Estadísticas espeluznantes: regiones del Reino Unido donde las empresas se ven más afectadas por el cibercrimen
Tabla de contenido:
- 1) ¿Cuánto perdieron en total las empresas a causa del ciberdelito?
- 2) ¿Dónde denunciaron las empresas más delitos cibernéticos?
- 3) El cibercrimen: un juego de azar de alto riesgo
- 4) Informes de incidentes y cumplimiento normativo
- 5) Uso de la norma ISO 27001 para prevenir incidentes cibernéticos y alinearse con NIS 2
- 6) Mejore su postura de seguridad de la información hoy
Los delitos cibernéticos representan una amenaza cada vez mayor tanto para las empresas como para los particulares en todo el mundo, ya que los agentes de amenazas intentan obtener acceso a datos confidenciales o finanzas por casi cualquier medio necesario. En el Reino Unido, los datos de Action Fraud muestran que las empresas denunciaron más de 1,600 delitos cibernéticos (sin incluir el fraude) entre enero y septiembre de 2024.
Con el espíritu de Halloween y estadísticas espeluznantes, analizamos las regiones con el número escalofriantemente más alto de informes de delitos cibernéticos por parte de las organizaciones en 2024 y cómo defender su negocio contra incidentes cibernéticos.
¿Cuánto perdieron en total las empresas a causa del ciberdelito?
Los datos de Action Fraud revelaron que las organizaciones informaron un total de 1,613 delitos cibernéticos y pérdidas de £ 932,200 entre enero y septiembre de 2024.
| Mes | Informes sobre delitos cibernéticos | Pérdidas denunciadas por delitos cibernéticos |
| 2024 de enero | 196 | £423,500 |
| Febrero de 2024 | 200 | £89,000 |
| Marzo 2024 | 191 | £2,200 |
| Abril de 2024 | 179 | £24,000 |
| Mayo de 2024 | 173 | £120,400 |
| Junio 2024 | 206 | £5,800 |
| Julio 2024 | 182 | £63,000 |
| Agosto de 2024 | 149 | £190,000 |
| Septiembre 2024 | 137 | £14,300 |
| Total | 1613 | £932,200 |
Enero de 2024 fue el peor mes en cuanto a pérdidas financieras, con 423,500 libras esterlinas, lo que representa el 45% de las pérdidas económicas totales registradas durante los nueve meses. El mayor número de delitos cibernéticos se registró en junio, con 206 denuncias y 5,800 libras esterlinas en pérdidas declaradas. Mientras tanto, el menor número de denuncias de delitos cibernéticos se realizó en septiembre, con 137 denuncias y 14,300 libras esterlinas en pérdidas declaradas.
¿Dónde denunciaron las empresas más delitos cibernéticos?
Estos datos los registra la policía, no a nivel regional. Tal vez no sea de extrañar que la Policía Metropolitana de Londres haya recibido el mayor número de denuncias de delitos informáticos por parte de organizaciones, con 325 denuncias realizadas entre enero y septiembre y un total de 69,100 libras esterlinas en pérdidas económicas. Los cinco primeros puestos restantes los ocuparon Greater Manchester (97 denuncias), Thames Valley (82 denuncias), West Yorkshire (54 denuncias) y West Midlands (47 denuncias).
| Rango | Fuerza policial | Número de informes | Pérdidas financieras reportadas |
| 1 | Metropolitano | 325 | £69,100 |
| 2 | Greater Manchester | 97 | £891 |
| 3 | Valle del Támesis | 82 | £400 |
| 4 | West Yorkshire | 54 | £50,000 |
| 5 | West Midlands | 47 | £565 |
Los datos demuestran que un elevado número de denuncias no siempre se traduce en mayores pérdidas económicas. Aunque el Gran Manchester ocupó el segundo puesto, las organizaciones perdieron solo 891 libras esterlinas en los últimos nueve meses, y las empresas del valle del Támesis perdieron 400 libras esterlinas en 82 incidentes.
El cibercrimen: un juego de azar de alto riesgo
Al clasificar las regiones en orden de pérdidas financieras reportadas en lugar de la cantidad de informes, vemos nuevamente que la cantidad de delitos cibernéticos no necesariamente aumenta la cantidad de pérdidas económicas de las empresas:
| Rango | Fuerza policial | Número de informes | Pérdidas financieras reportadas |
| 1 | Surrey | 31 | £442,000 |
| 2 | Desconocido | 101 | £109,200 |
| 3 | Hampshire | 46 | £105,000 |
| 4 | Ciudad de Londres | 35 | £98,700 |
| 5 | Metropolitano | 325 | £69,100 |
Las organizaciones en Surrey registraron solo 31 informes en nueve meses, pero una asombrosa cantidad de £ 442,000 en pérdidas financieras, casi la mitad (47%) de las pérdidas financieras totales por delitos cibernéticos reportadas por empresas en 2024. De la lista anterior de fuerzas policiales con el mayor número de informes, solo London Metropolitan está en esta lista, ocupando el quinto lugar con 325 informes y £ 69,100 en pérdidas.
La falta de correlación entre el número de denuncias realizadas a una fuerza policial y las pérdidas económicas denunciadas demuestra la naturaleza indiscriminada de los delitos informáticos. Un solo ataque ejecutado con inteligencia puede hacer que una empresa pierda miles o incluso cientos de miles de libras. La pérdida económica media por cada delito informático denunciado en Surrey en 2024 se sitúa en 14,258 libras, frente a la media de 213 libras de la zona metropolitana de Londres, a pesar de que en la zona metropolitana se denuncian más de diez veces más delitos informáticos.
