EL COSTE DE DEJAR UN SITIO WEB DESPROTEGIDO - PARTE 1
Imaginemos, que nos encontramos navegando por internet en búsqueda de comprar unos zapatos, pantalones o algún servicio, entras a una pagina que tarda mucho en cargar y cuando finaliza de cargar se abren y cierran ventanas emergentes no deseadas.
La primera impresión de ese sitio web es de inseguridad, ¿comprarías algo ahí? ¿le fiaras los datos de tu tarjeta a ese sitio? en lo personal yo no lo haría mi primera acción sería salir de ese sitio.
La seguridad de los sitios web es importante: según los estudios realizados por symantec, aproximadamente un 70 % de los compradores online cancelan pedidos debido a problemas de confianza. Los consumidores necesitan saber que un sitio web es seguro y que pueden confiar a sus propietarios su información personal.
Tener un sitio o sistema web desprotegido es decir, no tomar las medidas necesarias para defenderlo de las diversas amenazas de la red tiene otras consecuencias aparte de asustar a la gente. El sitio o sistema web estará expuesta a amenazas que pueden costar a tu empresa mucho dinero en ingresos perdidos, costes operativos y multas.
En realidad, es más probable que sean las pequeñas empresas, y no las medianas y grandes, los objetivos de costosos ataques, según el informe de 2016 sobre las amenazas para la seguridad de los sitios web elaborado por Symantec.
En las siguientes partes de éste articulo, se contemplan los diversos costes —económicos y de otros tipos— derivados de un ataque al sitio web. Verás cómo tu sitio web puede estar en peligro de muchas formas. En cualquier caso, todo ataque o fuga trae consigo consecuencias significativas para tu empresa.
Suma de los costes inmediatos de un sitio web en peligro
Si tu sitio web sufre un ataque, aunque sea relativamente pequeño, tu empresa tal vez tenga que afrontar unos costes de reparación equivalentes al precio de un automóvil de lujo, un yate o el salario anual de un empleado. Estos costes afectan directamente a tu flujo de efectivo e infligen un daño en tiempo real a tu empresa. Las secciones siguientes tratan sobre lo que pones en juego si no proteges el sitio web.
Dinero o datos robados
La mayoría de los ciberdelincuentes van detrás de una cosa: dinero. Quieren o bien robarte dinero directamente o bien conseguir datos que más adelante puedan vender o utilizar para quedarse con dinero
que no es suyo. Muchos tipos de datos son valiosos para los delincuentes, ya sea para venderlos o para configurar pagos o identidades fraudulentos. Podrían buscar datos como los siguientes:
- Direcciones de correo electrónico.
- Datos financieros y números de tarjeta de crédito.
- Datos de carácter personal que faciliten un fraude de identidad.
- Secretos empresariales, datos financieros o especificaciones de productos.
- Contraseñas que den acceso a otras partes de la empresa.
Un sitio web desprotegido da a los piratas informáticos la oportunidad de lucrarse de forma ilegal, ya esté en juego tu dinero o el de tus clientes, o incluso la identidad de tus clientes.
Sanciones
Si tu sitio web sufre un ataque o una fuga de datos, tal vez tengas que afrontar multas y sanciones legales relacionadas con la pérdida de datos de carácter personal. Los organismos gubernamentales
que regulan la protección de datos podrían sancionarte, y los clientes que quieran emprender una acción civil podrían presentar una demanda contra ti para recuperar las pérdidas. Las sanciones dependen de una amplia variedad de factores, como las dimensiones de la fuga de datos y la medida en que tu empresa no consiguió protegerlos.
Si aceptas pagos con tarjeta de crédito en tu sitio web, también tienes que cumplir la normativa aplicable al sector de pagos con tarjeta (PCI DSS, por sus siglas en inglés), que establece con rigor cuáles son tus responsabilidades a la hora de proteger los datos de los clientes, tales como nombres, direcciones y números de tarjetas de crédito.
Tener un sitio web desprotegido significa que no proteges a tus clientes y no cumples los requisitos de la normativa PCI DSS. La sanción por no proteger los datos de tus clientes puede llegar a ser de 1 millón de dólares. Además, puedes perder de forma permanente la capacidad de procesar tarjetas de crédito VISA y MasterCard si las empresas que ayudan a crear y supervisar la PCI DSS descubren que no cumples sus normas.
Interrupción de las ventas
Cuando tu sitio web está fuera de servicio debido a un ataque, no se puede visitar. En consecuencia, pierdes clientes y todos aquellos ingresos que estos habrían generado. Según el estudio de Incapsula What DDoS Attacks Really Cost Businesses (Cuánto cuestan realmente los ataques DDoS a las empre-
sas), las empresas pierden unos 40 000 USD por cada hora en que el sitio web está fuera de servicio. Y el estudio sobre el coste de las fugas de datos de 2015 del Ponemon Institute reveló que el crimen
cibernético cuesta por término medio a las empresas norteamericanas 15,4 millones de dólares al año.
Estas cifras tal vez parezcan altas para una pequeña empresa, pero aunque las estadísticas quizás sean menos impresionantes cuando nos centramos solamente en pequeñas empresas, en realidad el
coste es mucho más alto. Según con la Federación de Pequeñas Empresas, una organización del Reino Unido, la ciberdelincuencia cuesta a las pequeñas empresas desproporcionadamente más que a
las grandes. En un informe de 2016, la Federación reveló que dos tercios de las pequeñas empresas han sido víctimas de la ciberdelincuencia por término medio cuatro veces en los dos últimos años, lo cual supone para cada empresa casi 3000 GBP. Afortunadamente, invertir en una buena seguridad de los sitios web cuesta mucho menos.
La resolución del problema
¿Cuántos analistas y especialistas en TI se necesitan para reiniciar un servidor, actualizar configuraciones y analizar registros? Parece el comienzo de un chiste, pero la respuesta no tiene ninguna gracia.
Si tu sitio web sufre un ataque o una fuga, necesitas un equipo de TI para arreglarlo. Y eso significa personas, tiempo y un montón de dinero.
La mayoría de las pequeñas empresas no tienen en plantilla a un experto en TI. Incluso si lo tienen, ese experto en TI quizá no disponga de los conocimientos técnicos específicos para ocuparse de un ataque a un sitio web. Es como si tenemos cerca a un médico de cabecera cuando lo que necesitamos es un cirujano cardíaco especializado exactamente en el tipo de tratamiento necesario. Por desgracia, al igual que ese cirujano cardíaco, contratar a un especialista no es barato, sobre todo si lo necesitas de inmediato. Y cuanto más tiempo esté activo un ataque, más daño podrá provocar.
Además, debes tener en cuenta los costes de personal relacionados con la gestión de las quejas de los clientes, relaciones públicas y comunicaciones, así como el tiempo perdido que los empleados
podrían haber invertido en su trabajo diario, ya sea de ventas, atención al cliente o mejoras de los productos.
En la siguiente publicación veremos los costes y valoraciones a largo plazo.