[02/08/2023] Para las empresas modernas de todas las formas y tamaños, el impacto monetario de sufrir una violación de datos es sustancial. El último informe de IBM Cost of a Data Breach descubrió que, en el 2023, el costo medio de una violación de datos a nivel mundial alcanzó un máximo histórico de 4,45 millones de dólares. Esta cifra representa un aumento del 2,3% con respecto al año anterior y del 15,3% con respecto al 2020.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Factores como el tipo y la gravedad del incidente, las normas reguladoras, el tamaño de la empresa, el sector y la región pueden afectar significativamente a cuánto podría costar a una empresa una violación de datos, pero todas las organizaciones deben evaluar cuidadosamente y prepararse para los golpes monetarios que podrían estar a la vuelta de la esquina en caso de ser víctimas. Algunos son potencialmente mucho más perjudiciales (y menos obvios) que otros.
Factores que influyen en los costos de las filtraciones de datos
El informe 2023 de IBM cita varios componentes que influyen en los costos de las filtraciones de datos. Por ejemplo, la filtración de datos media en el sector sanitario aumentó en el 2023 hasta alcanzar los 10,93 millones de dólares, el más caro de todos los sectores, mientras que las organizaciones financieras registraron los segundos costos más elevados, con una media de 5,90 millones de dólares (ligeramente inferior a la del año pasado).
El costo medio de una violación de datos para las organizaciones farmacéuticas, en general, fue de 4,82 millones de dólares. Los cinco países y regiones con el costo medio más elevado fueron: Estados Unidos, con 9,48 millones de dólares; Oriente Medio, con 8,07 millones; Canadá, con 5,13 millones; Alemania, con 4,67 millones; y Japón, con 4,52 millones. El Reino Unido experimentó un descenso significativo en el costo medio, con 4,21 millones de dólares (un 16,6% menos que el año pasado), situándose justo fuera de los cinco primeros puestos.
La investigación del 2023 también mostró que excluir a las fuerzas de seguridad de los incidentes de ransomware provocaba costos más elevados. Mientras que el 63% de los encuestados afirmó haber solicitado la intervención de las fuerzas de seguridad, el 37% que no lo hizo pagó un 9,6% más y experimentó un ciclo de vida de la brecha 33 días más largo. Además, la IA y la automatización de la seguridad demostraron ser inversiones importantes para reducir costos y minimizar el tiempo necesario para identificar y contener las infracciones. Las organizaciones que utilizaron ampliamente estas capacidades dentro de su enfoque experimentaron, en promedio, un tiempo 108 días más corto para identificar y contener una brecha. También informaron de una reducción de 1,76 millones de dólares en los costos de las violaciones de datos, en comparación con las organizaciones que no utilizaron las capacidades de IA y automatización de la seguridad.
Los ataques en los que los actores de la amenaza obtuvieron acceso a múltiples entornos en la nube tuvieron un costo superior a la media de 4,75 millones de dólares, mientras que las organizaciones que informaron de una complejidad baja o nula del sistema de seguridad experimentaron un costo medio de la violación de datos de 3,84 millones de dólares en el 2023. La planificación y las pruebas de respuesta a incidentes (IR) se revelaron como una táctica muy eficaz para contener el costo de una filtración de datos. Las organizaciones con altos niveles de planificación y pruebas de IR ahorraron 1,49 millones de dólares en comparación con las que tenían niveles bajos, según el informe. Además, DevSecOps y la formación de los empleados fueron los mitigadores de costos de violación de datos más eficaces este año, ahorrando a las organizaciones una media de 249.278 y 232.867 dólares respectivamente, según el informe.
En el 2023, las organizaciones con más de cinco mil empleados vieron disminuir el costo medio de una violación de datos en comparación con el 2022. Por el contrario, las que tenían cinco mil empleados o menos vieron aumentar considerablemente el costo medio de una violación de datos. Las organizaciones con menos de 500 empleados informaron que el impacto promedio de una violación de datos aumentó un 13,4%, de 2,92 millones de dólares a 3,31 millones de dólares. Las que tenían entre 500 y mil empleados experimentaron un aumento del 21,4%, de 2,71 a 3,29 millones de dólares. En el rango de 1.001 a cinco mil empleados, el costo medio de una filtración de datos aumentó de 4,06 a 4,87 millones de dólares, casi un 20%.
