Llegamos a ustedes gracias a:



Reportajes y análisis

¿Cuál es el costo de una filtración de datos?

[21/09/2020] Los robos de datos y los incidentes de seguridad son cada vez más costosos. La institución crediticia canadiense Desjardins Group reveló recientemente que había gastado 70 millones de dólares canadienses (53 millones de dólares estadounidenses) a raíz de un robo de datos anterior en el año que expuso información personal de 2,9 millones de sus miembros. El fabricante Norsk Hydro afirmó que la factura final por un ciberataque que lo paralizó podría ascender a 75 millones de dólares. British Airways y Marriott han tenido que agregar 100 millones de dólares cada uno al costo final de sus incidentes después de incumplir con el GDPR.

Estos ejemplos son los extremos más destacados y extremos de escala, pero el impacto financiero de sufrir un robo de datos sigue siendo alto para empresas de todas las formas y tamaños. El costo promedio de un robo de datos en el 2020 es de 3.860.000 dólares, según un nuevo informe de IBM y el Ponemon Institute.

El informe muestra una disminución de 1,5% en los costos desde el 2019, pero aún así un aumento del 10% en los últimos cinco años. Esto incluye una combinación de costos directos e indirectos relacionados con el tiempo y el esfuerzo para lidiar con un robo de datos, oportunidades perdidas como resultado de la pérdida de clientes por la mala publicidad y las multas regulatorias. Aunque el costo promedio de un robo de datos se mantiene relativamente sin cambios, IBM afirma que los costos son cada vez menores para las empresas preparadas y exponencialmente mayores que para aquellas que no toman ninguna precaución.

"El número general de titulares se mantuvo muy similar a lo que vimos el año pasado, afirma Charles Debeck, analista senior de amenazas en IBM X-Force IRIS, "pero si profundiza en los datos, lo que vimos fue una divergencia creciente entre las organizaciones que tomaron precauciones de ciberseguridad eficaces y las organizaciones que no lo hicieron".

"Esta divergencia ha ido aumentando año tras año; las organizaciones que se involucran en prácticas efectivas de ciberseguridad están experimentando una reducción significativa en los costos, las organizaciones que no participan en estas mismas prácticas enfrentan costos significativamente más altos.

Los costos de la filtración de datos aumentan para las organizaciones que no están preparadas

Las organizaciones de Estados Unidos enfrentan los costos más altos con un promedio de 8.190.000 dólares por incumplimiento, un 5,3% más que en el 2019, impulsado por un panorama regulatorio complejo que puede variar de un estado a otro, especialmente cuando se trata de notificaciones de incumplimiento. En el Reino Unido, la cifra ha aumentado más del 4%, hasta los 3,9 millones de dólares, y es ligeramente superior al promedio mundial después de varios años de seguimiento a la baja.

El costo promedio de cada registro perdido se ha reducido ligeramente a 146 dólares desde 150 en el 2019. El tipo de registro más caro que se perdió fue el registro de información personal de identificación (PII, por sus siglas en inglés) de los clientes, que estuvieron involucrados en alrededor del 80% de las infracciones en el estudio. El registro menos costoso que se podía perder era la PII de los empleados, y era el tipo de registro menos probable que se perdiera en un robo de datos.

Aumentando de 1.420.000 dólares en el estudio del 2019 a 1.520.000 dólares en el estudio del 2020, casi el 40% del costo total promedio de un robo de datos proviene de la pérdida de negocios. Esto implica un aumento en la rotación de clientes, la pérdida de ingresos debido al tiempo de inactividad del sistema, y el costo creciente de adquirir nuevos negocios debido a la disminución de la reputación.

Si bien la pérdida de miles de registros a la vez se está volviendo común, las infracciones a nivel de Equifax, que involucran millones de registros, siguen siendo relativamente raras. Según IBM, un "megarrobo de un millón a 10 millones de registros cuesta un promedio de 50 millones de dólares, mientras que la pérdida de 50 millones de registros podría costarle a una empresa 392 millones de dólares.

La mayoría de las industrias encuestadas experimentaron una disminución del costo total promedio año tras año, donde las caídas más pronunciadas se dieron en los rubros de medios de comunicación, educación, el sector público y hotelería. Sin embargo, los sectores de salud (10,5%), comercio minorista (9,2%) y energía (14%) experimentaron un aumento desde el 2019. El nivel de regulación juega un papel importante en lo que una empresa pagará para recuperarse de un robo de datos. Las industrias fuertemente reguladas, como la atención médica y los servicios financieros, experimentan costos promedio de 7.130.000 y 5.860.000 dólares, respectivamente, por incidentes; mientras que las industrias menos reguladas, como los medios de comunicación y la hostelería, experimentan costos promedio por incidentes de menos de dos millones de dólares.

