por Carolina Morato
En estos días se cumple un año desde que se produjese el mayor ciberataque conocido en el sector de la publicidad a nivel mundial. 365 días desde que el pasado 27 de junio de 2017 el virus PETYA entró en los sistemas de WPP, dejando inoperativos servidores y ordenadores de miles de empleados de varias agencias del Grupo, como MediaCom, JWT o Y&R, incluidas sus sedes en España. El ataque ransonware, que duró aproximadamente 10 días, provocó unos daños cuantificados al grupo de entre 11 y 17 millones de euros. Y eso que afortunadamente no afectó a todas las agencias del holding, pues sus sistemas informáticos no estaban integrados.
Por primera vez se hablaba en el sector publicitario de forma pública sobre seguridad cibernética, y de la necesidad de tomar medidas preventivas e iniciativas de preparación y formación ante nuevos ciberataques. De hecho, tan solo unas semanas después, Martin Sorrell, entonces CEO de WPP, confirmaba que la compañía invertiría entre 10 y 15 millones de libras en materia de ciberseguridad.
Lo cierto es que ataques mediáticos como el PETYA o el Wannacry lograron que en 2017 la ciberseguridad se pusiese en el punto de mira de grandes y pequeñas corporaciones a nivel mundial. El mensaje era claro: cualquier empresa, no importa su tamaño, podía ser víctima de un ciberataque en cualquier momento. Pero, ¿están las empresas españolas preparadas para algo así?
Según datos del Informe internacional Hiscox Cyber Readiness Report 2018, en 2017 el 75% de las empresas españolas suspendía en materia de ciberpreparación, uno de los porcentajes más altos comparado con países como Estados Unidos, Gran Bretaña o Alemania, que aparentemente nos llevan parte de ventaja. Dato que confirma que las empresas españolas no están preparadas ante un ataque.
Sin embargo, lo positivo es que poco a poco la mediatización de los ataques a grandes corporaciones ha facilitado que en España las empresas hayan mostrado, al menos su intención, de hacer los deberes en 2018. De hecho, las empresas españolas aumentarán este año sus recursos en ciberseguridad por encima de la media internacional: 6 de cada 10 (61%) aumentará su inversión en ciberprotección, el 60% invertirá en nuevas tecnologías, 1 de cada 3 (33%) apostará por la formación de sus empleados, el 30% contratará un seguro de ciberseguridad y el 29% contratará expertos en ciberseguridad a lo largo de este año.
La ciberseguridad se ha convertido en un asunto prioritario para las cúpulas directivas, aunque existe una clara tendencia a una mayor implicación del resto de departamentos. Así, pese a que la mayoría de las compañías afirma que los máximos responsables son los miembros del Comité de Dirección, cada vez más la responsabilidad se reparte también entre los departamentos de IT Finanzas, Recursos Humanos, Operaciones, Marketing o e-Commerce.
Ahí está la clave: deben implicar a todos sus departamentos en la implantación de su estrategia de ciberriesgos, porque el eslabón más débil de la cadena será el menos formado o el menos consciente del problema al que nos enfrentamos. El diseño de la política de privacidad y seguridad debe basarse en una estrategia de protección transversal.
Las agencias de publicidad o los departamentos de marketing no pueden hacer la vista gorda, porque un posible secuestro de datos puede traer consigo consecuencias muy graves para el negocio. Y es que pocos sectores manejan de primera mano tanta información confidencial de marcas, CRM, planes estratégicos, etc como el publicitario.
Una información que, ahora más que nunca, deben mantener a salvo. Sobre todo tras la reciente llegada en mayo de la nueva normativa europea de protección de datos, conocida como RGPD. Su incumplimiento, bien porque se haya producido un incidente, un ciberataque, o porque se haya cometido un error interno por parte algún empleado, podría dar lugar a una investigación regulatoria.
Esto supone no sólo una importante inversión de tiempo y recursos, sino la exposición a una multa que en sus valores máximos podría llegar a suponer el 4% del volumen de negocio del último ejercicio, 20 millones de euros para las infracciones más graves, o hasta el 2% o 10 millones de euros para cuestiones de índole administrativo.
Ninguna empresa, grande, mediana o pequeña, está completamente preparada para algo así. Sin duda, el PETYA fue la voz de alarma para que el sector publicitario fuese consciente del riesgo al que las compañías se enfrentan con cada click.
No podemos evitar que ocurra, pero tener definida una estrategia, estar preparados para gestionar un ataque, tener un programa de formación para empleados, desarrollar simulacros para medir la preparación y tener un seguro de ciberriesgos será clave para que la repercusión del ataque en el negocio sea mínima.
Hay un largo camino por recorrer hasta que las empresas vean el riesgo cibernético al mismo nivel que el riesgo de que sus oficinas se incendien, o que un empleado se lesione en el trabajo. Las compañías deben afrontar este riesgo, no pensando en que pudiera suceder, sino pensando en qué van a hacer cuando suceda, porque tarde o temprano ocurrirá. De hecho, ocurrió tal día como hoy, hace exactamente un año.
.jpg)
Carolina Morato (