UNIBLOG
Acceso clientes
costes-ciberataque-empresas costes-ciberataque-empresas

Ciberataque: costes tangibles e intangibles para una empresa

juandelrio

Juan del Río Cruzado

Ingeniero informático

Sobre mi

Licenciado en Ingeniería Informática. PMP®. Durante años se ha dedicado a la gestión y seguridad en redes y equipos de comunicaciones con diversas certificaciones en dicha área. Actualmente, aplicando el conocimiento adquirido en el área de ciberseguridad del sector financiero.

No debemos ver la ciberseguridad tan solo como una medida de protección o un gasto a tener en cuenta, sino como una inversión por parte de las empresas en proteger sus activos

27 Feb 2025

8 Min de lectura

Es una evidencia que cada vez se producen más ciberataques (España se encuentra entre los primeros países de la EU en ataques recibidos) y que el impacto de éstos afectan cada vez más a las empresas y, por ende, crece la preocupación por la ciberseguridad, convirtiéndose en un punto esencial y crítico a tener en cuenta en los Consejos de Administración de las empresas.

 

En este artículo, trataré de explicar con cierto detalle el coste de prepararse para un ciberataque. Las estadísticas y encuestas que realizan los fabricantes y diferentes entidades colaborativas muestran en sus informes que una buena preparación en ciberseguridad compensa con creces los efectos y costes que puede tener la materialización de un ataque. Aquí se podría abrir otro debate sobre: ¿cuánto se invierte en ciberseguridad? ¿qué presupuestos manejan los departamentos de ciber? ¿en qué invertir? ¿protección, detección, repuesta, recuperación, formación/concienciación, etc.?

 

Por tanto, no sólo debemos ver la ciberseguridad como una medida de protección o un gasto que debemos tener en cuenta, sino como una inversión por parte de las empresas en proteger sus activos, pues las consecuencias y costes pueden tener un gran impacto en las empresas e incluso llegar a ser devastador dependiendo del tamaño de la misma.

 

En resumen, hay que invertir en ciberseguridad y en tener a profesionales preparados, con el objetivo de mitigar los costes e impacto de un ataque, y asumiendo siempre una idea básica, que es “asumir que seremos atacados y, por tanto, debemos estar preparados para ese momento”, o como se menciona en varios principios del libro “El arte de la guerra”: “cada batalla se gana antes de empezar” y “si conoces al enemigo y te conoces a ti mismo, no debes temer el resultado de 100 batallas”.  Como estos símiles, quiero recalcar que hay que prepararse para defender tus activos y tu información, pues es tu mayor valor en los negocios y, además, debes conocer a tu empresa, tus debilidades y puntos flacos, pues sólo siendo conscientes de estos puntos, podrás preparar una defensa correcta y efectiva.

 

Consecuencias y costes de un ciberataque

 

¿Qué consecuencias y costes puede tener un ataque? ¿A qué costes tangibles e intangibles debemos hacer frente ante un ataque? ¿Cuáles son los más cuantitativos?

 

Como se indicaba anteriormente, las consecuencias y los costes de un ciberataque pueden ser devastadores para una empresa, dependiendo del tamaño y capital de la misma, pero al menos debemos ser conscientes que, grosso modo, habrá que hacer frente a los siguientes costes y habrá que realizar una estimación de los mismos para ver el valor real de un ataque.

 

Si nos situamos en ese instante del ataque y hacemos un ejercicio de reflexión podremos tomar conciencia de aquellos costes directos o tangibles o más directamente observables como son:

  • Costes de respuesta: para detener, contener y mitigar el impacto.
  • Costes de recuperación: para retomar las operaciones diarias asap, teniendo en cuenta que esos técnicos deberán dejar de lado sus tareas y proyectos para dedicarse a la recuperación. No olvidar costes de horas extras, costes de alimentación, edificios o salas abiertas durante largos periodos de tiempos, costes de otros servicios (limpieza, guardias entrada, etc.).
  • Costes de servicios DFIR: para preservar las evidencias y poder completar el forense y obtener todos las datos necesarios de cara a procesos judiciales y mejorar la protección en el post.
  • Costes por multas al infringir regulaciones o normativas: tener en cuenta posibles sanciones como RGPD con 20M€ o 4% facturación anual.
  • Costes jurídicos: costes derivados de procesos de litigios, demandas de clientes, etc., los cuales se pueden demorar meses o años.
  • Costes por responsabilidad civil: para cubrir posibles daños a terceros (un ciberseguro mitigará este coste).
  • Costes de comunicación: para informar a clientes (y personal interno), más allá de publicaciones en redes sociales.
  • Costes post-incidente: como mejorar la protección, detección, respuesta y recuperación.

 

También debemos tomar conciencia de los costes ocultos, indirectos o intangibles pues son más importantes en términos económicos:

  • Costes por aumento cuota ciberseguro o coste derivado de tener que contratar uno en caso de no existir.
  • Costes por lucro cesante: derivado de la parada de las operaciones y del negocio.
  • Costes por endeudamiento: al aumentar las tasas de interés más elevadas por el capital prestado.
  • Costes reputacionales: que afectan a la derivación de la marca de la empresa, traduciéndose en pérdida de clientes (bien antiguos o nuevos), pérdidas de contratos, pérdidas de las inversiones, etc.
  • Costes humanos en términos emocionales: que pueden provocar un desgaste emocional que implicará un descenso de la productividad.
  • Costes para proteger a los clientes: todas aquellas medidas y acciones adicionales que se deberán poner en marcha para proteger a los clientes frente a posibles fraudes.

