«Las empresas se pueden clasificar en dos grupos: las que ya han sido atacadas y las que lo van a ser«. Es la contundente afirmación de un análisis de AIG sobre cómo concienciar a la alta dirección en materia de ciberseguridad. «Más allá de preveer ‘si’ una empresa va a ser atacada, hay que poner el foco en ‘cuándo y cómo’ lo será, además de las consecuencias que tendrá«, subraya.

La aseguradora cita el ataque cibernético sobre servicios como Twitter, Spotify y Reddit en grandes zonas del mundo y llevado a cabo, en parte, por dispositivos incautos conectados a Internet. Pero también Microsoft, que no pudo evitar el ataque de un virus que afectó a miles de usuarios; Sony, con su PlayStationSon, a la que ocasionaron un bloqueo de más de 77 millones de cuentas y supuso unas pérdidas de 171 millones de dólares; Ashley Madison, víctima de un ataque de hackers que habían recopilado direcciones y nombres reales, y que sufrió demandas de sus usuarios por valor de 151 millones de dólares.

«No hay empresa alguna que pueda garantizar que no será atacada y que, en el caso de serlo, saldrá indemne«, insiste el informe de AIG, que plantea «la necesidad de asumir con resignación que esta modalidad de ataques se van a volver más y más frecuentes».

«Las pymes cobran especial relevancia en este contexto y son claras candidatas a recibir los efectos del cibercrimen, considerado hoy como el primer delito mundial», insiste la aseguradora.

«Dada la magnitud del peligro y el riesgo de los ciberataques, se hace necesario que la más alta dirección y el consejo de administración de las empresas estén altamente involucrados y comprometidos con esta causa. Sin duda, las empresas que no quieran asumir esto lo van a arriesgar todo», resalta el análisis de AIG.

«Los gestores de las compañías deben asumir este reto y concienciar de la necesidad de invertir lo necesario para la prevención de estos ataques y sus consecuencias, a la par que animar hacia un cambio de mentalidad que implique estar preparadas para estas inevitables situaciones», insiste.

AIG ha elaborado cuatro tareas para que la alta dirección y el consejo de administración se comprometan con la lucha contra los ciberdelitos:

1.-concienciarse de que la ciberseguridad es materia de riesgo corporativo, no meramente tecnológico.

2.-entender que hay tres tipos de riesgos que debe gestionar: reputacional, de seguridad y legal.

3.- diseñar e implementar un plan de comunicación interna de ciberseguridad, que informe del “qué” y del “cómo” de los posibles ataques, y que resuelva las dudas de los trabajadores.

y 4.- inventariar los datos sensibles y compartimentar los que más perjuicio puedan causar a la empresa.

La dirección y el consejo de administración de la empresa deben ser capaces de anticipar los contextos y niveles de amenaza y riesgo. Para ello, tienen que considerar a la ciberseguridad como un «nuevo, inevitable y muy relevante riesgo». «Es conveniente también especificar métricas y cifras detrás de tales amenazas para plantear argumentos de coste/ beneficio». Conclusión: «la preocupación por la ciberseguridad en una compañía debería ser similar a la que una persona tiene por su salud».

AIG pone ‘deberes’ a la dirección y al consejo de administración de una empresa:

1.- disponer de una visión general de la ciberseguridad, su necesidad y riesgos.

2.-conocer el riesgo reputacional que puede significar un ataque de este tipo.
3.-saber cómo reducir y transferir el riesgo.
4.-conocer los planteamientos preventivos y de mitigación de daños.
5. conocer la responsabilidad civil individual y empresarial en la que se puede incurrir.
y 6.-conocer cómo puede influir en el valor de la acción y en el accionista.