A menudo encontramos en la prensa reportes con ataques cibernéticos millonarios a empresas y otro tipo de organizaciones. Lo interesante es que no solemos enterarnos de todos los ataques que se registran ni del verdadero alcance que tienen. ¿Qué tan grande puede ser el costo de estos?

El Reporte Anual de Seguridad Cibernética 2017 (ACR, por sus siglas en Inglés) de Cisco, señala que más de un tercio de las organizaciones que sufrieron un ataque en el 2016 reportaron una pérdida sustancial de clientes, oportunidades e ingresos de más del 20%. Es decir, el costo de un ataque va mucho más allá de lo estrictamente monetario del momento. También existen otras consecuencias, como lo muestra este estudio.

El informe, que encuestó a cerca de 3.000 jefes de seguridad (CSOs) y líderes de operaciones de seguridad de 13 países, reveló el costo comercial incluyendo tanto las grandes empresas como las pymes. Primeramente, los sistemas de operaciones y financieros fueron los más afectados, seguido por la reputación de la marca y la retención de clientes. Así, más del 50% de las organizaciones se enfrentaron al escrutinio público después de una brecha de seguridad.

Según el informe de la compañía norteamericana, para las organizaciones que sufrieron un ataque, el efecto fue considerable:

-El 22% de las organizaciones quebrantadas perdieron clientes. El 40% de ellas perdió más del 20% de su base de clientes.
-El 29% perdió ingresos. 38% de ese grupo perdió más del 20% de los ingresos.
-El 23% de las organizaciones atacadas perdió oportunidades de negocio. El 42% de ellas perdió más del 20% de las oportunidades.

¿Por qué somos atacados?

La motivación de los delincuentes con estos ataques es clara: el lucro. Pero, sabiendo eso, y que debemos protegernos, es importante conocer cuáles fueron las brechas o puertas que le permitieron a los hackers ingresar a los sistemas y finanzas de las empresas.

Entre las trabas para robustecer las capas de seguridad de las compañías, los CSOs entrevistados por Cisco citan limitaciones presupuestarias, mala compatibilidad de los sistemas y falta de talento capacitado como los obstáculos más grandes para avanzar en sus estrategias de seguridad. Los líderes también revelan que sus departamentos de seguridad son entornos cada vez más complejos, el 65% de las organizaciones utilizan de seis a más de 50 productos de seguridad, aumentando el potencial de las brechas de eficacia.

Pese a eso, otras mediciones muestran que el 90% de estas organizaciones están mejorando las tecnologías y procesos de defensa de amenazas después de los ataques. Entre las formas que han ideado para lograrlo se encuentran: separando las funciones de TI y seguridad (38%), aumentando el entrenamiento de sensibilización de seguridad para los empleados (38%) e implementando técnicas de mitigación del riesgo (37%).

Sin embargo, uno de estos últimos puntos sigue siendo sensible para las empresas: el comportamiento de los propios empleados. Según el informe IT Security Risks Report 2016 de Kaspersky Lab, las acciones de los empleados se encuentran entre los tres principales desafíos de seguridad que hacen sentir vulnerables a las empresas en el mundo.

Más de la mitad (61%) de las empresas que experimentaron incidentes de ciberseguridad en 2016, admitió que el comportamiento negligente y poco informado de los empleados ha sido un factor contribuyente.

De igual forma, sólo el 36% de las empresas pequeñas (50 empleados o menos) se preocupa por los descuidos de su personal que pueden conducir a un ciberataque, mientras que más de la mitad de las empresas medianas y grandes los consideran muy preocupantes.

Sumado a esto, Cisco identificó que los criminales lideran el resurgimiento de los vectores de ataque "clásicos", como el spam de correo publicitario y de correo electrónico, este último a niveles no vistos desde 2010. El correo basura representa casi dos tercios (65%) del 10% citado como malicioso. El volumen global de spam está aumentando, a menudo propagado por grandes y prósperos botnets.

Así, durante 2016 observamos cómo el hacking se volvió más “corporativo”. La digitalización y aparición de nuevas tecnologías están ampliando el espectro y la superficie de ataque para los cibercriminales, quienes además pueden abusar de técnicas ya probadas anteriormente en las que muchos siguen cayendo y donde el costo de no prevenirlas puede ser realmente alto.