El pasado 18 de julio de 2019, El Confidencial se hacía eco de la noticia de que Naturgy se ha visto obligada a implementar un plan especial para reforzar la ciberseguridad tras sufrir meses atrás un chantaje de unos piratas informáticos que entraron en ordenadores claves de la cúpula directiva.

Con estos antecedentes podríamos pensar que se ha tratado de un ciberataque a gran escala contra la compañía. Pero no ha sido así.

Según las noticias publicadas, todo parece indicar que el responsable del ciberataque es un técnico subcontratado por Naturgy a Capgemini y que a su vez ésta subcontrató a la empresa Zemsania. Este técnico fue quien supuestamente accedió a los correos electrónicos personales, documentos internos altamente confidenciales, operaciones de fusiones y adquisiciones y potenciales objetivos estratégicos corporativos y amenazó a la compañía con difundir en la red todos estos datos.

Y aquí es donde encontramos la raíz del problema. No en que fuese un técnico subcontratado, sino que se sigue sin incluir en los procesos de selección, una fase previa de análisis para minimizar el riesgo en la contratación de este tipo de perfiles para puestos con acceso a información sensible o estratégica.

Tener esta capacidad de análisis como compañía, genera un punto más de eficiencia en la gestión del riesgo interno y, por ende, reduce al máximo las posibilidades de que se produzcan situaciones como la acontecida en Naturgy.

Una política adecuada de gestión de riesgo interno unido a esta capacidad de análisis extra en los procesos de selección puede ahorrarnos muchos millones de euros de pérdidas, tanto directas como indirectas y evitarnos graves problemas reputacionales.