Del ‘Yes, we can’ al ‘Yes, we scan’

Obama acaba de admitir que lo sabe todo, pero además de todos, vamos, que nos espía a través del programa PRISMA (el que sus detractores han definido como “el mayor sistema de vigilancia masiva de la historia”). Y seguro que se ha quedado corto en decir lo que sabe.

El mundo se ha enterado hace unas semanas que el Gran Hermano era Obama y que, sólo o en compañía de otros, lo sabe todo de los americanos y de los demás. Los atentados del 11-S desataron una locura por la seguridad que dio lugar a la intervención de mails, chats, conversaciones y redes sociales bajo el argumento de que seguridad e intimidad son términos incompatibles, al menos por debajo del Principio de Pareto del 80%: con un 80% de seguridad nuestra intimidad se reduce al 20%, y viceversa. Pese a ello, la popularidad del presidente Obama, lejos de caer, ha subido, prueba de que la inmensa mayoría de los ciudadanos americanos prefieren la seguridad a la privacidad. ¿Y nosotros? 

Estados Unidos ha reconocido que su primera amenaza ya no es el terrorismo internacional, sino los ciberataques. De ahí -dicen- la necesidad de espiar. Espionajes aparte, lo cierto es que la ciberdelincuencia está en auge y las guerras del siglo XXI se librarán en el ciberespacio.

Ya no es noticia que un hacker se introduzca en el Pentágono, la Casa Blanca, el MI6 o en la web del primer ministro de cualquier Gobierno… incluso la primera dama de los Estados Unidos ha sido víctima de un robo de datos personales. Si los hackers acceden a los servidores de los centros supuestamente más protegidos, ¿se imagina lo que podrían hacer en su empresa?

La ciberdelincuencia tiene la capacidad de multiplicarse de forma vertiginosa, renovarse constantemente e innovar en nuevas formas de intrusión, mutando y reproduciendo el malware, lo que, unido a su capacidad de adelantarse a cualquier reacción, la convierte en un riesgo lesivo.

Un coste de 20.000 millones anuales para España

Cada año se incrementa en el mundo un 50% el número de ataques y, desde hace cuatro años, han aumentado más del 400%. Casi el 6% de los ataques es de magnitud crítica y el 25% grave. Los ciberdelitos cuestan casi 400.000 millones de dólares anuales en el mundo y cerca de 20.000 millones de euros al año en España, lo que representa el 1,4% del PIB español (bastante más que el tráfico de drogas).

Los ciberdelitos cuestan casi 400.000 millones de dólares anuales en el mundo y cerca de 20.000 millones de euros al año en España, lo que representa el 1,4% del PIB español (bastante más que el tráfico de drogas)Pese a estos datos, en el Barómetro del CIS de marzo 2013 la ciberseguridad no aparece en la lista de las 35 principales preocupaciones de los españoles. Las empresas españolas destinan menos del 1% de su presupuesto a la ciberseguridad, frente al 8% de media de la Unión Europea y casi el 15% en Estados Unidos. De hecho, se dedica menos del 0,1% del total de las primas del seguro español a la compra de seguros de ciberseguridad, mientras que en Estados Unidos lo tiene el 75% de las empresas de servicios y el 72% de los centros educativos, de forma que en la media global, una de cada tres empresas americanas tiene una protección frente a los ciberriesgos. En Europa, una de cada cuatro empresas admite que estos son importantes, pero una de cada dos reconoce que está nada o poco preparada para afrontarlos.

La ciberseguridad será la obsesión del próximo bienio en todo el mundo. La Unión Europea ya trabaja en una directiva para armonizar y combatir los ciberdelitos en los 27 estados miembros, pero con ello no se conseguirá nada si las empresas no son proactivas en protegerse. Por eso es muy recomendable empezar a implementar en la empresa las figuras del community manager y el data officer y dedicar, al menos, el 2,5% del presupuesto anual de la compañía a la ciberseguridad.

¿Cómo actuar ante estos riesgos? La empresa debe conocer los riesgos que tiene y su vulnerabilidad frente a los ciberataques. No hay peor riesgo que la ignorancia. Además, debe adoptar las medidas correctivas o implementar los procesos necesarios para reducir al mínimo el riesgo de ciberataques y cuantificar su impacto en el nivel más bajo posible. Para reducir ese impacto económico de la ciberdelincuencia en la cuenta de resultados de la empresa, asegurarse es una muy buena recomendación.

Y recuerde, hay dos clases de empresas: las que han tenido un ciberataque y las que lo van a tener.

*José María Elguero, director del Servicio de Estudios de MARSH, es doctor en Derecho y doctorando en Ciencias Políticas por la Universidad Complutense de Madrid. Es master in Business Administration MBA por el Instituto de Empresa de Madrid y profesor del Master de Derecho de la Empresa de la Universidad Pontificia de Comillas ICADE, además de profesor en otras escuelas de negocios y universidades españolas y peruanas. Es autor de diez libros en materia de responsabilidad civil y seguros y numerosos artículos en revistas del sector.