Ciber riesgos, una nueva era de riesgos para las empresas

Abstract

El Ciberriesgo empresarial conforma, sin duda, la “pandemia tecnológica del siglo XXI”, de la cual no está libre ninguna empresa del mundo, independientemente de su sector, tamaño, ubicación, tipología o resultados. Por tanto, el objetivo principal del estudio es concienciar a las empresas de que deben cambiar la mentalidad y dejar de plantearse “¿Recibiremos nosotros un Ciberataque?”; para en su lugar asumir que se trata de un riesgo latente y cuestionarse “Cuándo recibiremos nosotros un Ciberataque y si estaremos preparados cuando nos llegue para que el golpe nos impacte lo menos posible y podamos recuperarnos pronto".

De esta manera, el trabajo busca contribuir al fomento de una cultura empresarial de “prevención y defensa” ante los Ciberataques. Por ello, he decidido enfocarlo de manera que potencie cuatro frentes que considero de implementación necesaria en cualquier protocolo empresarial anti-ciberataques: (1) la Información, (2) la Formación, (3) la Prevención y (3) la Gestión de la crisis; cuatro aspectos que deben estar alineados totalmente para reducir los posibles daños en las empresas siendo todos imprescindibles para instaurar un sistema de protección empresarial frente al riesgo cibernético. Por último, analizaré el impacto de los daños que pueden causar los Ciberataques, no solo en las cuentas de resultados de las empresas, sino también en algo tan importante como es su imagen y reputación. Y para ilustrar la practicidad de este apartado me apoyaré en el estudio del Caso MAPFRE del pasado 2020, analizando el ciberataque y la gestión de la grave crisis reputacional que sufrió como consecuencia.

Cyber-risk is undoubtedly the "technological pandemic of the 21st century", from which no company in the world is free, regardless of its sector, size, location, type or results. Therefore, the main goal of this study is to make companies aware that they must change their mentality and stop thinking "Will we receive a cyber-attack?", but instead they must assume it is a latent risk and ask themselves "When will we receive a cyber-attack and if we will be prepared when it hits us so that it impacts us as little as possible and we can recover soon".

Therefore, the work seeks to contribute to promote a business culture of "prevention and defense" against cyber-attacks. For that reason, I have decided to focus it in a way that enhances four fronts that I consider necessary to implement in any business protocol against cyber-attacks: (1) Information, (2) Training, (3) Prevention and (3) Crisis management; four aspects that must be fully aligned to reduce the possible damage in companies, all of them being essential to establish a system of business protection against cyber-risk. Finally, I will analyze the impact of the damage that can be caused by cyber-attacks, not only on companies' profit and loss accounts, but also on something as important: their image and reputation. Additionally, in oder to illustrate the practicality of this section, I will use the MAPFRE case study of the past 2020, analyzing the cyber-attack and the management of the serious reputational crisis it suffered as a result.