Las pérdidas globales por ciberrriesgo

Las pérdidas globales por ciberrriesgo

fernandoFernando Martínez – Cué, miembro de Community of Insurance y Delegado de AGERS en Cataluña

Según Allianz, en 2015 el coste anual estimado del ciber crimen para la economía global ascendía a 445 Billones de $ (miles de millones), de los cuales más de 200 se alocaban en las cuatro principales economías ( US, China, Japón y Alemania) y más del 50% en las 10 primeras economías. Otras fuentes basadas en datos más recientes, estiman que en todo el mundo causan unas pérdidas ya superiores a los 575.000 millones de dólares.

 

1.LAS VENTAJAS DE LA ERA DIGITAL VERSUS SUS RIESGOS: CUANTIFICACIÓN

Si bien todo el mundo tiene claro que los beneficios de la era digital y de estar conectados superan de largo a los riesgos, no se había hecho hasta ahora una cuantificación de los mismos y al mismo tiempo planificando distintos escenarios.

El informe de la Atlantic Council de USA y Zurich Insurance Group “Risk Nexus: Overcome By Cyber Risks?”, afronta este análisis de los beneficios económicos frente a los costes de la era digital, estableciendo escenario posibles con diferentes perspectivas para ver el futuro del ciber riesgo y su impacto económico.

Entre los escenarios que dibuja el informe “ Overcome by  Cybe Risk”, nos fijamos en los dos de los extremos y en el intermedio.

En el más optimista “best case scenario” llamado ” Cyber Shangri-La,” donde el boom de la tecnología se entiende apoyado por una robusta ciberseguridad, se estiman que los beneficios económicos anuales mundiales ascenderían a 190 trillones de $  en 2030.

En el lado contrario, en el peor de los escenarios, llamado “Clockwork Orange Internet,” se proyecta un estado de perpetuo ciber crimen y ciber guerra que produciría un impacto negativo del 2.5% del PIB mundial. Si la ciberseguridad cayera de una manera importante, hacía una dirección de permanentes ataques cibernéticos entre los estados y en las infraestructuras críticas, el mundo podría tener pérdidas de $90 trillones en 2030.

En una situación normal, los beneficios globales acumulados de estar conectado deberían superar a los costes  en unos 160 trillones $  anuales en el año 2030. 

2. LOS DAÑOS EN PERDIDA DE DATOS

En Estados Unidos, según el ITRC ( Identity Theft Resource Center), desde 2005 hasta 2015 se han producido unas 5.800 brechas de seguridad y 847 millones de registros de datos han sido comprometidos.

Uno de los más mediáticos han sido el de la web de encuentros de Ashley Madison ( 32 millones de registros) , pero  ha habido otros significativamente mayores ( como son el de Sony con 100 de TB, el de Adobe 153 millones de cuentas afectadas, el de JP Morgan 76 millones  de registros o el Home Depot con 109 millones de datos comprometidos).

En esas cifras no está incluido el recientemente conocido caso de Yahoo, que se produjo en 2014 y que afecto a 500 millones de cuentas de usuarios, donde fueron robados o, dicho de otra manera, se accedieron a los datos de nombres, teléfonos, fechas de nacimientos, direcciones de correo electrónico, contraseñas cifradas y en algunos casos puede que se hayan accedido a preguntas y respuestas de seguridad. Es, sino el mayor, uno de los mayores casos de la historia ( 1 de cada 15 habitantes de planeta afectado) y pone de relieve los peligros de que cuatro o 5 compañías tengan datos de más de medio planeta.

En Europa la foto es incompleta al no existir informes generales que consoliden datos, pero podemos mencionar algunos de los más destacados, como en el Reino Unido los casos de Thomas Cook ( 1,3 mill de registros personales),  Cardphone Warehouse ( 2,4 mill  de datos) o el ataque  denegación de servicio a la BBC.

En Francia destacaríamos los casos de Orange (1,3 millones de registros de datos) o la denegación de servicio a TV5 Internacional. En Alemania si bien no hay datos generales, se estima que entre todos los incidentes se podría haber llegado a 18 millones de datos robados.

3. EL COSTE DEL CIBER RIESGO PARA LA EMPRESA

En el mundo de las empresas, hasta ahora una parte importante de los costes provenía de las brechas de datos, pero las perdidas ligadas a la interrupción de negocio, robo de propiedad intelectual y los daños a la reputación están cobrando especial relevancia, pudiendo el primero de ellos superar en costes a la perdida de datos.

