Llegamos a ustedes gracias a:



Noticias

Según un estudio, los CISO mantienen bajos los costos por violación de datos

[25/01/2010] Las empresas siguen pagando un alto precio por limpiar el desorden que crean las violaciones de datos; sin embargo, el hecho de tener un Chief Information Security Officer (CISO) puede ofrecer cierta protección. Esta es la conclusión de un estudio publicado el lunes por el Ponemon Institute, una consultora con sede en Michigan que lleva a cabo investigaciones independientes sobre privacidad, protección de datos y políticas de seguridad de la información.

Este es el quinto año que Ponemon lleva a cabo su encuesta Cost of a Data Breach (el Costo de una Violación de Datos), que examina datos reales sobre experiencias de violación de datos de 45 empresas, de 15 diferentes sectores industriales. Este año, el costo de una violación de datos ha aumentado a 204 dólares desde el año pasado, que costaba 202 dólares por registro de cliente. Sin embargo, las empresas que tienen un CISO (o puesto equivalente) encargado de manejar los incidentes de violaciones de datos, han experimentado un costo promedio per cápita de 157 dólares, contra 236 dólares para las empresas que no cuentan con el liderazgo de un CISO.
Aproximadamente el 40% de las empresas participantes tenía un CISO a cargo de la gestión de incidentes de violación de datos, según la encuesta.
Aunque otras áreas funcionales suelen participar en las actividades de administración de la crisis que rodea la violación de datos, nuestros resultados sugieren que el liderazgo de un CISO reduce sustancialmente el costo global de la violación de datos, señala el informe.
El tema es que en las empresas que cuentan con un CISO, las infracciones tienden a costar menos porque tienen una visión más estratégica de la protección de datos en comparación con la vieja idea de arreglar el problema cada vez que se presente, siempre de manera diferente, explicó Phillip Dunkelberger, presidente y CEO de PGP Corporation, que copatrocinó el estudio. La participación del CISO a un nivel superior significa menos costos por violación de datos y menos probabilidades de que se repita, debido a la visión estratégica de protección que toman estos profesionales.
Si bien el costo de una violación solo aumentó dos dólares por registro este año, el Dr. Larry Ponemon, fundador y presidente del Instituto Ponemon, destacó el enorme aumento en el costo durante los cinco años transcurridos desde el inicio del estudio, cuando las violaciones generaban un costo de 138 dólares por registro de cliente comprometido. Para calcular los costos, el estudio tiene en cuenta una amplia gama de costos empresariales, incluidos los gastos por detección, incremento, notificación, y la respuesta ex post. También se analiza el impacto económico de la pérdida o disminución de la confianza de los clientes, que se mide mediante la pérdida de clientes o las tasas de rotación.
Otros puntos destacados de la investigación de este año incluyen:
- El 42% de los casos involucró errores de terceros o flubs. Las violaciones de datos que involucran outsourcing de datos a terceros, especialmente cuando los terceros están en otro país, son las más costosas. El costo per cápita de las violaciones de datos que involucran a terceros es de 217 dólares contra 194 dólares, una diferencia de más de 21 dólares, indica Ponemon.
- EL 24% de los casos en estudio involucró un ataque malicioso o criminal que resultó en la pérdida o robo de información personal. La investigación muestra que las violaciones de datos relacionadas con actos maliciosos o criminales son mucho más caras que los incidentes originados por negligencia. El costo per cápita de una violación de datos que involucra un acto malicioso o criminal es de 215 dólares. El costo per cápita de una violación de datos que involucra un acto de negligencia a nivel interno, o un problema de sistemas promedio es de 154 dólares y 166 dólares, respectivamente.
- El 36% de los casos en estudio involucra la pérdida o robo de computadoras portátiles u otros dispositivos móviles que contienen datos. Las violaciones de datos relativas a pérdidas, extravío o robo de computadoras portátiles son más caras que otros incidentes. En concreto, en el estudio de este año, el costo por víctima de una violación de datos relacionada a la pérdida o robo de portátiles, es de 225 dólares.
No sólo se trata de chicos malos, sino también de chicos buenos que cometen errores, señaló Ponemon.
Joan Goodchild, CSO (US)