¿Cuánto dinero puede permitirse perder tu empresa si es víctima de un ciberataque?

Si piensas que este asunto nunca se aplicará a tu empresa, piénsalo de nuevo. El 23% de las pequeñas empresas y el 43% de las empresas en general fueron objeto de ciberataques en 2020, según un estudio encargado por la aseguradora especializada Hiscox a empresas de Estados Unidos y otros siete países.

El coste financiero medio de los ciberataques para las pequeñas empresas estadounidenses con menos de 250 empleados fue de 25.612 dólares. Más de la mitad de las pequeñas empresas de los ocho países cubiertos por la encuesta incurrieron en costes de al menos 10.000 dólares por ciberataque y más de la mitad de las medianas empresas (250-999 empleados) incurrieron en costes de al menos 17.000 dólares. En el extremo de la escala, el 5% de las pequeñas empresas incurrió en costes de al menos 119.000 dólares, y el 5% de las medianas empresas incurrió en costes de al menos 382.000 dólares.

En todo caso, el estudio subestima lo que ocurre cuando una empresa es pirateada. Aunque algunos de los costes de los ciberataques son bastante fáciles de cuantificar, también hay costes ocultos que son difíciles de calcular. En esta entrada del blog, analizamos las formas obvias -y menos obvias- en que los ciberataques pueden perjudicar a tu empresa.

Ataques de Ransomware

Una de las tendencias más preocupantes en ciberseguridad es la creciente prevalencia de los ataques de ransomware. En 2020, el 16% de las empresas que informaron de una violación de datos fueron atacadas con ransomware, según el estudio de Hiscox. Algo más de la mitad de las empresas atacadas (58%) pagaron un rescate para recuperar los datos o evitar la publicación de información sensible, con un importe medio de 11.900 dólares. Otro estudio sobre los ataques de ransomware contra más de 300 PYMES estadounidenses realizado por NetDiligence, especialista en evaluación de riesgos cibernéticos, reveló que la demanda media de rescate era de 12.000 dólares y la mediana de 81.000 dólares.

Respuesta a incidentes y recuperación

El coste de la respuesta a incidentes, incluidos los costes de limpieza y reparación del problema, depende en gran medida del tamaño y la gravedad de la violación de datos, así como de la propia preparación de la empresa. En un estudio reciente de grandes empresas mundiales, IBM descubrió que el coste total medio de una violación de datos para las empresas que contaban con un equipo de respuesta a incidentes era de 3,29 millones de dólares, en comparación con los 5,29 millones de dólares de las empresas que no contaban con un equipo de respuesta a incidentes. Obviamente, las pequeñas y medianas empresas incurren en menores costes de respuesta a incidentes y recuperación (la media es de 41.000 dólares según NetDiligence). Sin embargo, la cuestión sigue siendo la misma: estar preparado puede ahorrarle dinero a tu empresa en caso de un ataque de ciberseguridad.

Multas y acuerdos reglamentarios

Otro coste evidente de los ciberataques es el coste regulatorio. En 2020, el 11% de las empresas estadounidenses pagaron una multa sustancial que tuvo un «impacto significativo» en sus finanzas, según el estudio de Hiscox. En los últimos años, las grandes empresas han pagado sumas de ocho e incluso nueve cifras a la Comisión Federal de Comercio de Estados Unidos y a varios estados de ese país por no haber revelado las violaciones de datos que implicaban la información personal identificable (PII) de millones de personas. Las empresas más pequeñas tienen menos probabilidades de atraer la atención de los gobiernos federal y estatal, dado que tienen menos usuarios. Sin embargo, las PYMES no son necesariamente inmunes a la FTC y otros organismos reguladores.

Demandas judiciales

Como ha señalado el bufete de abogados Smith, Gambrell & Russell, las demandas por violación de datos han sido presentadas por consumidores, instituciones financieras, compañías de tarjetas de crédito y otras empresas afectadas por las violaciones de datos. La mayoría de las demandas por violación de datos se refieren a causas por negligencia, incumplimiento de contrato, incumplimiento de garantía, incumplimiento de deberes fiduciarios, publicidad falsa y prácticas comerciales desleales o engañosas. La mayor demanda hasta la fecha fue la del importante proveedor de seguros médicos Anthem, que pagó 115 millones de dólares como parte de un litigio colectivo relacionado con un ciberataque de 2015 que puso en peligro la información personal de 79 millones de personas. Una vez más, las PYMES tienen menos probabilidades de verse involucradas en litigios, pero tampoco son completamente inmunes.

Pérdida de PI

Otro coste difícil de contabilizar es la pérdida de propiedad intelectual. En junio de 2021, unos piratas informáticos descargaron aproximadamente 780 GB de datos de videojuegos publicados por Electronic Arts (EA) e intentaron vender partes de la caché en la Dark Web. EA dijo que el incidente no implicaba ransomware y los expertos sugirieron que la motivación principal podría haber sido » realizar estafas o kudos en la red clandestina.» Sin embargo, no se sabe lo perjudicial que puede ser la pérdida de la propiedad intelectual si su empresa es víctima de una violación de datos.

Pérdida de reputación

Aquí es donde entramos en los costes ocultos y prácticamente incuantificables de las violaciones de datos. ¿Cuál sería el coste para tu empresa de la pérdida de cada cliente existente o de cada nuevo cliente que no consigas atraer a causa de un ciberataque? ¿Y cuánto estarías dispuesto a pagar por una empresa especializada en relaciones públicas para que se encargue de controlar los daños? En los negocios, la reputación lo es todo. En los 50 estados (y en el Distrito de Columbia) existen leyes que obligan a las empresas a notificar a los usuarios las violaciones de seguridad, aunque las normas exactas varían de un estado a otro. Desde un punto de vista moral, los consumidores esperan saber cuándo sus datos se han visto comprometidos. Por lo tanto, no hay realmente una buena manera de evitar que el público se entere de que has sido víctima de una violación de datos.

Pérdida de talento

Los efectos de una violación grave podrían extenderse a la pérdida de empleados y a la dificultad para encontrar otros nuevos.  Después de todo, ¿quién quiere que su perfil de LinkedIn muestre que trabaja para una empresa con mala reputación? Además, incluso si los empleados no tienen ningún problema personal por trabajar para una víctima de un ciberataque, pueden sentir que su trabajo ahora no es lo suficientemente seguro como para justificar su permanencia.

Interrupción de la continuidad del negocio

El término «continuidad del negocio» ha surgido mucho en el último año debido a la COVID-19, pero es igualmente aplicable a otros eventos disruptivos como los ciberataques. La continuidad de la actividad consiste en mantener las funciones esenciales de la empresa durante y después de un acontecimiento perturbador. La pérdida de la continuidad empresarial puede suponer un desastre financiero. Cuanto menos preparada esté la empresa para un posible ataque informático, mayor será el coste potencial.

Evitar los daños de los ciberataques

Mientras exista el ciberespacio, también existirán los ciberdelincuentes. Para empeorar las cosas, los ciberdelincuentes son cada vez más sofisticados en su malvado plan para hackear empresas. Para evitar los daños financieros de los ciberataques y mantener la continuidad del negocio, es necesario contar con una plataforma de ciberseguridad en línea que incluya tácticas defensivas y ofensivas. Las mejores plataformas despliegan una monitorización estratégica y una inteligencia de amenazas proactiva para ahuyentar a los ciberdelincuentes antes de que puedan hackear tus sistemas, así como una respuesta rápida ante incidentes para acabar con los problemas una vez que han surgido.