ciberseguridad datosEl 48% de las microempresas españolas (entre 1 y 9 empleados) ha sufrido un incidente cibernético en 2018, según se desprende del último informe Hiscox Cyber Readiness Report 2019, que analiza la situación y estrategias de ciberseguridad de empresas de 7 países: España, EEUU, Gran Bretaña, Alemania, Holanda, Francia y Bélgica.

“Entre toda la información que nos ofrece la nueva edición de nuestro informe hemos querido poner el foco en cómo nuestras microempresas, que suponen el 40% del tejido empresarial español, se enfrentan al nuevo paradigma de la ciberseguridad. Aunque cada día es más habitual encontramos con negocios que desarrollan e integran la estrategia de ciberseguridad en su actividad este esfuerzo no se ve reflejado en los resultados de nuestro estudio. Principalmente por la falta de recursos de este tipo de empresas y porque las ciberamenazas, sus consecuencias y el impacto negativo en los negocios evolucionan a mayor velocidad y cada día son mayores”, ha comentado Alan Abreu, suscriptor líder de Cyber de Hiscox.

Este informe revela que está creciendo la cultura de ciberseguridad pero, aun así, no es suficiente. Una de cada dos (50%) de las microempresas españolas encuestadas prevé aumentar su presupuesto en ciberseguridad en los próximos 12 meses. Sobre a qué partidas se dedicarán dichas inversiones: casi la mitad de ellas (39%) prevé adquirir nuevas tecnologías de seguridad, el 31% planea invertir en formación sobre ciberseguridad para su equipo, y el 21% espera contratar a nuevos empleados con capacidades de ciberseguridad a lo largo de 2019.

Además, solo en el 51% de las microempresas el máximo responsable de la compañía está implicado en el diseño e implantación de la estrategia de ciberseguridad. Y que el 28% de las microempresas analizadas no han realizado ningún cambio en su actividad tras la entrada en vigor del RGPD. “La necesidad de desarrollar una estrategia de ciberseguridad debe partir de la dirección de la compañía pero en seguida filtrarse y establecerse como una responsabilidad transversal que implique a todo el equipo. En este nuevo paradigma las compañías aseguradoras debemos tener un papel relevante”, comenta Abreu.

El coste supera los 2.000 euros

Analizando el coste que han supuesto estas incidencias, las compañías españolas que fueron atacadas reportan un gasto medio anual de más de 2.000 euros en costes directos derivados por estos ciberataques, una de las cifras más bajas comparadas con las del resto de países analizados: Alemania 3.900 euros, Bélgica 3.300 euros, Holanda 3.000 euros, Gran Bretaña 2.600 euros, Francia 2.200 euros, EEUU 2.000 euros.

Respecto a la inversión en ciberseguridad, las microempresas españolas son las que menos porcentaje del presupuesto total de TI destinan a esta área (6,5%), si las comparamos con el resto de microempresas europeas: belgas (11,5%), holandesas (9,6%) británicas (8,0%), alemanas (7,9%) y francesas (7,5%).

Tardamos en darnos cuenta del ataque y no sabemos qué hacer cuando lo descubrimos

Los incidentes de naturaleza cibernética más comunes entre las microempresas españolas han sido: virus informático (27%), ataque de ransomware (12%) y fraude en las transferencias bancarias por suplantación de identidad (10%).

Por otro lado, evaluando el proceso de detección y gestión del incidente, las microempresas españolas reconocen que en el 50% de las ocasiones pasaron más de 3 horas hasta descubrir que habían sufrido el incidente. Solo en el 19% de los casos el problema fue descubierto antes de que pasara una hora. En 3 de cada 10 incidentes (33%) la compañía no recuperó su actividad normal hasta pasadas 8 horas tras la detención.

Una vez que se ha resuelto el ciberataque, en el 50% de las ocasiones la compañía no tomó ninguna nueva medida o protocolo para mejorar su estrategia de ciberseguridad. Las inversiones más habituales entre aquellas que sí que realizaron alguna acción, se destinaron a la adquisición de nuevas tecnologías de prevención (18%), detección (12%) o programas de respuesta ante incidentes cibernéticos (10%).

Campaña ‘Real World Hack’

Para concienciar sobre esta realidad, Hiscox ha lanzado la campaña ‘Real World Hack’, que recrea cómo sería un ciberataque, paso a paso, en la vida real. En el vídeo el objetivo es una tienda de bicicletas, y se pueden distinguir algunos de los ciberdelitos más comunes que afectan a las empresas: el phising, que implica el robo de identidad de un negocio (aparece una tienda idéntica, en la misma calle, ante la sorpresa de los empleados); el robo de clientes y mercancías; o un cibersecuestro, en el que se exige un pago en menos de 24 horas para que la microempresa pueda continuar con su actividad.