Un contexto de creciente preocupación por la ciberseguridad y resiliencia
La acelerada digitalización, combinada con el crecimiento de las tensiones geopolíticas, ha venido acompañada de un aumento de la polarización, la erosión de la confianza y la ciber-inseguridad. En este marco la ciberseguridad cobra una relevancia fundamental. El Foro Económico Mundial (WEF) identifica la ciber-inseguridad como uno de los 10 principales riesgos mundiales, y los ciberataques son una de las tres mayores preocupaciones de los sectores público y privado a nivel global.
Desde la pandemia, el número de ciberataques se ha duplicado. El 29% de las organizaciones ha sufrido uno en el último año y el 91% de los directivos cree que podría producirse un ciber-incidente de alto impacto en los próximos dos años. La cadena de suministro y el ecosistema de las organizaciones son especialmente relevantes, ya que el 41% de los ciber-incidentes tienen su origen en terceros.
Y lo que es más preocupante, existe una brecha cada vez mayor entre las organizaciones que son ciber-resilientes y las que no lo son. Según Cisco, sólo 3% de las organizaciones a nivel mundial tienen un nivel de preparación suficiente para resistir las amenazas de ciberseguridad. Por otro lado, menos de una cuarta parte de las PYME disponen de ciberseguro, frente al 75% de las más grandes y que más del doble de PYME que de grandes organizaciones afirman carecer de la ciber-resiliencia necesaria para satisfacer sus requisitos operativos críticos, lo cual puede retrasar su evolución en el mundo digital.
Los costes de la ciber-inseguridad son elevados
El coste de los ciberataques o de las filtraciones de datos es cada vez más elevado: se calcula que el coste medio total por incidente para las grandes organizaciones asciende a 4 millones de dólares. El coste mundial es muy elevado, en torno a 9,5 billones de dólares para 2024, lo que equivale a la tercera economía mundial después de Estados Unidos y China.
La ciber-inseguridad conlleva costes directos e indirectos, para la sociedad y para las empresas: riesgos para la seguridad y la privacidad de las personas, costes derivados de la interrupción de los servicios, incluidos servicios críticos para la sociedad, pago de rescates, pérdida de datos e información relevante, responsabilidad legal ante terceros, sanciones o pérdida de reputación con el consecuente impacto en la valoración o incluso viabilidad empresarial.
¿Y cuáles son los retos?
Los avances en la digitalización sólo pueden ir de la mano de una adecuada ciber-resiliencia, fomentando la confianza y la inclusión de todo el tejido productivo. Las empresas en sectores más conectados o con activos más interesantes para los atacantes, con peor protección (como las PYME), en países de mayor riesgo geoestratégico o con peor índice de ciber-legislación, son las que presentan una mayor exposición al riesgo, de acuerdo con el informe de ciber-riesgos del Fondo Monetario Internacional.
Pero, el mayor éxito de la ciberseguridad es silencioso, por lo que las empresas y los gobiernos pueden tener dificultades para justificar la rentabilidad de la inversión en mejoras de resiliencia. En efecto, los agentes tienden a reforzar sus ciberdefensas después de un incidente, lo que indica que se produce un proceso de aprendizaje dinámico. Al igual que en otras inversiones como la I+D, los incentivos privados o de la administración pública para hacer frente a los riesgos de ciberseguridad pueden diferir del óptimo social, como señala el Fondo Monetario Internacional. La ciberseguridad tiene externalidades positivas en la economía y, al mismo tiempo, puede haber un fallo de mercado debido a la dificultad de justificar el rendimiento de estas inversiones.
Un marco de políticas públicas y regulación complejo y fragmentado
Las políticas y la regulación en materia de ciberseguridad para aumentar la ciber-resiliencia se perfilan en la actualidad como un marco fragmentado, complejo, transversal y en constante evolución, que busca orientarse a los riesgos, en un mundo digital global no exento de tensiones geopolíticas, en el que surgen nuevas tecnologías.