El daño a la reputación sigue siendo uno de los mayores costos de una filtración de datos
Es un viejo tópico, pero realmente no se puede poner un dólar en la confianza del cliente, y una reputación dañada sigue siendo uno de los costos más significativos de la violación de datos para las organizaciones, coinciden los expertos. "En última instancia, la confianza del cliente es muy fácil de romper y muy difícil de construir", explica Allie Mellen, analista senior de Forrester.
Bob Dutile, director comercial de UST, está de acuerdo. "La primera y principal preocupación es el impacto en la reputación, y el costo de una filtración de datos suele traducirse en un cambio competitivo relativo en el mercado", afirma. "Las empresas descubren que su marca no tiene el mismo precio, los costos de conversión de clientes son más altos y se pierde cuota de mercado. Para una empresa pública, la evaluación a corto plazo del impacto del costo se refleja en el movimiento del precio de las acciones".
Excluyendo las brechas más grandes y los ataques de ransomware más pequeños, Dutile dice que la investigación muestra que entre ocho y diez millones de dólares es una buena cifra de planificación en los EE.UU. para una empresa mediana que se enfrenta a una brecha modesta de menos de 250 mil registros, y alrededor de un tercio de este costo se sentirá a través de la pérdida de negocio debido a una reputación dañada.
Glenn J. Nick, director asociado de Guidehouse, explica que "un costo concreto que sigue teniendo un gran impacto en las organizaciones víctimas es el robo/pérdida de propiedad intelectual. Los medios de comunicación tienden a centrarse en los datos de los clientes durante una violación, pero la pérdida de propiedad intelectual puede devastar el crecimiento de una empresa", afirma. "Las patentes robadas, los diseños de ingeniería, los secretos comerciales, los derechos de autor, los planes de inversión y otra información propietaria y confidencial pueden conducir a la pérdida de ventaja competitiva, pérdida de ingresos y daños económicos duraderos y potencialmente irreparables para la empresa".
Es importante señalar que la forma en que una empresa responde y comunica una violación puede tener una gran influencia en el impacto sobre la reputación, junto con las consecuencias financieras que se derivan, sostiene Mellen. "Es fundamental saber cómo mantener la confianza de los consumidores y clientes", añade. "Hay formas de hacerlo, sobre todo fomentando la transparencia y la empatía, que pueden marcar una gran diferencia en la percepción que tienen los clientes de la empresa tras una infracción. Si trata de barrerlo debajo de la alfombra o esconderlo, entonces eso realmente afectará su confianza en usted mucho más que la violación por sí sola".
Los tiempos de inactividad pueden costar millones
Jason Hicks, CISO de Coalfire, explica que el tiempo de inactividad puede ser muy costoso para una organización afectada, dependiendo del nivel y el alcance del tiempo de inactividad y de lo dependiente de la tecnología que sea la empresa. "A menudo, una brecha no va a desconectar por completo a una empresa, pero puede ocurrir. Cuantos más sistemas críticos se caigan, mayor será el costo".
La industria manufacturera tiende a tener las mejores métricas en torno a esto, ya que es relativamente simple medir el costo por minuto si una línea de ensamblaje está caída, señala Hicks. "Esto puede traducirse en millones de dólares al día para una gran empresa de fabricación. Esto puede ser más nebuloso para otras verticales de la industria, pero hay modelos para tener una idea razonable que se puede aplicar a cada vertical".
La regulación y los litigios se suman a los costos de las violaciones de datos
La legislación cada vez más estricta en materia de protección de datos y privacidad, junto con los litigios, están provocando que cada vez más empresas tengan que pagar cuantiosas multas, acuerdos extrajudiciales y honorarios de abogados por la violación de datos y el incumplimiento de la normativa. Esto ha ocurrido varias veces recientemente. La Administración del Ciberespacio de China impuso una multa de 8.026 millones de yuanes (1.190 millones de dólares) a Didi Global, empresa china de transporte por carretera, tras decidir que había infringido las leyes nacionales de seguridad de redes, seguridad de datos y protección de la información personal.
