BDO urge a las organizaciones de cualquier tamaño para que adopten un enfoque proactivo en materia de ciberseguridad, según se desprende de su último informe sobre la materia. BDO considera que la alta dirección debe implicarse en los asuntos ciber y asignar suficientes recursos para asegurar una gestión segura de los posibles riesgos, porque la naturaleza, severidad y alcance de las amenazas son lo suficientemente importantes como para que se valoren al más alto nivel de la organización.
Para BDO no es arriesgado afirmar que todas las entidades serán objeto de un ciberataque y, por tanto, la principal pregunta que deben hacerse las organizaciones es cuándo van a sufrir un ciberataque.
En este informe elaborado por BDO se pone de manifiesto que la ciberseguridad se ha convertido en una cuestión de cumplimiento legal. Cuando la red de una empresa se rompe, la regulación actual, como es el Reglamento Europeo de Protección de Datos, establece que puede tener consecuencias que potencialmente sean sancionadas.
Evaluando el impacto de ataques más representativos en la última década, los estados y gobiernos de todo el mundo están estudiando la posibilidad de que las empresas estén obligadas a reportar los ataques que sufran y a tomar medidas concretas de respuesta.
Según datos del Instituto Nacional de Seguridad (Incibe), España es el tercer país del mundo que más ataques informáticos recibe. En 2016 se detectaron 115.000 incidentes, de los que 480 afectaron a hospitales y aeropuertos, entre otras organizaciones e instalaciones públicas. La escalada en el número y gravedad de los ataques es exponencial y, las cifras, alarmantes.
Un estudio de la Universidad de Oxford que analizaba empresas de Estados Unidos y de Europa estimó en 1,5 millones de dólares el coste de un ataque a una empresa de más de 5.000 empleados. Para las empresas de tamaño medio, esta estimación es de unos 36.000 dólares, al margen de la pérdida de oportunidades de negocio.
Valentín Faura, director del área de Risk Advisory en BDO España ha afirmado que: “Las organizaciones deben valorar si prefieren prepararse antes de que ocurra un ataque o si prefieren pagar las consecuencias para reparar los daños después de que haya ocurrido dicho ataque”. Y añade: “Si hasta hace poco el objetivo había sido siempre proteger el perímetro, actualmente prima la anticipación y la observación de los riesgos con el fin de prevenir los ataques. Ya no es posible vivir de espaldas a los riesgos confiando en un escudo más o menos seguro; ahora es preciso prevenir y prepararse antes de que el ataque tenga lugar”.
Jason Jottschalk, socio y experto en ciberseguridad en BDO UK ha explicado: “Realizar una due dilligence en materia de ciberseguridad es muy complejo. ¿Cómo se puede medir el grado de preparación o resistencia de una empresa a la hora de recibir ataques? ¿Con una ISO estándar? Resulta desmoralizador cuantificar parámetros que midan la probabilidad de un ciberataque y el grado de preparación de las organizaciones. Las empresas no están preparadas para medir la ciber resiliencia”.
Las organizaciones, según BDO, necesitan demostrar a sus accionistas que realmente están atendiendo con empeño los asuntos relacionados con la ciberseguridad y deben alcanzar un grado de preparación que las permita responder ante incidentes, por lo que ya están modificando su tradicional modelo de seguridad hacia un enfoque orientado al crimen online, hacia la ciberdefensa.
Según el informe de BDO, el modelo de prevención y reacción de las empresas frente a amenazas de ciberseguridad debe basarse en los siguientes tres pilares:
• Seguridad: No se puede proteger todo por igual. Ser seguro implica enfocarse en proteger los recursos más sensibles al riesgo. Es necesario focalizarse en los activos críticos de la empresa.
• Vigilancia: Es fundamental realizar una supervisión proactiva de las amenazas basada en la búsqueda de patrones de comportamiento, en la recopilación de información y en la actualización de los escenarios de riesgos.
• Resiliencia: Es esencial prepararse frente a todo tipo de ataques y mantener actualizados nuestros procedimientos de actuación y recuperación.