"La atención médica ha sido la industria número uno en términos de costo promedio de un robo de datos durante 10 años seguidos, afirma Debeck. "Es una industria muy regulada y enfrenta muchas cargas regulatorias cuando se trata de remediar un robo de datos, y existen muchos costos adicionales con los registros médicos en comparación con otros tipos de registros.

Debeck señaló que el ciclo de vida del incumplimiento de la industria de la salud es más largo, con un promedio de 329 días en comparación con el promedio general de 280 días. Eso conduce a costos más altos.

Los costos del ransomware también pueden ser una consideración importante, especialmente en torno a la decisión de pagar para recuperar datos. Según el informe The State of Ransomware 2020 de Sophos, pagar el rescate en cualquier ransomware aumenta el costo del ataque. El informe afirma que el promedio global para remediar un ataque de ransomware exitoso es de 733 mil dólares para las organizaciones que no pagan el rescate, aumentando a 1.448.000 dólares para las organizaciones que sí pagan. Es probable que esto se deba a que todavía habrá esfuerzos de remediación significativos, incluso si se devuelven datos; además del costo del rescate. El informe también sugiere que para aquellas empresas que pagaron el rescate y tienen un seguro cubierto por ransomware, casi siempre (94%) es la empresa de seguros la que paga la factura.

La lentitud en la respuesta a los robos aumenta los costos

El tiempo es dinero y ser lento para detectar y contener un robo de datos puede resultar costoso. Según el informe de IBM, ahora se necesitan 280 días combinados para identificar y contener un robo de datos, que es un día más que el informe del 2019. Al igual que con el costo promedio, Debeck afirma que, si bien el promedio sigue siendo en gran medida el mismo, las empresas mejor preparadas son mucho más rápidas en la remediación que aquellas que no implementan las medidas adecuadas.

Las respuestas rápidas podrían suponer un enorme ahorro de costos. Las empresas capaces de detectar y contener un robo de datos en menos de 200 días gastaron, en promedio, 1,1 millones de dólares menos.

"El tiempo realmente es dinero, afirma Wendi Whitmore, directora de X-Force Threat Intelligence en IBM. "Cuanto más tiempo tiene un atacante dentro de un ambiente, más acceso puede tener a diferentes dispositivos, diferentes datos, diferentes cuentas y todas esas cosas que necesitamos para eliminar su acceso y limitar su impacto en el futuro. Eso ciertamente aumenta el costo.

Las tendencias nacionales de contención se mantienen sin cambios con respecto a años anteriores; las organizaciones alemanas, canadienses y sudafricanas son las más rápidas para encontrar y contener las infracciones -160, 226 y 228 días combinados, respectivamente, mientras que las empresas de Oriente Medio (380) y Brasil (369) son las que más tardan. Las tendencias de la industria también siguen siendo, en gran medida, las mismas que en años anteriores: las organizaciones de atención médica, sector público y entretenimiento son las que más tiempo tardan en descubrir y contener un robo de datos, todo con un promedio de más de 310 días -mientras que los sectores de servicios financieros, tecnología e investigación fueron los más rápidos en descubrir y remediar.

El estudio también analiza la "larga cola (long tail) de los robos de datos y descubrió que las organizaciones están pagando el precio de un robo de datos durante años. Alrededor del 61% del costo se produce en el primer año; alrededor del 24% en los próximos 12 a 24 meses; y el 15% final llega más de dos años después. Aunque es un ejemplo extremo, en el 2019, Equifax acordó pagar 575 millones de dólares -potencialmente aumentando a 700 millones- en un acuerdo con la Comisión Federal de Comercio por su robo de datos del 2017.

"Muchas veces, los clientes a los que respondemos verán un robo de datos como este costo único: 'va a ser un desembolso enorme, pero luego, en el futuro, volveremos al negocio', afirma Whitmore. "La realidad es que solo se gasta alrededor del 67% durante ese primer año, y el 33% restante se incurre en los próximos dos o tres años, cosas como monitoreo posterior o monitoreo crediticio. Capital One, Equifax, si tienen una gran cantidad de registros de crédito de datos de clientes filtrados, entonces son responsables de eso y eso se convierte en un costo continuo.

