Llegamos a ustedes gracias a:



Columnas de opinión

Costos de una violación de datos: ¿Puede afrontar una pérdida de 6,65 millones de dólares?

Por: Dr. Larry Ponemon, CIO del Instituto Ponemon

[04/02/2009] Cuantificar los costos financieros de un determinado problema; es decir llevar a pérdidas económicas los daños ocasionados por un inconveniente implica un inmenso beneficio, y el Ponemon Institute se esfuerza en lograr esta tarea con su Estudio Anual de Costos de Violación de Datos (Annual Cost of a Data Breach Study).

Se ha analizado cuidadosamente el impacto financiero que una violación de datos provoca a una empresa por medio del análisis de 43 diferentes compañías de distintas ramas de la industria, todas las cuales sufrieron una infracción significativa que afectó una serie de registros representativos de la norma. Y sabiendo que una violación de datos en su empresa le puede costar6,65 millones de dólares, esa sería toda la información necesaria para que su compañía asigne un presupuesto adecuado a los responsables de la seguridad de su información.
En el 2008, el costo promedio total de una violación de datos era de 6,65 millones de dólares, una cifra mayor a los 6,35 millones de dólares del año pasado, y de  los 4,54 millones de dólares en el 2005. En el 2008 el costo de una violación de datos era de 202 dólares por víctima, más que los 197 dólares en el 2007, y que los 138 dólares en el 2005, cuando el estudio se inició. Las infracciones que involucran perjuicios a un tercero implican un costo de 231 dólares por víctima, mientras que el costo por persona de las violaciones independientes es de 179 dólares. Las violaciones que implican el resultado de un acto malintencionado, conlleva a un costo por víctima de 225 dólares, mientras que las violaciones que fueron resultado de una negligencia cuestan 199 dólares por víctima. Una pérdida o robo de laptop cuesta 249 dólares por víctima, mientras que las infracciones que no implican pérdida o robo de laptop representan un costo de 177 dólares por víctima. Si la violación de datos se dio por primera vez en la empresa, el costo por víctima es de 243 dólares, pero si la empresa previamente ya había experimentado una infracción así, entonces el costo es de 192 dólares por víctima.
Luego de ver los números, se llega a una conclusión simple y clara: el impacto financiero para una empresa que sufre una violación de datos es significativo, y va en aumento. Esta conclusión por sí misma puede sonar alarmante; sin embargo pareciera que simplemente se limita a cuantificar lo que la mayoría ya intuía como verdad. El factor "wow" aparece cuando se toma conciencia de que se ha identificado no solo el costo de un resultado inevitable, como para decirle al mundo, aquí está el cinturón de seguridad para cuando choques el auto, sino que además se ha demostrado que las empresas sí disponen de los medios para disminuir significativamente sus pérdidas cuando se produce una violación.
Consideremos el último punto de la lista. Las infracciones por vez primera cuestan 51 dólares más por víctima que para las empresas que ya han aprendido de las dolorosas lecciones de una violación de datos. Esto significa que la experiencia anterior, dio lugar a una respuesta inteligente más eficaz en la segunda vez. El año pasado, el Ponemon Institute comenzó a trabajar con la gestión del riesgo en la empresa WillisHRH en un sistema de seguimiento y respuesta frente a una violación de datos denominado Privacy Breach Index (Índice de violación de privacidad). Se utilizó el PBI para analizar los métodos y las estrategias utilizadas por las empresas al responder a una violación, a fin de crear las mejores prácticas con otras organizaciones que no tienen por qué aprender de su propia experiencia.
En cuanto a otros puntos de la lista, dado que el costo por víctima de una violación que involucre data de terceros es 52 dólares más que cuando ningún proveedor está implicado, es lógico deducir, que un mejor programa de gestión de proveedores podría ayudar a reducir el riesgo y el costo. Políticas más estrictas y una mejor aplicación de seguridad de datos móviles ayudaría a reducir el riesgo y el impacto de una violación de datos, producto de una pérdida o robo de laptop u otro dispositivo móvil. Una Gestión más eficiente de los datos podría contribuir en gran medida a reducir el costo de una infracción mediante la prevención de un acceso no autorizado o impropio de datos. Estas son solo algunas de las conclusiones a las que se llegó en base a una mirada superficial a los resultados del estudio. Pero a medida que se profundiza más en los datos y se examinan otros factores, la atención se vuelve más nítida y la reacción es más informada, lo que permite aplicar medidas más concretas a la gestión de la información, seguridad y cumplimiento.
Los ejemplos aquí presentados implican el impacto de pérdidas ocasionadas por una violación de datos. Este año, las pérdidas en los negocios se elevaron a un nivel superior al 38% comparado con el 2005. Es más, la asistencia hospitalaria y las organizaciones de servicios financieros experimentaron una mayor y súbita pérdida -6.5% y 5,5%, respectivamente-, en comparación con las organizaciones de productos de consumo al por menor, cuyas tasas se han encontrado en 1,5% y 3,6%, respectivamente. La diferencia significativa en estas tasas de pérdida se puede explicar en una palabra: confianza. Violan la confianza del consumidor y la pierden para siempre; y la probabilidad aumenta cuando la infracción involucra a una organización en la que el consumidor ha puesto una gran confianza.
¿Qué significa eso entonces?
Cuando un consumidor opta por hacer negocios con una organización de servicios financieros o de asistencia hospitalaria, él tiende a ser muchísimo más cuidadoso que cuando camina dentro una tienda para comprar una camisa o un par de zapatos. Una compra es una operación sencilla, pero la banca y la atención hospitalaria exigen confiar en la persona u organización una gran cantidad de información altamente sensible. Defraudar esa confianza y el cliente definitivamente estará más inclinado a buscar una nueva relación con otra organización. Esto es especialmente evidente cuando el consumidor recibe varias notificaciones de violación de la organización.
El riesgo de un incidente de violación de datos es real y siempre presente. El Ponemon Institute está de acuerdo con la creencia de que una violación de datos no es una cuestión de qué, sino de cuando. También está convencido de que existe todo un cuerpo de conocimientos que se puede utilizar para comprender los problemas y las consecuencias de una violación de datos, y que hombre prevenido vale por dos. Al actuar con antelación, las empresas pueden hacer mucho para disminuir la probabilidad de una violación de datos, y para paliar sus efectos en caso de que una violación así ocurra.
El Dr. Larry Ponemon es fundador y presidente del Ponemon Institute, pensador dedicado a la promoción y comprensión de las mejores prácticas en las empresas y el gobierno en cuanto a privacidad y seguridad,
a través de la investigación independiente. El Ponemon Institute investiga, experimenta, y concibe el liderazgo como un medio para educar al sector público y privado sobre la privacidad y organización de prácticas de protección de datos en una variedad de industrias. El Estudio del Costo Anual de la Violación de Datos (Annual Cost of a Data Breach Study) es un informe independiente realizado por el Ponemon Institute y suscrito por PGP Corporation, un proveedor mundial de correo electrónico y de productos de cifrado de datos.