Internet

La «suerte» de sufrir la visita de un hacker

La mitad de los directivos cree que su empresa nunca será objetivo de los ciberdelincuentes. Los expertos sostienen que ser víctima de ellos tiene sus efectos positivos

En el cómputo general, los españoles no salen mal parados / Grant Thornton
En el cómputo general, los españoles no salen mal parados / Grant Thorntonlarazon

No hay por qué preocuparse: los piratas informáticos atacan siempre a los demás. Las noticias tan recurrentes sobre virus, malware, ransomware y demás amenazas cibernéticas son solo eso, noticias, que tienen como víctimas a empresas y particulares mucho más atractivos para los hackers. Hasta que llega el primer susto.

El exceso de confianza es, precisamente, el talón de Aquiles de internautas individuales y de empresas, que no siempre ponen los medios necesarios. A pesar de que los altos directivos reconocen que el riesgo de sufrir un ciberataque existe, todavía no hacen lo suficiente para promover acciones que lo impidan o reduzcan sus consecuencias.

Esta es una de las conclusiones del informe “Ciberseguridad: protegiendo el valor de los datos”, elaborado por la consultora Grant Thornton a partir de una encuesta a casi 3.000 altos directivos y empresarios de 36 países, entre ellos España, y según el cual solo un 20% de los encuestados considera que será víctima de un ciberataque y ha realizado inversiones en sistemas de seguridad para prevenirlo.

Frente a ellos, el 50% está convencido de que “nunca” sufrirá uno de estos ataques, mientras que el 30% restante “probablemente” está bien preparado, aunque no ha tenido la oportunidad de comprobarlo. Y, salvo que sienta la presión de los hackers al otro lado de la puerta, no lo estará nunca.

En este sentido, expertos y directivos consultados en el informe afirman que sufrir un ataque puede resultar una experiencia positiva, porque no solo pone de relieve “agujeros” de seguridad con los que no se contaba, sino que sirve para elevar la ciberseguridad a los primeros puestos de prioridades y destinar a ello los recursos necesarios.

Con todo, y según el estudio, los empresarios españoles son los más concienciados dentro de la Unión Europea respecto a la importancia de la gestión de sus datos críticos ante las distintas amenazas, entre ellas la online.

Entre las principales sombras detectadas a nivel global, la consultora señala la ausencia de controles específicos y rigurosos para los datos más valiosos, aquellos cuya seguridad resulta absolutamente esencial y cuya pérdida puede comportar el mayor nivel de riesgo.

Otra conclusión inquietante es que, por norma general, las empresas introducen en el mismo saco el conjunto de sus datos, y no tienen claro cuáles son sensibles y cuáles tienen poca relevancia en caso de ser “hackeados”.

“Es necesario tener una imagen clara y fiable de los datos de que se dispone, pero también valorarlos y categorizarlos para poder diferenciar los datos más críticos y relevantes para el negocio o más susceptibles de ataques. No todos los datos tienen el mismo valor y es importante centrarse en proteger los activos más valiosos o vulnerables”, afirma Jaime Morales, consultor de Ciberseguridad de Grant Thornton.

“Cuatro de cada cinco empresas (78%) asignan sus medidas de seguridad y protección de manera uniforme entre todos sus activos de información sin tener en cuenta la especificidad de cada dato y su valor. Esto puede dar lugar a sistemas ineficientes y a pérdidas de dinero y tiempo ya que se puede estar protegiendo información de escaso valor, mientras que activos críticos pueden encontrarse expuestos a riesgos de seguridad”, apunta Luis Pastor, socio de Grant Thornton. “La información crítica de un hotel o un hospital es muy diferente de la de un banco, y la de un ayuntamiento de la de una empresa logística”, añade.

Por sectores, las empresas del sector de la salud son las más propensas a asignar un perfil de riesgos a sus datos (76%), muy por encima de la proporción de empresas de sectores como los servicios financieros (50%) o los servicios profesionales (53%).

El estudio de Grant Thornton concluye que, en términos generales, una proporción elevada de directivos en los 36 países analizados no conoce los datos de los que dispone o no consigue gestionar los riesgos asociados. Solo el 65% de los encuestados toma medidas para conocer de forma clara los datos y la información relevante que poseen en sus organizaciones. Y, más preocupante aún, solo el 56% asigna un perfil de riesgo a este activo de negocio tan crítico.

Para ser lo más eficientes posible, el informe destaca la importancia de que las organizaciones asuman que la cantidad de datos de los que disponen es inabarcable. Por ello, recomienda identificar las “joyas de la corona” y centrar todos sus esfuerzos en su protección. Entre ellas, datos referidos a I+D, patentes o secretos comerciales, planos, datos personales de clientes, historiales de pacientes, claves de seguridad o informes confidenciales.