Una fuente con datos de significativo valor sobre los costes de los ciber ataques y la tipología de ataques que se producen en el mundo de la empresa, es el estudio de Instituto Ponemon “2015 Cost of Cyber Crime Study: Global  “. Según el mismo el número de ataques contra gobiernos y empresas continúa creciendo en frecuencia y en severidad.

El estudio “2015 Cost of Cyber Crime: Global” realizó una encuesta entre una muestra de 252 corporaciones, con 2,128 entrevistas para identificar los costes del ciber crimen.

En esas organizaciones encuestadas los costes del ciber crimen representan de media 7,7 millones  de $ anuales, con  rangos entre 0,3 y 65 millones

El coste varía dependiendo del tamaño de la organización, siendo mejor el coste per cápita ( coste por puesto de trabajo conectado) en el caso de las organizaciones de mayor tamaño. En cambio, las empresas pequeñas incurren en un coste per cápita mayor que las grandes (1,388 $ versus 431 $).  El coste por industria es superior en servicios financieros y utilities ( eléctricas, aguas, etc) que en otros como salud o automoción.

Los ciber crímenes más costosos son, por este orden, los causados por intrusiones malignas, la denegación de servicio y los ataques a las web de la compañía.

Para la mitigación de este tipo de ataques se requieren tecnologías como la SIEM ( monitorización de Seguridad de la Información y gestión de eventos), sistemas de prevención de intrusiones, soluciones de testeo de la seguridad de las aplicaciones y Soluciones empresariales GRC (soluciones de tecnología para el Gobernance, Riesgo y Compliance).

La velocidad de resolución de ataques es fundamental, habiendo una relación entre la rapidez de contención de un ataque y el coste del mismo. Una resolución de un ataque no significa que el mismo se  detenga completamente. Algunos ataques permanecen dormidos y sin detectar. El número medio de días para resolver un ataque son 46 con un coste medio diario de $21,155 y un coste medio total de $973,130.

Las incidencias e interrupciones en el negocio representan el coste externo más alto, seguidas por los costes asociados a las pérdidas de información. Las interrupciones de negocio suponen el 39% del coste externo total, incluyendo los costes asociados con las caídas en los procesos de negocio y la pérdida de productividad de los empleados. Un coste externo es aquel producido por factores externos como las sanciones, la litigiosidad, la comercialización de propiedad intelectual robada, etc.

La detección de ataques es la actividad interna de mayor coste, seguida por la recuperación. Ambas juntas suponen anualmente un 53% del total de costes de actividad interna, siendo la pérdida de productividad y la mano de obra directa empleada en esas actividades los que suponen la mayor parte de ese coste.

Respecto al presupuesto asignado a seguridad, la seguridad  TI y de las redes reciben la mayor parte del presupuesto. Por otro lado, los  sistemas y arquitectura internos reciben la parte más pequeña.

La puesta en marcha de sistemas de seguridad de la información marca la diferencia en cuanto ahorro en costes de cibercrimen. Las compañías que usan sistemas de seguridad de la información moderan el coste del ciber crimen, son más eficientes  detectando y conteniendo ciber ataques y se benefician de media en un ahorro de costes de 1,9 millones de $ comparado con  otras compañías que no usan tecnologías  de seguridad de la información.

En relación al retorno de las inversiones en seguridad, las empresas que han implementado sistemas de seguridad de la información presentan un ROI (retorno sobre la inversión) sustancialmente superior que otro tipo de tecnologías (un 23%). También son significativas las estimaciones de ROI en el caso de compañías que han implementado tecnología de encriptación ( ROI  21%) y controles avanzados de perímetros (21%).

También la puesta en marcha de  un modelo de gobernanza con prácticas de seguridad reduce el coste del ciberiesgo. Disponer de un equipo de expertos reduce el coste del ciber crimen de media 1,5 millones de $ y aquellas empresas que disponen de un líder de seguridad de alto nivel reduce el coste medio otros 1,3 millones $.

Podríamos decir,  a la luz del informe, que la inversión en Seguridad sale barato y supone ahorros en costes.

