¡Seguridad en el Café! La empresa española tiene una asignatura pendiente con la seguridad digital, en la que invierte menos de un tercio de lo que debe.
En la actualidad se invierte entre un 4 y un 10% de su presupuesto total de TI; es decir, según los cálculos más optimistas, de los 86.000 millones de euros facturados por el sector en 2014 (las cifras de 2015 de la patronal Ametic no estarán disponibles hasta septiembre) se han dedicado a seguridad un máximo de 8.600 millones de euros.
Como cifra parece muy contundente pero la pregunta es: cuánta inversión necesita un site para lograr un nivel óptimo de seguridad. Este informe está realizado bajo la premisa de que no existe ninguna web segura, sino empresas y organismos conscientes del peligro al que se enfrentan por su exposición digital y, por ello, activas en la protección de sus sites.
Julio Gómez, experto en seguridad informática, Product Manager & Security Consultant en Telefónica y profesor de ISDI, certifica que “la tecnología evoluciona y, con ella, llegan siempre nuevos riesgos y ataques. En los últimos años ya se ha hablado de gente que es capaz de manipular marcapasos o que son capaces de controlar trenes. Los coches autónomos ya han tenido también algún que otro percance y cuanto más evolucionemos hacia el Internet de las cosas más sencillo será encontrar este tipo de noticias“.
Calculando La Inversión En Seguridad Digital
Esto implica que la seguridad es siempre una situación de vigilancia, control y análisis que persigue pero nunca alcanza la perfección. Aun así, las cifras que ofrecen los diversos estudios y estimaciones apuntan a un crecimiento acelerado de los ataques que no se corresponde con el mismo cuidado por parte de las empresas:
· Sobre el nivel de inversión: casi el 60 por ciento de las empresas españolas invierten más de 1.000 euros al año en seguridad;
· Sobre los ataques: diariamente se identifican 160.000 webs que tienen puntos débiles de seguridad; más de 320.000 direcciones IP registran actividad maliciosa;
· Sobre los costes:
o un informe de Kaspersky, líder en soluciones antivirus, calcula que las pérdidas provocadas por una brecha de seguridad pueden ir desde los 33.000 euros de una pyme hasta el medio millón de euros de una gran empresa;
o España recibió 45.000 amenazas en 2015 con un coste de 45.000 millones, el 1,4% del PIB;
o la Policía registró en 2014 hasta 70.000 ataques en España;
o ahora se producen un 44% más de ataques informáticos en el mundo que los que sucedían en 2008 (McAfee y CSIS). Los delitos informáticos provocan unas pérdidas por valor de 326.677 millones de euros para la economía global.
Quien invierte y quién debería invertir
Partiendo de la premisa de que nadie está a salvo, Julio Gómez se basa en su experiencia para reconocer que “ninguna empresa (no importa su tamaño), le da importancia a la seguridad hasta que no tiene un incidente: ya sea un ataque, una fuga de información o un problema con un virus (malware). Y no es una cuestión de tamaño porque he visto a empresas del Ibex35 con fallos de seguridad de pymes e incluso a pure players que tienen graves deficiencias de seguridad y han tenido muchos problemas a pesar de ser compañías cien por cien digitales. Todas las empresas pueden y deben mejorar”.
No obstante, es obvio que no todos los sites necesitan el mismo nivel de protección ni están expuestos a los mismos riesgos: “depende del tipo de contenido que haya en la web y el porcentaje que se genera a partir de acciones del usuario – comenta Gómez-. Es decir, en un blog, el contenido lo publica una empresa (o el propietario) y el lector no interactúa con él más allá de añadir algún comentario o algún botón social, pero no puede hacer nada más. Por otro lado, hay sites que viven del contenido que generan los usuarios y es mucho más probable que se encuentre un fallo grave de seguridad en ellos”.
Con una media de inversión necesaria de 6.250 euros al año tirando por lo bajo (trabajar en un sistema de seguridad requiere aún más inversión), la Internet española debería estar invirtiendo unos 21.875 millones, casi tres veces más que los aproximados 8.600 que se dedican en la actualidad. Y es una estimación conservadora.
El análisis por sectores arroja los siguientes datos:
- la banca es el sector que más invierte en seguridad, seguido por las empresas que se consideran de infraestructuras críticas: energía (incluyendo centrales nucleares), proveedores de servicios de telecomunicaciones (Telefónica, Telvent, etc.) y aguas;
- entre los organismos públicos invierten bastante los ministerios y grandes instituciones como la DGT. Sin embargo, en los ayuntamientos existe un enorme déficit de inversión y tienen grandes problemas de seguridad;
- las empresas del sector retail invierten, pero no en exceso, a excepción de Inditex y El Corte Inglés;
- las aseguradoras son las siguientes en volumen de inversión, pero en menor medida.
Los riesgos y los enemigos
La seguridad informática o seguridad de tecnologías de la información es el área de la informática que se enfoca en la protección de la infraestructura de TI y todo lo relacionado con ésta, especialmente, la información contenida o circulante. Es importante resaltar que en Internet la presencia equivale ya a tener exposición y todas las empresas están expuestas a través de su página web, el correo electrónico, las redes sociales, los servicios online, el ecommerce…
¿Quiénes son los enemigos? Según Julio Gómez:
- Aunque las mafias controlan gran parte del crimen organizado en Internet y el móvil principal es el dinero, las técnicas de ataque han ido evolucionando: Antes se limitaban a fraudes (phishing) y malware orientado al usuario final (los consumidores) pero en el último año y medio han cambiado de objetivo con la evolución de un tipo de virus conocido como Cryptolocker, que lo que hace es cifrar la información del disco duro y luego pide un rescate para recuperarla. Este tipo de malware está afectando a muchas empresas que están teniendo serios problemas y que en muchos casos acaban pagando el rescate.
- Por otro lado, en los últimos cinco años se ha venido detectando un aumento considerable de los ataques por ciberespionaje, ciberguerra e incluso ciberterrorismo. Las empresas se atacan entre ellas aunque ninguna lo admita. Pero mucho más grave son los ataques de los gobiernos, que son players muy representativos del sector. Países como China, EEUU o UK están a la cabeza de ataques perpetrados contra otros gobiernos o contra empresas de otros países.
- En menor escala, también se encuentran los hacktivistas que son grupos de personas que atacan empresas y organismos públicos normalmente con una justificación moral o ideológica.