Mientras tanto, Amazon fue sancionada con 877 millones de dólares por incumplir las normas sobre cookies del GDPR, T-Mobile acordó pagar 350 millones de dólares para resolver una demanda colectiva consolidada tras una filtración de datos de principios del 2021, y Google acordó pagar 60 millones de dólares en sanciones por engañar a los usuarios australianos sobre la obtención de datos de localización.
El informe de IBM del 2023 citaba una diferencia de 1,04 millones de dólares (23%) en costos de violación de datos entre niveles altos y bajos de incumplimiento de la normativa. Tanto si se trata de una sanción en virtud de la normativa de protección de datos, como de la resolución de demandas colectivas interpuestas por un individuo o un grupo, o del desembolso en representación legal/asesor general, la realidad es que todas las empresas deben planificar los posibles gastos normativos y de litigios en torno a las filtraciones de datos.
"Las industrias reguladas no sólo sufren el costo inmediato de responder, contener y remediar las vulnerabilidades, sino también los efectos a largo plazo de las sanciones adicionales de sus organismos reguladores y los acuerdos legales", anota Nick. Los sectores muy regulados, como la sanidad y los servicios financieros, suelen ser el primero y el segundo en orden de costo por violación, ya que pagarán más multas por incumplimiento que los demás, añade.
"La investigación y la adjudicación suelen llevar años para que la organización víctima llegue a un acuerdo monetario con las partes afectadas". Los costos legales son uno de los mayores gastos a los que se enfrentan las organizaciones en las violaciones de datos, afirma Nick. "Las organizaciones rara vez tienen la experiencia legal y de privacidad en la empresa. Para garantizar el cumplimiento, deben contratar a un abogado externo para dirigir sus informes".
El aumento de los precios de los seguros cibernéticos deja a las organizaciones luchando para pagar la cobertura
Si bien los costos de la violación de datos asociados con la reputación dañada, el tiempo de inactividad del negocio y la regulación / litigios siguen siendo significativos, no son nada nuevo. Una tendencia más reciente es el fuerte aumento de los costos de las primas de los ciberseguros debido a la frecuencia y gravedad de las violaciones, junto con los elevados pagos por ransomware.
Según un estudio de Huntsmen Security, se espera que el número de organizaciones que no pueden permitirse una cobertura de ciberseguro adecuada se duplique en el 2023. Esto es el resultado del aumento de los precios de las primas por parte de las aseguradoras para reflejar mejor los riesgos a los que se enfrentan las organizaciones. "Algunas organizaciones han informado de aumentos en las primas posteriores a la violación de aproximadamente el 200%", anota Nick.
Junto con el encarecimiento de las primas, las aseguradoras también están aplicando más limitaciones de cobertura, lo que significa que incluso con una póliza en vigor, las empresas podrían ser financieramente responsables de ciertos costos relacionados con la filtración. Esto significa que, además de primas más caras, las empresas también tienen que planificar la financiación para cubrir cualquier limitación o exención incluida en las pólizas. Según el último informe de IBM, la protección de seguros es la inversión menos habitual tras una filtración (18%), lo que ahorra a las organizaciones una media de 196.452 dólares en costos de filtración de datos.
Mellen explica que el panorama de los ciberseguros sigue evolucionando, pero que cualquier idea de que las pólizas permitirán a las organizaciones recuperarse totalmente de un ciberataque es una locura. "En realidad, no van a cubrir todos los costos asociados a cualquier tipo de ciberataque, y vemos que algunas aseguradoras ni siquiera cubren el ransomware en este momento como parte de sus pagos", añade.
Otro factor a tener en cuenta es que los proveedores de ciberseguros suelen tener ahora una lista de proveedores de servicios aprobados, como abogados y empresas forenses, sostiene Hicks. "Si su proveedor preferido no está en su lista, es posible que tenga que trabajar con ellos para que lo incluyan o que tenga que cambiar de proveedor. Esto puede ser costoso, ya que las empresas suelen aprovechar sus proveedores de servicios existentes para asegurarse los máximos descuentos en función del volumen de trabajo realizado con los socios. Además, si por alguna razón no consigue que los incluyan, podría acabar teniendo que pagar los costos directamente frente a que los cubra tu seguro".