Informes de incidentes y cumplimiento normativo
Las estadísticas de Action Fraud solo representan datos denunciados. Es probable que muchos delitos cibernéticos no se denuncien porque las empresas intentan gestionar los incidentes sin la intervención de la policía y reducir el impacto en sus seguros y su reputación.
A Estudio de 2021 de Van de Weijer et al. En el estudio se mostraron a 529 participantes tres viñetas sobre incidentes ficticios de ciberdelincuencia y se les preguntó cómo reaccionarían en esa situación. El estudio afirma que “la gran mayoría de los propietarios de pymes afirmaron que denunciarían los incidentes de las viñetas a la policía, pero después de la victimización real, solo el 14.1 por ciento de los delitos cibernéticos fueron denunciados a la policía”.
La denuncia de delitos cibernéticos es ahora un requisito para las organizaciones que operan en la Unión Europea de conformidad con la nueva actualización de la normativa de seguridad de las redes y de la información (NIS 2) Directiva, que entró en vigor este mes. Las organizaciones que no cumplan con la normativa, incluidas aquellas que no notifiquen los incidentes cibernéticos, se enfrentarán a posibles sanciones económicas o incluso a la exclusión de la actividad comercial en un territorio. La notificación de incidentes cibernéticos también será un requisito en virtud de la Ley Europea de Ciberresiliencia cuando entre en vigor.
Afortunadamente, el estándar de seguridad de la información reconocido internacionalmente ISO 27001 Puede proporcionar un marco para el cumplimiento de NIS 2 y ayudarle a defender su negocio contra amenazas cibernéticas.
Uso de la norma ISO 27001 para prevenir incidentes cibernéticos y alinearse con NIS 2
La certificación ISO 27001 ayuda a las empresas a mejorar su postura de seguridad y reducir eficazmente el riesgo de incidentes cibernéticos. Certificación ISO 27001Una organización debe construir, mantener y mejorar continuamente un sistema de gestión de calidad que cumpla con la norma ISO 27001. sistema de gestión de la seguridad de la información (SGSI) y completar con éxito una auditoría externa realizada por un organismo de auditoría acreditado.
Un SGSI con certificación ISO 27001 puede mejorar las defensas de seguridad de la información de su organización y cumplir con la norma NIS 2 de las siguientes maneras:
Gestión de riesgos
La gestión y el tratamiento de riesgos son requisitos de la cláusula 27001 de la norma ISO 6.1, acciones para abordar riesgos y oportunidades, y del artículo 2 de la NIS 21. Su organización debe identificar los riesgos asociados con cada activo de información dentro del alcance de su SGSI y seleccionar el tratamiento de riesgo adecuado para cada riesgo: tratar, transferir, tolerar o terminar.
El Anexo A de la norma ISO 27001 describe los 93 controles que su organización debe tener en cuenta en el proceso de gestión de riesgos. En su Declaración de aplicabilidad (SoA), debe justificar la decisión de aplicar o no un control. Este enfoque exhaustivo de la gestión y el tratamiento de riesgos permite a su organización identificar, tratar y mitigar los riesgos a lo largo de su ciclo de vida, reduciendo la probabilidad de un incidente y el impacto en caso de que ocurra.
Respuesta al incidente
Su organización debe implementar procesos de gestión de incidentes y registros de incidentes alineados con los Anexos A.27001, A.5.24 y A.5.25 de la norma ISO 5.26, que se centran en la planificación, preparación, decisiones y respuestas de la gestión de incidentes de seguridad de la información. El artículo 2 de la norma NIS 21 también exige un procedimiento de gestión de incidentes y un registro de respuestas. Esto garantiza que su organización tenga un proceso para gestionar y minimizar el impacto de cualquier incidente.
Formación y concienciación de los empleados
Fomentar una cultura de concienciación sobre la seguridad de la información es un componente fundamental de la norma ISO 27001 y es igualmente esencial para el cumplimiento de la norma NIS 2, que se exige en el Anexo A.27001 de la norma ISO 6.3, Concientización, educación y capacitación sobre seguridad de la información, y en el Artículo 2 de la norma NIS 21. Implementar un plan de capacitación y concientización le permite educar a los empleados sobre los riesgos cibernéticos. También es fundamental garantizar que los empleados conozcan la importancia de las contraseñas seguras de acuerdo con su política de contraseñas ISO 27001.
Los actores de amenazas suelen aprovechar los errores humanos en sus intentos de acceder a información confidencial, e incluso persuaden a los empleados para que realicen transacciones financieras a través de correos electrónicos de phishing o sofisticados deepfakes impulsados por IA. De los 1,613 delitos cibernéticos denunciados a Action Fraud por empresas del Reino Unido este año, 919 (56 %) se registraron mediante el código de piratería de redes sociales y correo electrónico. Disponer de un plan de formación y concienciación y educar a los empleados es fundamental para reducir el riesgo de estos incidentes.
Mejore su postura de seguridad de la información hoy
Con nuevas regulaciones cibernéticas como la Ley de Resiliencia Cibernética y la Ley de Resiliencia Operacional Digital (DORA) en el horizonte, ahora es el momento de avanzar. Reserva tu demostración para aprender a mitigar el riesgo, reforzar su reputación, navegar por el complejo panorama regulatorio y lograr el cumplimiento de la norma ISO 27001 utilizando ISMS.online. También puede descubrir orientación práctica para Dominar el cumplimiento de NIS 2 mediante la norma ISO 27001 en nuestro seminario web con expertos de A-LIGN, Cybercontrols.io e ISMS.online.