Reglamentos y multas

Con la introducción de la GDPR, la CCPA y una gran cantidad de legislación de imitación que aparece en todo el mundo, el cumplimiento normativo se está convirtiendo en una parte significativa del costo de un robo de datos. "Si nos fijamos únicamente en Estados Unidos, existen 52 leyes estatales de privacidad diferentes, afirma Whitmore. "Eso significa que, cuando ocurren estos robos, la mayoría de las empresas no cuentan con personal especializado en cada una de ellas. Entonces, eso es algo para lo que tienen que contratar, recurrir al outsourcing y asegurarse de incurrir en esos costos.

Las empresas que no están dispuestas a pagar por la experiencia para garantizar el cumplimiento pueden sufrir multas regulatorias, que son cada vez más elevadas. La cadena de hoteles Marriott afirmó originalmente que su robo de datos del 2018 le había costado alrededor de 28 millones de dólares, la mayoría de los cuales estaban cubiertos por el seguro de la compañía. Sin embargo, en julio del 2019, la ICO, autoridad de protección de datos del Reino Unido, emitió una multa de 124 millones de dólares a la empresa por fallas en el cumplimiento de la GDPR. La ICO emitió una multa aún mayor a British Airways la misma semana. Con la amenaza de multas tan elevadas, las empresas deberían adoptar una actitud más proactiva con respecto a la privacidad de los datos para obtener una visión más favorable de los reguladores.

"Pronosticamos que veremos más de esos, y es probable que aumenten significativamente el costo en el futuro, y creo que realmente cambiará drásticamente el panorama de las inversiones que realizan las organizaciones, afirma Whitmore. "Idealmente, eso significa que están haciendo inversiones más proactivas y realmente buscan prepararse, ensayar y asegurarse de que pueden limitar el impacto de la pérdida de estos registros cuando se trata de este tipo de infracciones.

Impacto del robo de datos en el precio de las acciones

Además de los costos materiales, es probable que las empresas públicas también vean el valor de sus acciones afectado por los robos de datos. A raíz de 33 robos de datos de al menos un millón de registros, Comparitech analizó el valor de las acciones de empresas en la Bolsa de Valores de Nueva York, y descubrió que los robos no suelen tener un impacto prolongado en el valor de la empresa.

Los precios de las acciones de las empresas afectadas alcanzaron su nivel más bajo, alrededor de un 7,3% menos, alrededor de 14 días después de un robo y tienen un rendimiento inferior al NASDAQ en general en un -4%. Si bien es probable que las empresas experimenten un repunte del precio de sus acciones, e incluso que aumenten por encima del promedio del mercado en los primeros seis meses después de un robo de datos, es probable que tengan un rendimiento inferior al NASDAQ en un -6,5% 12 meses después. Como ejemplo reciente, en noviembre del 2019, las acciones de Macy's habían caído 11%, en un solo día, después de que revelaran un robo de datos y sufrieron un "incidente de seguridad de datos altamente sofisticado y específico... que afectó a una pequeña cantidad de clientes durante un período de una semana en octubre ... "Sin embargo, a finales de diciembre de ese año, el precio de las acciones de la empresa se había recuperado.

"Las empresas, incluida Macy's, que filtran datos muy confidenciales, como números de tarjetas de crédito, suelen ver una caída más pronunciada en el precio de las acciones, que las empresas que filtran datos menos sensibles, afirma Paul Bischoff, defensor de la privacidad en Comparitech.

"Nuestra investigación muestra que, durante aproximadamente tres semanas después de un robo de datos, las empresas ven una caída inicial en el precio de las acciones y después se recuperan. Seis meses después del robo, la mayoría de las empresas se han recuperado por completo, e incluso superan a los seis meses anteriores en términos de precio de las acciones. Nuestro análisis también muestra que las filtraciones más recientes tienen un impacto menos negativo en el precio de las acciones que las más antiguas, una señal de fatiga por robos entre los consumidores que se han acostumbrado a que sus datos sean robados.

El trabajo remoto puede hacer que los incidentes sean más costosos

La COVID-19 cambió la cantidad de organizaciones que operan y convirtió el trabajo remoto de algo agradable para algunos empleados a un requisito fundamental para casi toda la fuerza laboral. Según IBM, tener una fuerza de trabajo remota aumenta el costo total promedio de 3.860.000 dólares de un robo de datos. Tres cuartas partes de las organizaciones que habían habilitado el trabajo remoto dijeron que aumentaría el tiempo para identificar y contener un posible robo de datos.

