“Tenemos un escenario de guerra”
Así describe el panorama actual de ciberseguridad Xabier Mitxelena, director de Accenture Security para España, Portugal e Israel, al hilo de los últimos datos al respecto de la consultora, que apuntan que cada empresa recibe unos 145 ciberataques al año, 66 en el caso de las compañías españolas.
La del cibercrimen es una industria en plena forma, que ha sabido –ella sí– realizar su propia transformación digital para extraer máximo partido de su creciente actividad al ver los copiosos beneficios que obtiene. Los datos hablan por sí solos. Los del último informe El coste del cibercrimen, realizado por Ponemon Institute para Accenture, después de realizar 2.647 entrevistas a directivos de 355 organizaciones de Australia, Brasil, Canadá, Francia, Alemania, Italia, Japón, Singapur, España, Reino Unido y los Estados Unidos, son para echarse a temblar: el número de ciberataques creció un 11% en 2018 a escala global de forma que cada empresa sufrió una media de 145 incidentes, 66 en el caso de España.
El coste asociado a este cibercrimen es cuantioso: en España este ascendió en 2018 a los 7,3 millones de euros de media por compañía, pero en otros países es mucho mayor; por ejemplo, en Estados Unidos alcanzó los 24,6 millones de euros (un 29% más frente al año anterior; de España no hay datos previos pues es el primer año que se analiza este país), en Japón los 12,2 millones de euros, en Alemania unos 11,7 millones de euros y en Reino Unido unos 10,3 millones de euros. “La baja cifra de España –aunque hay países donde el coste es mucho menor, como en Brasil o Australia, con 6,4 y 6,1 millones de euros, respectivamente– puede tener diferentes lecturas; o bien que no hay tantas compañías críticas o bien que con los recursos que tienen las empresas en este país se ha logrado abordar mejor el reto de la ciberseguridad. Desde luego no es porque aquí se invierta más en ciberseguridad”, según Xabier Mitxelena, encargado de contextualizar el informe ante la prensa y de ofrecer su visión en el mes europeo de la ciberseguridad.
A escala global, los sectores de banca y utilities son los que experimentan mayores costes por cibercrimen, seguidos por el software y la industria de automoción. “El impacto que tienen los ciberataques en el mundo del software es crucial, por su afección a otros sectores. Ocurre lo mismo con el sector de las high tech, que experimenta grandes riesgos. Es el caso de compañías como Google, Microsoft o AWS. Las grandes plataformas están haciendo de la seguridad su bastión”. De hecho, como recordó Mitxelena, Microsoft es la empresa que más invierte en seguridad del mundo. “También porque, al ser tan popular y estar tan extendida su tecnología, es la que más ataques ha sufrido. Y porque ahora está enfocada en un negocio clave como Azure, que crece a un ritmo superior al mercado”. En todo caso, apuntó el experto, “es preciso establecer un modelo de gobernanza de cloud, que es una tendencia imparable. Se espera que la banca tenga su información en la nube en un plazo de diez años”.
El dato es el objeto de deseo
Los ataques más costosos, según el informe, fueron los producidos por los llamados insiders maliciosos, es decir, aquellos relacionados directamente con empleados, personal externo, socios… Cada ataque de este tipo costó a las compañías unos 162.300 euros de media y en España afectó al 38% de las empresas encuestadas. Los incidentes más numerosos fueron los ataques de malware (99%) y de suplantación de identidad (81%).
“Lo más peligroso es que alguien entre en tu casa –según el experto en ciberseguridad–. El gran problema es la pérdida de datos que acarrea, algo que no solo impacta en la cuenta de explotación; pensemos en un ciberataque relacionado con el mundo de la sanidad, ahí las consecuencias son mucho más graves”.
Para Mitxelena, la aparición de normativas como GDPR o NIS en el escenario europeo ha sido positiva. “Han tenido que llegar éstas para que se tome en serio la ciberseguridad, pues ahora las responsabilidades recaen en el comité de dirección. Lo bueno es que ahora el CEO ha cambiado su visión sobre la ciberseguridad, ya no lo ve como un gasto sino que empieza a ver la inversión en esta materia como una forma de mejorar la cuenta de resultados”.
Resiliencia como mantra
El experto aseveró que después de unos 15 años en los que el enfoque para abordar la ciberseguridad empresarial apenas había cambiado, ya está calando una nueva visión basada en el concepto de resiliencia, es decir, en el que, bajo la premisa de que “nos van a atacar siempre” se consiga que las compañías sean capaces de aguantar en los entornos más hostiles. Para ello, según el directivo, es clave apostar por las técnicas de simulación, que permitan a las compañías poner a prueba sus sistemas e infraestructuras, y por la noción de ‘seguridad por diseño’ en lugar de la práctica de “crear productos de seguridad”.
“Mi objetivo es que en 10 años no se hable de seguridad sino de negocio”, según Mitxelena, que aboga por la colaboración a todos los niveles: tanto entre los organismos públicos, como entre las empresas y, cómo no, entre el sector público y el privado. Muestra de ello, expuso, es la propia Accenture Security, “que será uno de los grandes jugadores de seguridad pero siempre colaborando con el resto, no solo con los clientes sino también con los socios y los competidores”.
Hacia un mercado más consolidado y colaborativo
Mitxelena atisba un mercado de ciberseguridad en el que coexistirán los grandes partners, las empresas de nicho y las startups y en el que la colaboración será la tónica general, además de la consolidación: “Habrá una concentración. Este mercado, donde hay grandes oportunidades profesionales y a nivel de innovación, tiene necesariamente que estar menos atomizado, ser más ordenado, más serio”.
Un mundo que evolucionará también de mano de tecnologías como blockchain –que si bien “no es una puerta blindada para impedir que pasen los incidentes, sí será una herramienta que ayude, aunque aún debe evolucionar” – o la informática cuántica, “que cambiará todo”.
