El 48% de las microempresas españolas (entre 1 y 9 empleados) reporta que ha sufrido un incidente cibernético en 2018. Por su parte, compañías británicas (26%) y estadounidenses (35%) son las mejores preparadas, mientras que el 55% de las microempresas holandesas, el 53% de las francesas, el 51% de las belgas y el 43% de las alemanas han reportado algún ciberincidente en 2018.
Estos datos se desprenden del informe Hiscox Cyber Readiness Report 2019, presentado por la aseguradora especializada en seguros para empresas en colaboración con Forrester Consulting. Un estudio que analiza la situación y estrategias de ciberseguridad de empresas de 7 países: España, EEUU, Gran Bretaña, Alemania, Holanda, Francia y Bélgica.
“Entre toda la información que nos ofrece la nueva edición de nuestro informe hemos querido poner el foco en cómo nuestras microempresas, que suponen el 40% del tejido empresarial español, se enfrentan al nuevo paradigma de la ciberseguridad. Aunque cada día es más habitual encontramos con negocios que desarrollan e integran la estrategia de ciberseguridad en su actividad este esfuerzo no se ve reflejado en los resultados de nuestro estudio. Principalmente por la falta de recursos de este tipo de empresas y porque las ciberamenazas, sus consecuencias y el impacto negativo en los negocios evolucionan a mayor velocidad y cada día son mayores”, ha comentado Alan Abreu, suscriptor líder de Cyber de Hiscox.
Para concienciar sobre esta realidad, y advertir a este tipo de empresas cómo pueden estar en el punto de mira de los hackers, Hiscox ha lanzado la campaña ‘Real World Hack’, que recrea cómo sería un ciberataque, paso a paso, en la vida real. En el vídeo el objetivo es una tienda de bicicletas, y se pueden distinguir algunos de los ciberdelitos más comunes que afectan a las empresas: el phising, que implica el robo de identidad de un negocio (aparece una tienda idéntica, en la misma calle, ante la sorpresa de los empleados); el robo de clientes y mercancías; o un cibersecuestro, en el que se exige un pago en menos de 24 horas para que la microempresa pueda continuar con su actividad.
Hiscox Cyber Readiness Report 2019: microempresas
Los incidentes de naturaleza cibernética más comunes entre las microempresas españolas han sido: virus informático (27%), ataque de ransomware (12%) y fraude en las transferencias bancarias por suplantación de identidad (10%).
Evaluando el proceso de detección y gestión del incidente, las microempresas españolas reconocen que en el 50% de las ocasiones pasaron más de 3 horas hasta descubrir que habían sufrido el incidente. Solo en el 19% de los casos el problema fue descubierto antes de que pasara una hora. En 3 de cada 10 incidentes (33%) la compañía no recuperó su actividad normal hasta pasadas 8 horas tras la detención.
Resuelto el ciberataque, en el 50% de las ocasiones la compañía no tomó ninguna nueva medida o protocolo para mejorar su estrategia de ciberseguridad. Las inversiones más habituales entre aquellas que sí que realizaron alguna acción, se destinaron a la adquisición de nuevas tecnologías de prevención (18%), detección (12%) o programas de respuesta ante incidentes cibernéticos (10%).
Analizando el coste que han supuesto estas incidencias, las compañías españolas que fueron atacadas reportan un gasto medio anual de más de 2.000€ en costes directos derivados por estos ciberataques, una de las cifras más bajas comparadas con las del resto de países analizados: Alemania 3.900€, Bélgica 3.300€ Holanda 3.000€, Gran Bretaña 2.600€, Francia 2.200€, EEUU 2.000€.
Respecto a la inversión en ciberseguridad, las microempresas españolas son las que menos porcentaje del presupuesto total de TI destinan a esta área (6,5%), si las comparamos con el resto de microempresas europeas: belgas (11,5%), holandesas (9,6%) británicas (8,0%), alemanas (7,9%) y francesas (7,5%).
Crece la cultura de la ciberseguridad pero no es suficiente
Una de cada dos (50%) de las microempresas españolas encuestadas ha afirmado que prevé aumentar su presupuesto en ciberseguridad en los próximos 12 meses. Preguntados sobre a qué partidas se dedicarán dichas inversiones: casi la mitad de ellas (39%) prevé adquirir nuevas tecnologías de seguridad, el 31% planea invertir en formación sobre ciberseguridad para su equipo, y el 21% espera contratar a nuevos empleados con capacidades de ciberseguridad a lo largo de 2019.
Además, el estudio concluye que solo en el 51% de las microempresas el máximo responsable de la compañía está implicado en el diseño e implantación de la estrategia de ciberseguridad. Y que el 28% de las microempresas analizadas no han realizado ningún cambio en su actividad tras la entrada en vigor del RGPD.
“La necesidad de desarrollar una estrategia de ciberseguridad debe partir de la dirección de la compañía pero en seguida filtrarse y establecerse como una responsabilidad transversal que implique a todo el equipo. La transformación digital de nuestras empresas conlleva un sinfín de posibilidades pero a su vez trae consigo nuevas amenazas que todos y cada uno de los trabajadores deben conocer, para en el mejor de los casos, poder evitarlas y en el peor, poder dar la voz de alarma cuando algo ocurra. En este nuevo paradigma las compañías aseguradoras debemos tener un papel relevante”, comenta Abreu.