No cabe duda de que la ciberseguridad se está convirtiendo, probablemente, en el asunto que más está preocupando a las empresas y a sus directores o CEO, como responsables. Todo el personal contratado o subcontratado, debería tomar conciencia de la importancia que tiene la Seguridad de la Información que manejan dentro de la empresa y que, sin una gestión responsable de la misma, puede peligrar la continuidad del negocio. Invertimos en planes de recursos humanos, dado que las personas son nuestro principal activo, de marketing o negocio, si nos gusta tener un buen equipo cohesionado y bien coordinado. Pero ¿por qué a veces descuidamos la seguridad de nuestra información?

Los incidentes afectan a la preservación de los tres aspectos fundamentales que definen la Seguridad de la Información según la norma ISO 27001. Son la confidencialidad, proteger la información de divulgación intencionada o accidental; la integridad, asegurar que la información es completa, exacta y está protegida de modificaciones no autorizadas; y la disponibilidad, garantizar que la información está disponible donde y cuando se necesite; siempre cumpliendo con los requisitos legales, contractuales y reglamentarios como el RGPD y la LOPDGDD, LSSI-CE o LPI.

Sin duda, nos encontramos ante un escenario único a nivel global, donde el papel del CISO o Responsable de Seguridad de la Información, es clave para garantizar la continuidad de los negocios y las administraciones. De hecho, Cybersecurity Ventures predijo que el coste previsto de los ciberdelitos en el mundo sería de seis billones de dólares en 2021, lo que supone la mayor transferencia de riqueza económica de la historia.

En cuanto a empleo, en el año 2022, el sector creará 350.000 sólo en Europa y Michael Page Tecnología ha asegurado que, en España, el salario de un experto en ciberseguridad oscila entre los 80.000 y los 120.000 euros anuales. En ese sentido, el desempleo en el sector de la ciberseguridad se sitúa en el 1%, siendo práctica inexistente.

La ciberseguridad, como otros aspectos en el entorno empresarial, debemos abordarla desde un punto de vista estratégico y siempre de una forma planificada. Afecta a todos los procesos y áreas de negocio, incluida la dirección, desarrollo de productos/servicios o la selección de proveedores entre otros, dado que es transversal.

Al igual que el ROI (Retorno de la Inversión) del que las empresas están muy concienciadas y forma parte de su ADN, existe un nuevo concepto llamado ROSI (Retorno de la Inversión en Seguridad de la información), que lamentablemente la mayoría desconocen o nunca se han planteado. Se trata de valorar/cuantificar que costes tendría para mi empresa en caso de sufrir un ciberataque. Invertir en seguridad si es rentable cuando el coste medio de un ciberataque en España superó en 2021 los 100.000 euros.

El ROSI se calcula teniendo en cuenta los recursos humanos que no han podido realizar su actividad por la falta de disponibilidad de los sistemas de información valor/hora, los departamentos estratégicos para la continuidad del negocio y que han permanecido inoperativos; los materiales de sustitución y/o reparación del material afectado, las repercusiones legales, sanciones y penalizaciones contractuales y las pérdidas directas, facturación no realizada y percibida.

Antonio Gil es director del Máster en Ciberseguridad para CISO Loyola – Telefónica Tech en la Universidad Loyola y auditor de seguridad de la Información en Softcom.