Las primeras estimaciones realizadas cifran el coste de la ciberinseguridad en nuestro país entre los 1.000 y 110.000 millones de euros

Madrid, 30 de noviembre 2023.  En la actualidad, la ciberseguridad se ha convertido en un elemento estratégico de cualquier organización como proceso de mejora continua. Sin embargo, los recursos dedicados a este campo son limitados y las amenazas aumentan constantemente, por lo que siempre existiría la posibilidad de hacer más.

Según los primeros resultados del Indicador de Ciberinseguridad, a pesar de los procesos y medidas de protección ya desplegadas, las empresas de nuestro país afrontan riesgos cibernéticos que equivalen, como mínimo a un 0,1% del PIB español, y como máximo hasta un 8% del PIB.

Esta fue una de las conclusiones de la XXV edición de la Jornada Internacional de Seguridad de la Información celebrada hace unos días en el Estadio Cívitas Metropolitano con la asistencia con más de mil de expertos en seguridad de la información. En una de las mesas redondas de este evento se hicieron públicos los primeros datos, aún preliminares, que reflejan el coste que tiene para las empresas no aplicar medidas adicionales de seguridad. El llamado Indicador de Ciberinseguridad fue presentado por Santi Minguito, Miembro de ISMS Forum & ISMS Forum Barcelona, Óscar Sánchez, Director de Ciberseguridad de PUIG y Board Member de ISMS Forum Barcelona, y Pedro López, Profesor Titular de la Universidad Complutense de Madrid.

Este estudio que se está realizando este año sobre la ciberinseguridad busca analizar el impacto residual o los ciber-riesgos que está asumiendo el tejido empresarial español. En definitiva, se trata de determinar cómo afectan las carencias de ciberseguridad a la creación de valor por parte de las empresas, utilizando mediciones económicas que lo visibilicen. Cabe recalcar que el contenido de este proyecto se irá abriendo a las instituciones y entidades públicas.

Metodología

El punto de partida para generar los datos del indicador ha sido definir los sectores en los que se iba a trabajar. Entre ellos, se engloban la industria manufacturera, el sector energético y de recursos naturales, el financiero y asegurador, el de comercio al por mayor y por menor, el campo de las tecnologías de la información/comunicación y el de los servicios empresariales.

Para cada sector se han creado grupos de expertos, los cuales valoran los riesgos residuales de ciberinseguridad que afronta su industria en varias categorías de amenazas, de acuerdo con la Taxonomía de Referencia para la Clasificación de Incidentes de Seguridad recomendada por la Red Nacional de SOC (CCN-CERT). Los resultados presentados corresponden a la primera ronda de consultas a los expertos.

Mediante el método DELPHI, estos resultados se irán refinando, con el fin de llegar a valores de consenso, reducir la dispersión en el rango de las respuestas e incrementar la validez y fiabilidad del estudio. El objetivo del Indicador de Ciberinseguridad de ISMS Forum es llegar a ofrecer estimaciones del impacto en los distintos sectores de actividad analizados, además del riesgo económico agregado que supone la ciberinseguridad a nivel nacional.