Las organizaciones están cada vez más dispuestas a pagar grandes rescates
Sobre el tema del ransomware, la evidencia sugiere que las empresas están cada vez más abiertas a pagar rescates como parte de su respuesta a la violación, incluso reservando millones de dólares para este fin. "Una de las primeras preguntas que recibo a menudo es, ¿deberíamos crear una cartera Bitcoin para prepararnos para tener que pagar rescates?". comenta Mellen. "Al final del día, un ataque de ransomware puede ser un evento existencial para una empresa, si sus copias de seguridad no están en un lugar seguro o no están actualizadas, por lo que 100% sí se preparan para la realidad de tener que pagar el rescate".
En última instancia, los actores de amenazas buscan determinar la cantidad que una empresa podría estar dispuesta a pagar para continuar con sus operaciones. Datos recientes de ExtraHop indican que el 83% de las empresas afectadas por ransomware en el 2022 optaron por pagar un rescate al menos una vez.
El informe 2023 de IBM encontró que las organizaciones que pagaron el rescate durante un ataque de ransomware lograron solo una pequeña diferencia en el costo total de 5,06 millones de dólares en comparación con 5,17 millones de dólares, una diferencia de costo de solo el 2,2%. Sin embargo, este cálculo no incluye el costo del rescate en sí, y dado el alto costo de la mayoría de las demandas de ransomware, las organizaciones que pagaron el rescate probablemente acabaron gastando más en total que las que no lo hicieron, según IBM. Los datos indicaron que pagar un rescate se ha vuelto cada vez menos ventajoso en general, con una disminución del 82,5% en los ahorros de los informes del 2022 al 2023.
La falta de personal de seguridad aumenta los costos de las violaciones de datos
Según el último informe de IBM, la escasez de personal de seguridad es uno de los mayores amplificadores del costo de las filtraciones de datos, ya que el costo medio de una filtración para las organizaciones con altos niveles de escasez de personal de seguridad es de 5,36 millones de dólares. Si la escasez de personal de seguridad equivale a mayores costos por filtración de datos, las organizaciones deberían prestar atención a la advertencia de Mellen sobre el impacto que una filtración de datos mal gestionada puede tener en los empleados. "Si no sienten que la organización es capaz de protegerles a ellos o a los clientes en caso de filtración, o si culpan a sus empleados de la filtración, es probable que empiecen a buscar trabajo en otra parte, porque se crea un ambiente hostil para ellos", afirma.
Mellen cita el ejemplo de "culpar al becario" de un incidente de filtración de datos, que es una forma segura de hacer que la gente se sienta insegura en sus funciones y como si estuvieran a un paso de ser utilizados como chivo expiatorio, lo que podría obligarles a marcharse. Esto no sólo puede dejar a una empresa corta de recursos, sino que también significa que tendrán que desembolsar los costos que implica la contratación y la incorporación de nuevo personal. "Es muy importante que las organizaciones reconozcan que tienen que aceptar su responsabilidad y proteger tanto a sus empleados como a sus clientes", añade Mellen.
La preparación es clave para gestionar los costos de la violación de datos
Independientemente de los costos específicos, los expertos coinciden en que, en última instancia, la preparación es clave para gestionar las repercusiones monetarias de una violación de datos. "Una respuesta más rápida a los incidentes sigue siendo un claro motor para reducir el costo de una filtración", sostiene Dutile. "Las peores pérdidas son las que pasan desapercibidas durante un tiempo prolongado o tienen una respuesta lenta o ineficaz". La ciberseguridad moderna requiere una mentalidad posterior a la violación que comprenda que, en algún momento, se va a producir una violación de datos con éxito, añade Mellen. "Para operar en esas condiciones, hay que averiguar cómo se va a gestionar y desarrollar la capacidad de recuperación para responder mejor y más rápido. Tampoco se trata sólo de la función de seguridad, sino que tiene que extenderse a toda la organización, teniendo en cuenta lo que va a hacer marketing, lo que va a hacer ventas, etc.: cómo, como empresa, puede demostrar que valora a sus clientes y que quiere arreglarlo lo más rápida y eficazmente posible".
Basado en el artículo de Michael Hill (CSO) y editado por CIO Perú