"Quedan por verse todas las implicaciones, afirma Debeck, "pero sin duda las organizaciones se enfrentan ahora a una gran cantidad de descentralización, nuevas estructuras de red que potencialmente están llegando a redes privadas, no seguras o desconocidas. Sin duda, cambiar su ambiente de red y punto final complica la respuesta a incidentes y la seguridad. Las organizaciones necesitan reevaluar sus planes de respuesta a incidentes, y cómo sus equipos de respuesta a incidentes están reaccionando a los incidentes de seguridad.

"Muchas organizaciones tienen planes de prueba implementados, pero a menos que se prueben, no sabremos qué tan bien van a funcionar, y eso es especialmente cierto cuando la infraestructura de red completa simplemente cambia en el transcurso de los últimos cuatro meses, afirma Debeck. "La peor forma de adquirir experiencia en respuesta a incidentes es teniendo un incidente, y la mejor forma es hacerlo en un ambiente seguro de antemano.

Cómo reducir el costo de un robo: Tenga un plan de respuesta

Es un lugar común decir que sufrir un robo de datos es casi inevitable, por lo que la mejor manera de mantener bajos los costos es estar preparado para cualquier eventualidad. El informe afirma que las empresas tenían un equipo de respuesta a incidentes (RI) que también probó un plan de RI utilizando simulaciones o ejercicios de mesa, y obtuvieron ahorros de dos millones de dólares en comparación con aquellos que no tenían tales medidas implementadas.

"No solo debería tener un documento que diga: 'Aquí está la información de contacto del equipo de seguridad', sino ensayar este tipo de contextos en un ambiente de inmersión, en el cual puedan probar otros planes, identificar brechas y luego, idealmente, contener aquellos antes de que pasen por estos ataques en la vida real, afirma Whitmore.

Otra parte importante es la respuesta pública. La pérdida de la confianza del cliente conduce, en última instancia, a una pérdida de negocio, lo que puede aumentar el costo general del robo. "Un gran componente son las comunicaciones después de un robo de datos y durante un robo de datos, explica Whitmore. "¿Cómo enviamos mensajes de manera efectiva a nuestros consumidores o clientes sobre lo que está sucediendo? Entonces, estos eventos pueden ser una oportunidad para generar mucha buena voluntad por parte de los clientes y mucha confianza cuando se manejan correctamente, pero eso requiere mucha preparación y capacitación por adelantado para estas organizaciones.

El mayor uso del cifrado, la automatización de la seguridad siempre que sea posible, los planes de continuidad del negocio probados, y la utilización de red teams pueden reducir el costo potencial de un robo de datos. "Con la automatización de la seguridad, para el robo promedio, la diferencia entre las organizaciones que se han implementado completamente y las que no lo han implementado es de más de 3,5 millones de dólares de diferencia, afirma Debeck. "Es enorme.

En promedio, en el aspecto técnico, los enfoques de DevSecOps, la capacitación de los empleados, el seguro cibernético y la participación de la junta en la seguridad también reducen el costo de un robo de datos en más de 100 mil dólares cada uno. Por el contrario, en promedio, las infracciones que se originan en terceros, la migración a la nube, la Internet de las cosas o las tecnologías operativas, pueden aumentar el costo de un robo de datos en más de 100 mil dólares cada una. "La migración a la nube es una gran decisión de seguridad, afirma Debeck, "pero si no tiene el conocimiento, la experiencia y las habilidades para realizar migraciones a la nube, existen riesgos potenciales.

El principal consejo de Whitmore para mantener bajo el costo de un robo de datos es una visibilidad adecuada de su ambiente y garantizar backups sólidos probados fuera de línea. "Si podemos reducir el tiempo necesario para identificar un robo de datos y contenerlo de manera bastante significativa, esas organizaciones no tendrán una cantidad tan alta de registros perdidos y, en última instancia, no enfrentarán el mismo nivel de multas que nosotros estamos viendo ahora mismo.

"En los casos de ransomware o malware destructivo, vemos que las organizaciones pierden el acceso a sus datos más críticos y luego pasan mucho tiempo tratando de reconstruir ambientes obteniendo acceso a ellos nuevamente, continúa Whitmore. "Recomendaría tener un backup sin conexión de sus datos más importantes, finaliza.