Los motivos de los ataques varían, si bien los atacantes suelen estar movidos por el dinero (bandas organizadas), pero también por el reconocimiento y las causas políticas o sociales. No es suficiente aumentar la ciber-resiliencia (mejorar el escudo), sino que es imprescindible avanzar de forma efectiva en la lucha contra el cibercrimen que trasciende las fronteras nacionales.
En este nuevo mundo, el ciberseguro desempeña un papel clave en la protección contra los riesgos. Los ciberseguros, conocidos también como seguros de ciberriesgo, son contratos que las empresas pueden suscribir para protegerse de las pérdidas financieras o de responsabilidad asociadas a los ciberincidentes. Las coberturas pueden variar. Los costes del ciberseguro están aumentando y las agencias de calificación de ciberseguridad están ganando protagonismo en un contexto de falta de transparencia y ausencia de regulación, a diferencia de las agencias de calificación crediticia.
Carencia de profesionales especializados o de cultura de ciberseguridad
El factor humano y cultural es fundamental. Y la carencia de profesionales es muy elevada: la mejora de la ciber resiliencia necesita casi del doble de profesionales de los actuales. La mano de obra en ciberseguridad asciende a 5,5 millones en todo el mundo. A pesar de su crecimiento, la brecha sigue aumentando y para 2023 se necesitarían unos 4 millones de profesionales adicionales en todo el mundo.
En Europa, la encuesta del Eurobarómetro publicada en mayo de 2024 muestra que la escasez en las empresas de ciber-capacidades es cada vez mayor, con una necesidad de más especialistas en ciberseguridad y empleados altamente concienciados en ciberseguridad. Si bien existe un consenso general en que la ciberseguridad es una gran prioridad para las empresas (71%), la adopción de medidas sigue siendo el principal reto, especialmente en términos de cultura o formación.
Recomendaciones para la mejora de la ciber-resiliencia
Tras un análisis de la situación europea, el Consejo de la Unión Europea ha adoptado unas conclusiones en mayo 2024 y propone una serie de medidas, entre ellas, la presentación de una Estrategia Europea de Ciberseguridad revisada, que actualice la actual Estrategia de Ciberseguridad de la UE que se remonta a 2020..
En un mundo cada vez más conectado, desarrollar la ciber-resiliencia y aumentar la confianza digital, para una digitalización integradora, requiere de una mejor colaboración, marcos adecuados, desarrollo de capacidades e incentivos. A continuación, incluimos algunas recomendaciones de ámbito general a nivel global para lograr estos objetivos:
- Potenciar la cooperación multilateral contra la ciberdelincuencia, desde la prevención, identificación y contención de incidentes hasta la investigación y la acción legal, proporcionando recursos y capacidades necesarios.
- Fomentar mejores prácticas en ciberseguridad, así como promover unos estándares de mínimos que incluyan el desarrollo de agencias independientes de ciberseguridad dotadas de recursos, estrategias y planes de ciberseguridad, incentivando uso de marcos internacionales de seguridad (ej. ISO) y de certificados reconocidos, favoreciendo transparencia y armonización.
- Mejorar la armonización, la coherencia, la simplificación normativa y la coordinación multistakeholder, evitando solapamiento o incoherencia de normativas e implementaciones, abordando la coordinación entre autoridades competentes y con las empresas, y la coherencia en los sistemas de notificación de incidentes, así como la compartición de ciber inteligencia.
- Explorar nuevos mecanismos de financiación e incentivos fiscales para la mejora de la ciber-resiliencia, capacitación, y cultura de ciberseguridad para hacer frente a las inversiones necesarias y escasez de ciber-profesionales.
- Definir y supervisar nuevos indicadores clave sobre inversión y personal especializado a nivel internacional, ante la ausencia de indicadores y para favorecer la inversión.
- Establecer unos requisitos mínimos (transparencia, información, metodología sólida) para reforzar la calidad de las ciber-agencias de calificación (o «ciberrating»), con una regulación similar a la de las agencias de calificación crediticia. Asimismo, constituir un registro oficial de agencias de ciberrating autorizadas para dar más confianza a todo el ecosistema.
La resiliencia es un estado de situación, la capacidad para hacer frente a la adversidad y mantener la continuidad de negocio. La mejora de la ciberseguridad es un primer paso necesario.