En cinco años, el impacto financiero de una vulneración de datos ha aumentado 12%. Las empresas afectadas pierden en promedio $3.92 millones de dólares según el Cost of a Data Breach Report 2019, estudio anual que realiza el Instituto Ponemon, auspiciado por IBM.
Al presentar el reporte, Francisco García, director de IBM Security en México, señaló que este tipo de delitos cibernéticos “representa pérdidas significativas para las organizaciones. Hay compañías que enfrentaron el robo de más de 11,700 millones de registros en los últimos tres años”.
De acuerdo con el reporte, cada registro perdido o robado le cuesta en promedio a las empresas $150 dólares. Se estima que hay 25,575 récords afectados en promedio cuando ocurre un ataque a una compañía.
El ejecutivo subrayó que el impacto se vuelve mayor cuando se trata de pequeñas y medianas empresas, porque el costo puede equivaler a 5% de sus ingresos de todo el año. “Las organizaciones con menos de 500 empleados sufrieron pérdidas de más de $2.5 millones de dólares en promedio, una cifra potencialmente paralizante para pequeñas empresas, que suelen obtener $50 millones de dólares o menos en ingresos anuales”.
Los orígenes de una vulneración
El reporte considera que las vulneraciones tienen tres causas raíz: Cibercrimen –o ataques maliciosos–, fallas en el sistema y error humano. Los primeros originaron 51% de las vulneraciones detectadas en el estudio y costaron a las compañías $1 millón de dólares más en promedio que aquellos que tuvieron causas accidentales.
Las fallas del sistema representan el 25% restante de las vulneraciones y tuvieron en promedio un costo de $3.5 millones de dólares. Mientras que los errores humanos (24%, que alcanzaron un costo de $3.24 millones de dólares) abarcan los que se consideran “infiltrados inesperados”, quienes pudieron comprometer la información de la empresa por negligencia, ya sea al caer en un phishing, al tener infectados sus dispositivos personales, perderlos o serles robados.
En opinión de García, los errores humanos y las fallas en los equipos representan una oportunidad para mejorar. “Las compañías podrían reducir estos porcentajes si aumentan la capacitación y el nivel de concientización en seguridad para su personal”, indicó el directivo.
Señaló que, de acuerdo con el Índice de Inteligencia de Amenazas IBM X-Force, la configuración errónea de servidores de nube contribuyó a la exposición de 990 millones de registros en 2018, y representó el 43% de todos los registros perdidos durante el año.
Cost of a Data Breach Report 2019
Por noveno año consecutivo el sector salud fue el más afectado en términos de costos, con casi $6.5 millones de dólares en promedio: 65% más que otras industrias comprendidas en el estudio. En promedio, se considera que la pérdida de un registro del sector salud cuesta $429 dólares; $210 en la industria financiera y $183 en la industria IT.
En Estados Unidos cada vulneración es más cara
El estudio detectó que las vulneraciones a la información en Estados Unidos fueron mucho más costosas, pues llegaron a $8.19 millones de dólares; esto equivale a más del doble del promedio para las compañías mundiales participantes, estimado en $3.92 millones de dólares. De los países considerados, Brasil reportó el menor costo para un ataque: este asciende a $1.35 millones de dólares.
En cuanto a frecuencia, Estados Unidos también fue el país con el mayor número de vulneraciones reportadas, con 64. Esta cantidad equivale a 13% del total del estudio. Mientras que en el otro extremo de la tabla están las compañías escandinavas (categoría que reunió a las de Dinamarca, Suecia, Noruega y Finlandia) que fueron las que menos afectaciones reportaron, con 21 casos (4%).
Crece el ciclo de vida de las vulneraciones
Este año, el ciclo de vida estimado de una vulneración fue de 279 días (más de nueve meses), 4.9% más largo que en 2018, cuando se reportó que era de 266 días.
El tiempo para identificar (MTT) una vulneración entre los participantes es de 206 días promedio, más 73 días para contenerla (MTI). Alemania es el que tiene los tiempos más cortos para estas actividades: 131 para MTT y 39 para MTI, mientras que en Medio Oriente se toman 279 para MTT y 102 para MTI.
Respuesta a incidentes, necesaria
Una de las recomendaciones del estudio es contar con un equipo de respuesta a incidentes. Las compañías participantes en este reporte que lo tienen desembolsaron en promedio $1.23 millones de dólares menos ante vulneraciones de datos que las que no tenían ninguna medida implementada.
Las organizaciones que tienen un líder de alto nivel —un director de privacidad (CPO) o un jefe de seguridad de la información (CISO)— que establece programas y planes para proteger los datos de las empresas, genera medidas de gobernanza de información, manejo de riesgos y cumplimiento, suelen contar con iniciativas que le ayudan a reducir pérdidas inesperadas de clientes después de una vulneración y a reducir los costos de ese tipo de ataques.
Para el Cost of a Data Breach Report 2019, el Ponemon Institute entrevistó a ejecutivos de 507 empresas que sufrieron una vulneración de datos el año pasado. Las entrevistas se realizaron entre julio de 2018 y abril de 2019. Entre los países que se consideraron están Estados Unidos, India, Reino Unido, Alemania, Brasil, Francia, Japón, Canadá e Italia.
Para calcular los costos de una vulneración de datos, el estudio consideró tanto gastos directos como indirectos que tuvieron que hacer las empresas afectadas después del ataque. Entre los gastos directos está el pago a expertos forenses, contratación de líneas de soporte así como los asociados a proveer suscripciones para monitorear gratis los créditos y descuentos para futuros productos y servicios. Algunos de los gastos indirectos fuero los generados por investigación interna, comunicación, así como la disminución en la tasa de adquisición de nuevos clientes.
Esta fue la edición 14 del reporte y por primera vez se examinó el impacto financiero prolongado que tiene una vulneración de datos, que se sienten por años en las compañías. En promedio, 67% de los costos de un ciber ataque se hicieron efectivos dentro del primer año, 22% se recuperó en el segundo año y 11% se acumuló dos años después del hecho. Los costos a largo plazo fueron más altos en el segundo y tercer año para organizaciones en entornos con regulaciones estrictas, tales como salud, servicios financieros, energía y farmacéutica.