Un ciberataque provoca daños y recuperarse de él puede ser muy costoso: un seguro es "absolutamente conveniente", según el CISO global de Ferrovial

Las consecuencias de un ciberataque van más allá de un simple susto.

Si una compañía sufre un incidente informático, no solo se expone a un período de inactividad, con el lucro cesante que supone. "Si tienes la mala fortuna de estar comprometido por un ransomware, el ataque puede tener muchas derivadas", advirtió Juan Cobo, CISO global de Ferrovial.

Cobo lanzó estas palabras en el XIV Smart Business Meeting que organizó Business Insider España con el patrocinio de Havas Media Group España y el agregador de noticias upday. Colabora: Máster en Ciberseguridades de Universidad Pontificia Comillas ICAI-ICADE ICAI.

Desde personas en paro desesperadas hasta multinacionales del crimen: los perfiles de ciberdelincuente más comunes, según el CEO de Buguroo

La primera de estas derivadas es "volver a operar". "Puede haber un tiempo de lucro cesante, con las actividades paralizadas, e incluso penalizaciones por no poder cumplir con los servicios", destaca el especialista. "Es mucho dinero".

Pero el máximo responsable de ciberseguridad para Ferrovial en todo el mundo insiste: las pérdidas pueden ir mucho más allá en caso de que  se sufra un incidente de estas características. "Recuperarte de nuevo también es mucha pasta. Las empresas, sobre todo las que son complejas por ser multigeográficas o multinegocio, verán que una recuperación de algo es altamente costosa".

Esa es la razón por la que para Juan Cobo un seguro que cubra ciberataques es "absolutamente conveniente". "Con un seguro te puedes hacer cargo de muchos de los costes de la recuperación. Antiguamente no existían en materia de ciberseguridad, pero hoy en día es imprescindible".

Los costes pueden dispararse en función de la víctima

En la misma mesa que Cobo también participó Daniel Largacha, director del Centro Global de Operaciones de Seguridad de Mapfre así como director del ISMS Forum. Precisamente desde esta última entidad, Largacha compartió en el auditorio "varios datos muy curiosos", algunos extraídos de las propias aseguradoras.

"Por ejemplo, el mal llamado fraude al CEO puede suponer en el entorno de las pymes costes de hasta 100.000 euros, con lo que muchas pueden verse abocadas al cierre, y más en el contexto económico actual", explica. "Si nos vamos a entornos multinacionales, los costes de este tipo de ataques se disparan hasta los 700.000 euros".

Sin embargo, la viabilidad de una multinacional jamás se va a ver amenazada por un incidente de estas características. Por ello aquí también entra en juego "el impacto reputacional", que es un intangible algo más difícil de medir. "Aquí hay bastante heterogeneidad. Si alguna compañía no tiene tanto trato con el usuario final, no van a verse tan afectadas".

Ni es solo prevención ni solo tecnología: claves para que las empresas empiecen a trabajar en su ciberseguridad, según el director del Centro de Operaciones de Seguridad de Mapfre

"Si otras compañías, por la naturaleza de su negocio, pueden tener más ese contacto, sí veremos cómo este intangible cuyo daño a veces es muy difícil de medir". 

"En algunos ataques con ransomware te quedas sin funcionar, por lo que en muchos casos se amenaza la viabilidad de una empresa. No creo que a nadie se le pueda ocurrir ninguna empresa que pueda funcionar sin sistemas de información", destaca Largacha al término de su intervención. Un ejemplo más por el que el seguro se torna imprescindible para muchas organizaciones.

Los análisis de riesgo son imprescindibles

Para que una empresa sea consciente de los riesgos a los que se expone, es necesario realizar primero un análisis sobre los mismos. Juan Cobo detalló cómo lo hacen en Ferrovial.

"Tenemos una Dirección de Riesgos que consolidan todos los riesgos de nuestras líneas de negocio y actividades, y de ahí se saca un cálculo, como por ejemplo, cuál es el top 10 de nuestros mayores riesgos", recalcó. "Pero en ciberseguridad no reinventamos la rueda: hay muchos estándares en el mercado para gestionar y analizar estos riesgos, proponer marcos de control, modelos".

La ciberseguridad también tiene unas "consecuencias emocionales" que pasan "desapercibidas", advierte Selva Orejón, especialista en reputación digital

En ese sentido, cuando Ferrovial presenta un nuevo activo, como una autopista o un aeropuerto, "primero hay que ver qué amenazas hay a su alrededor". "Las hay más o menos genéricas. Algunas que por contexto o actividad solo te pueden afectar a ti, otras que no. Luego hay que tener en cuenta qué tipo de actividades hay por defecto ya desplegadas contra esas amenazas".

Esto genera lo que luego se conoce como umbrales o apetitos de riesgo. "Cuando identificas brechas entre las amenazas y las medidas de control que tú tienes, la gente dirá que quiere cubrir o todo el riesgo, o al menos el 50%". Es la asunción de riesgos, que varía dentro de cada organización.

Si quieres ver el evento completo, pincha aquí.