En definitiva, según se puede ver en este cuadro basado en el IBM Global Study on the economic impact of IT Risk, ¾ partes del coste del ciber crimen son costes de negocio:

ibm_ciber

Respecto a los costes de las pérdidas de datos, según el estudio del Instituto Ponemon sobre “ cost of data breach analysis: Global Analysis” el coste por registro de datos robado, sigue creciendo y se situó en 2015 en 154$ de media global. El coste por registro robado fue de 217 $ en Estados Unidos ( +8% respecto a 2014), 150 $ En reino Unido ( + 9%), 145 $ en Francia y 165 $ en Alemania ( +8,2% respecto a 2014). Téngase en cuenta, en este sentido, que la legislación de protección de datos ha sido más rigurosa en Estados Unidos que en Europa, especialmente hasta el año 2016 en que se ha aprobado la nueva Directiva UE de Protección de datos.

Las causas de estas brechas de datos, si bien en todos los países analizados son similares, varían algo en sus porcentajes:

  • Como primera causa el ataque criminal o malicioso (49% en USA y Reino Unido, 48% en Francia y 54% en Alemania).
  • En segundo lugar, los fallos de los sistemas (23% en Estados Unidos y Reino Unido, 28% en Francia y 30% en Alemania).
  • En tercer lugar, el error humano (empleados) que representa un 28% en USA y Reino Unido, un 24% en Francia y un 16% en Alemania.

El coste por incidente en brechas de datos ( media global) se ha situado en 3,8 millones de $ ( con un incremento de un 23% en dos años)

4. MERCADO DE LA CIBERSEGURIDAD

Según datos de MarketsandMarkets, se espera que el mercado global de la ciberseguridad crezca desde los 106 mil millones de dólares en 2015 hasta 170 mil millones de dólares en 2020, a una tasa compuesta anual del 9,8%. Según los cálculos de INCIBE, este mercado pudo generar en España 150 millones de euros en 2014. También los inversores tienen un enorme interés en este sector, como demuestra el hecho de que en los últimos 5 años se han invertido a nivel global 7.300 millones de dólares en más de 1000 startups de ciberseguridad.

EL CIBERCRIMEN EN ESPAÑA.

En España, según datos del informe anual del El Ministerio del Interior que recientemente han sido publicados en medios de comunicación, los incidentes en infraestructuras críticas han aumentado un 106% en 2015 con respecto al año anterior. Los intentos (con y sin éxito) de ataques en los sistemas informáticos de este tipo de infraestructuras han pasado de 1.754 en 2014 a 15.177 durante el año pasado.

Durante el año 2015 se han conocido un total de 60.154 hechos, de los cuales el 67,9% se corresponde a fraudes informáticos (estafas) y el 16,8% a amenazas y coacciones. El 32,2% de estos hechos delictivos son esclarecidos por las Fuerzas de Seguridad. En 2012, el número de delitos cibernéticos detectados ascendió a 42.812 frente a los 60.154 del año pasado.

El Centro Criptológico Nacional (CCN), adscrito al CNI, hace una proyección de futuro y estima que cuando finalice 2016, se habrán producido un 40% más de ciberataques que el año 2015. Así lo recoge un informe del centro que hace balance de los principales incidentes registrados en internet el pasado año (18.232 en total)

El informe del Centro Criptológico Nacional constata además que el año pasado apareció una nueva amenaza: «El ciberyihadismo que, usando métodos, procedimientos y herramientas del terrorismo, el hacktivismo y la ciberguerra, constituye una realidad incipiente y supone una de las mayores amenazas con las que se enfrentarán las sociedades occidentales».

España ocupa el tercer puesto en el ranking de los países más atacados por ciberdelincuentes (con más de 70.000 ciber incidentes en 2014), tras Estados Unidos y Reino Unido. Así lo revelo en su día el ministro Garcia Margallo. Este ranking hay que tomarlo con ciertas reservas, por cuanto la veracidad y transparencia de los datos que facilitan otros países que aparecen más abajo en el ranking, pero con planes de defensa más laxos.

Sólo en el año 2015 se produjo un aumento del 50% en incidentes relacionados con la seguridad informática.

Acerca del autor

Somos una Empresa de comunicación y gestión del conocimiento asegurador en RED dirigida a las empresas y profesionales iberoamericanos, especializada en Comunicación Corporativa, Gestión del Conocimiento, Consultoría Estratégica y Eventos para la Industria Aseguradora.

Artículos relacionados

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

tres + 6 =