, pues la mayor vulnerabilidad de las empresas suele ser un humano que hace clic donde no debe. Un reto: generar cortafuegos humanos en la empresa.
2.- La pyme suele ser objeto de deseo de los ciberdelincuentes. Otro error de percepción frecuente es pensar que son las grandes las que tienen interés para el cibercaco. Todo lo contrario, son las pymes, las más desprotegidas, las que suelen ser la diana favorita. Exsel apunta que una de cada cinco pymes españolas ha sufrido algún ciberataque, siendo los más habituales los fraudes de internet. Más de 300.000 en el 2021. Galicia no se libra. Según Tecnopole, casi la mitad de las empresas gallegas carecen de seguridad frente a ciberataques, lo que las deja muy expuestas.
La seguridad informática es una de las tareas pendientes de las pymes. Hoy en día es posible contratarlo como servicio por precios más que razonables. Sin olvidarnos de la transferencia de los riesgos: contar con un ciberseguro.
3.- Tu ciberriesgo es el tuyo y el de tus proveedores y subcontratas. A pesar de esto hay pocas empresas que tengan programas de análisis de riesgo de terceras partes. Las brechas de seguridad se producen donde menos te lo esperas y no sirve de nada dejar «puertas abiertas».
Como dice el refrán, no solo hay que prevenir, sino que hay que curar. Imprescindible poner los diques de contención, pero también contar con un plan de recuperación y probarlo para asegurarnos de que funciona.
En el 2022, más ataques y más inversión: dos de cada tres empresas esperan aumentarla. La realidad es que hoy en día solo existen dos clases de empresas: las que han sido atacadas y las que lo serán. No es broma. Puede hacer desaparecer la empresa para siempre. Que nos coja preparados.