 

Es evidente que calcular los costes indirectos o intangibles es mucho más complicado, pues depende de la situación empresarial en cada momento y, en base a ello, existen diferentes enfoques económicos que pueden ayudar con dichos cálculos, como son, el método de flujo de caja descontado y el método de capitalización del flujo de caja, en los cuales se realizan proyecciones a futuro de los beneficios que se esperan obtener y se aplican tasas de descuento (por lo que tendremos una rentabilidad en función de los descuentos y riesgos asumidos) o simplemente capitalizamos, si presuponemos que vamos a tener una rentabilidad estable y creciente.

 

Los costes intangibles se pueden materializar durante meses o años, motivo por el cual los costes directos de un ciberataque pueden suponer entre un 1% y un 10% y el resto suele ser atribuido a los costes indirectos (intangibles). Los más cuantiosos son la devaluación de la marca, pérdida de contratos y de clientes.

 

En definitiva, se está mostrando que, aunque un ciberataque puede empezar como una cuestión tecnológica y tiene una primera respuesta, contención y recuperación enfocada en cuestiones tecnológicas, es evidente que luego deriva y se extiende a múltiples aspectos intangibles que pueden afectar de forma contundente al negocio, incluso llegar a ser devastador y por qué no, incluso irrecuperable.

 

Medidas para mitigar los costes de un ciberataque

 

Una vez somos conscientes de los efectos e implicaciones de un ciberataque, ¿qué hacemos para mitigar estos costes?

  • Una primera medida podría ser contar con un ciberseguro que cubra la mayor parte de los costes tangibles a los que se puede enfrentar una empresa ante un ciberataque.
  • Contar con un equipo especialista con gran conocimiento en materia ciber que ayude a reducir los tiempos de respuesta, recuperación y forense.
  • Disponer de un buen plan de comunicación que ayude a tener informados a los clientes y personal interno, el cual se debe focalizar en limitar efectos de lucro cesante.
  • Contar con un equipo jurídico y legal especializado en ciberseguridad y delitos informáticos, con el objetivo de enfrentarse a los posibles procesos de litigios.

 

¿Qué debe abarcar un ciberseguro?

 

Las principales coberturas de la póliza deberán tener en cuenta los costes de respuesta, recuperación, servicios DFIR, posibles multas y defensa jurídica, daños a terceros (responsabilidad civil), la interrupción del negocio motivada por el cese de las operaciones, asesoramiento en daños reputacionales, en comunicaciones, etc.

 

Evidentemente, cuantas más coberturas se pretendan cubrir, mayor póliza a pagar, pero, además, habrá que tener en cuenta todas aquellas medidas ya implementadas que favorecerán en una reducción de la cuota anual.

 

Estrategia de recuperación para minimizar costes

 

Es necesario establecer un plan de recuperación de desastres que tenga en cuenta las principales funciones claves de negocio (KEF), que tenga perfectamente identificados a los actores y sus roles y responsabilidades; que cubra los procedimientos a ejecutar, lo cual facilitará la toma de decisiones en situaciones de crisis, y que tenga en cuenta la información sobre backups o instalaciones alternativas para simplificar la recuperación.

 

Una última cuestión sería: ¿debemos pagar por rescate en ransomware? No, nunca, bajo ningún concepto se debe fomentar y lucrar a este tipo de actividades, pues además nunca existe garantía de recuperación del 100% o de posibles futuras extorsiones.

 

Como se indicaba al principio del artículo, hay que invertir en ciberseguridad y en tener profesionales preparados, con el objetivo de mitigar los costes e impacto de un ciberataque, y asumiendo siempre que “seremos atacados y, por tanto, debemos estar preparados”. Por tanto, y como conclusión final, es fundamental para las empresas trabajar en prevenir, preparar y anticipar cualquier impacto que pueda tener un ciberataque.

Volver

artículos relacionados

ciberseguridad

Ciberseguridad: amenazas invisibles

La ciberseguridad engloba todas las técnicas, métodos y medidas de seguridad que nos ayudan a evitar vernos expuestos a grandes riesgos

Leer más
tecnologia-cibersegura

Por una Tecnología Cibersegura

Sin una tecnología cibersegura estaremos expuestos a posibles ataques por parte de actores malintencionados que provocarán el efecto contrario para la cual se concibió dicha tecnología, haciéndola no-operativa y no-funcional

Leer más
Ayuda-ciberseguridad

Ayuda en Ciberseguridad, ¿dónde acudir si tengo un ciberincidente?

En esta sociedad cada vez más conectada a través de Internet resulta básico aprender a ciberprotegerse. Te invitamos a conocer cómo obtener ayuda en ciberseguridad y a que descubras el Incibe y todos sus recursos

Leer más
Volver
Escuchando