Empecemos con una cifra que nos permite captar la importancia de las brechas de seguridad. El 54 % de las empresas francesas declara haber sufrido entre uno y tres ciberataques en 2021[1]. Esta cifra es aún más alarmante si se tiene en cuenta que, desde la crisis sanitaria, casi el 58 % de las empresas afirma que el teletrabajo ha provocado que su empresa sea más vulnerable a los ciberataques[2].
Los piratas informáticos no solo se están volviendo más inventivos a la hora de desarrollar ataques más complejos para satisfacer motivaciones monetarias o políticas, sino que también se dirigen a empresas muy diferentes. Una cosa está clara: desde el banco multinacional hasta la pequeña empresa de construcción, ya nadie está a salvo.
Sin embargo, no todos los sectores se ven afectados de la misma manera. A pesar de una clara tendencia general al alza, algunos resisten mejor que otros. No es de extrañar que los profesionales hayan detectado que algunos hackers tienden a dirigirse a sectores empresariales específicos en función de su vulnerabilidad.
Los sectores más afectados
La sanidad mantiene su triste posición de liderazgo
Entre los datos más sensibles, los datos médicos ocupan un lugar importante. Por ejemplo, en su informe 2021 sobre el coste de una violación de los datos (Cost of a Data Breach Report 2021), IBM afirma que el sector sanitario es el más afectado por las brechas de seguridad. Con un coste medio de 9,23 millones de dólares por incidente, mantiene su triste posición de liderazgo por décimo año consecutivo. Un ejemplo reciente ilustra el reto de este sector. En 2020, el Centro Médico de la Universidad de Vermont, en Estados Unidos, sufrió un ataque de envergadura. Durante varios días, el personal no supo qué pacientes tenían cita. Aunque el centro nunca pagó un rescate, el coste del ataque se estima en 50 millones de dólares[3].
El sector financiero, un objetivo primordial
En segunda posición, el sector financiero representó en 2021 un coste medio de 5,72 millones de dólares. Este sector, por su tendencia a la digitalización, está repleto de datos sensibles y es un objetivo primordial para los ciberataques. Los responsables de seguridad de Mastercard declararon hace poco al New York Times que se enfrentaban a más de «460 000 tentativas de intrusión al día, un 70 % más que hace un año»[4].
Estas impresionantes cifras explican las inversiones realizadas en este sector. De hecho, las instituciones financieras dedican una media del 0,3 % de su facturación y el 10 % de su presupuesto de IT a la ciberseguridad, según cifras de Deloitte[5].
La industria farmacéutica y las nuevas tecnologías siguen expuestas
En el mismo informe, la industria farmacéutica y las nuevas tecnologías ocupan la tercera y cuarta posición, con 5,04 millones de dólares, 4,88 millones de dólares, respectivamente, en costes medios por violación de datos. En general, los sectores industriales afectados por una fuerte reglamentación son, con mucho, los que mejor controlan los ciberataques, a pesar de que el número de estos no deja de aumentar.
Los sectores que mejor funcionan
El sector público, el más obediente
El sector público, especialmente en lo relacionado con actividades estratégicas para el Estado — defensa, transportes, etc.— ocupa un lugar mucho mejor en este ranking con «solo» 1,93 millones de dólares de coste medio por una violación de seguridad. Ello puede explicarse por el hecho de que estas organizaciones son objetivos políticos más que financieros.
OIV y OSE, la madurez
Se puede suponer que un buen número de empresas privadas con el estatus de OSE (Operador de Servicios Esenciales) u OIV (Operador de Importancia Vital) se benefician de un alto nivel de madurez en términos de ciberseguridad. Estos actores se enfrentan continuamente a todo tipo de ciberamenazas. Entre la quincena de sectores afectados por su naturaleza OSE se encuentran los de los seguros y la energía. Debido al impacto negativo que una interrupción de sus servicios podría tener en toda Francia, algunas de estas organizaciones ahora deben cumplir con las obligaciones relativas a la seguridad de los sistemas y redes de información.
Este requisito de ciberseguridad puede explicar que el sector energético haya bajado del segundo sector más caro al quinto puesto, pasando de 6,39 millones de dólares en 2020 a 4,65 millones de dólares en 2021 (un descenso del 27,2 %). En Francia, la ANSSI (Agencia Nacional de Seguridad de Sistemas de Información) se encarga de dirigir la parte de ciberseguridad del sistema y de ayudar a las OIV a aplicar las nuevas medidas.
La industria hotelera y los medios de comunicación todavía se salvan, pero por poco tiempo
Según el mismo informe de IBM, los últimos sectores que consiguen limitar el coste medio de una brecha son la industria hotelera y los medios de comunicación, con 3,03 millones y 3,17 millones de dólares respectivamente. Sin embargo, hay que matizar esta cifra, puesto que existe una tendencia al alza en ambos sectores.
Así, aunque algunos sectores son más resistentes que otros debido a su mayor madurez en materia de ciberseguridad o a su capacidad de inversión en este campo, la inmensa mayoría se enfrentan a un número creciente de ataques y a un aumento del coste medio por violación de la seguridad, independientemente del tamaño de la empresa o de su ubicación geográfica.
Esto hace que sea aún más esencial centrarse en mayores campañas de concienciación sobre las buenas prácticas, seguir invirtiendo en ciberseguridad para prevenir en lugar de reaccionar y, por último, llevar a cabo acciones más regulares para identificar las vulnerabilidades y los riesgos.
[1] https://www.usine-digitale.fr/article/etude-ou-en-sont-les-entreprises-francaises-en-matiere-de-cybersecurite.N1774277
[2] https://www.hiscox.fr/courtage/blog/rapport-hiscox-2021-sur-la-gestion-des-cyber-risques
[3] https://www.aamc.org/news-insights/growing-threat-ransomware-attacks-hospitals
[4] https://www.nytimes.com/2019/07/30/business/bank-hacks-capital-one.html
[5] https://www2.deloitte.com/us/en/insights/industry/financial-services/cybersecurity-maturity-financial-institutions-cyber-risk.html
