"Ciberriesgo": una amenaza creciente para la empresa
Las empresas son conscientes de los muchos beneficios que las nuevas tecnologías aportan a su negocio. El uso de internet, sistemas informáticos, dispositivos electrónicos, etc., no deja de crecer y cada vez tiene una mayor influencia en la gestión de las compañías y en la forma en que éstas prestan sus servicios y venden sus productos, ya sean pymes o grandes empresas.
Sin embargo, esta apuesta decidida por la tecnologización de las empresas contrasta con el desconocimiento, o peor aún, despreocupación de los empresarios sobre los riesgos reales derivados del uso de las nuevas tecnologías. Por el momento, únicamente las grandes empresas y las empresas tecnológicas (más conocedoras del peligro efectivo) parecen estar tomando conciencia, poco a poco, de los verdaderos riesgos que afrontan en este nuevo reto. Sin embargo, si hablamos de la empresa en general, la cuestión del «ciberriesgo » se percibe como un problema ajeno y demasiado sofisticado, algo casi de ciencia ficción.
Este desconocimiento sobre el «ciberriesgo » se produce, a mi juicio, en una triple vertiente: (I) se desconoce la dimensión real del problema; (II) se desconocen las actuaciones que engloba el «ciberriesgo»; (III) se desconocen, finalmente, sus consecuencias y el impacto que puede tener en la empresa. Este desconocimiento hace que se minusvalore un problema que puede ser grave y que puede «aparecer» en cualquier momento y en cualquier empresa.
En primer lugar, lo primero que desconoce el empresario, como decimos, es la verdadera dimensión del problema. Para tomar conciencia de la realidad, nada mejor que exponer algunos datos: hoy día se estima que la «ciberdelincuencia» cuesta en torno a 445.000 millones a la economía mundial. En España se producen más de 70.000 ataques informáticos al año, las pérdidas por robo de información se estiman en 482 millones de euros anuales y los delitos como robos de información, «ciberextorsión», sabotajes en la red o falsificación de documentos no paran de crecer. Como muestra, el año pasado las estafas informáticas aumentaron un 60% respecto al año anterior, según la Fiscalía General del Estado. Este crecimiento ha hecho que, por ejemplo, en el sector asegurador se considere el «ciberriesgo» como uno de los 10 principales riesgos globales actualmente. Como vemos, el problema tiene ya una dimensión importante y la tendencia va claramente en aumento.
En segundo lugar, también se desconocen los verdaderos riesgos asociados al problema. Cuando se habla de «ciberriesgo» se tiende a pensar en un hacker accediendo al sistema de la empresa, pero no es solo eso. El riesgo puede estar también en el robo de ordenadores o dispositivos móviles, en el envío de un correo electrónico a una dirección incorrecta, o incluso en la pérdida de un simple pendrive con información de un cliente. De hecho, aunque lo primero en que se piensa al hablar de «ciberriesgo» es en virus, hackers, espionaje en internet, «ciberextorsión», etc., lo cierto es que el principal riesgo procede de la propia empresa, por actuaciones negligentes o incluso maliciosas de los propios empleados. No en vano, se estima que existe un trabajador detrás del 70% de los incidentes graves sufridos por las empresas en materia de «ciberriesgo».
En tercer y último lugar, el empresario también ignora cuáles son las consecuencias que puede tener para su empresa este tipo de riesgos. La materialización de alguno de los «ciberriesgos» puede llevar aparejada, además de una pérdida económica directa, la interrupción de la actividad de la empresa o un mal funcionamiento de la misma, la pérdida de datos e información (que no siempre pueden recuperarse), el perjuicio reputacional en el mercado, reclamaciones de terceros por incumplimientos, etc. A ello debemos añadir que si el incidente afecta a datos personales, puede implicar la imposición de una sanción por la Agencia Española de Protección de Datos, que recordemos puede ascender a 40.000, 300.000 y 600.000 euros, en función de cómo se catalogue la infracción. Además, la propia gestión del incidente implica un desembolso económico que puede ser relevante, pues normalmente requiere la participación de expertos en la materia y de asesoramiento legal especializado desde su inicio. Como muestra de estos perjuicios, es reciente y conocido el caso de la web de contactos Ashley Madison, donde los hackers filtraron gran cantidad de datos de sus usuarios. El daño reputacional es evidente, y según diversas informaciones, la empresa se enfrenta a reclamaciones de sus clientes por importe de 576 millones de dólares.
En atención a lo expuesto, es indudable que el «ciberriesgo » es un problema real y actual del que las empresas deben tomar conciencia y ocuparse. A tal efecto, es muy recomendable realizar un examen de los verdaderos riesgos que cada empresa asume en su operativa con las nuevas tecnologías, pera tener un diagnóstico real que identifique por dónde puede venir el problema. También es muy aconsejable traspasar parte de ese riesgo a una póliza de seguro. Desde hace aproximadamente cinco años se comercializan en nuestro país por diversas compañías aseguradoras contratos de seguro específicos para cubrir estos riesgos. Se trata de pólizas que suelen ofrecer, junto a las coberturas más habituales adaptadas a los «ciberriesgos», otras coberturas más específicas, como servicios de consultoría informática durante y después del siniestro.
Finalmente, si el riesgo llega a materializarse es fundamental una rápida actuación en la que desde el primer momento la empresa cuente con el asesoramiento de expertos, tanto a nivel técnico como jurídico. Resulta crucial erradicar cuanto antes el problema, restablecer la normalidad y minimizar el daño que pueda venir de sanciones o reclamaciones de terceros.