Desde IBM Security se han anunciado los últimos resultados de su estudio anual que examina el impacto financiero de las violaciones de datos en las organizaciones, revelando que el costo por esta causa ha aumentado 12% en los últimos cinco años y que ahora cuesta 3,92 millones de dólares en promedio.
Estos crecientes gastos, según el informe, son representativos del impacto financiero multianual de las infracciones, el aumento de la regulación y el complejo proceso de resolución de ataques criminales.
Como ya se ha dicho insistentemente, las consecuencias financieras de una violación de datos pueden ser particularmente graves para las pequeñas y medianas empresas.
De acuerdo a lo informado, las empresas con menos de 500 empleados han sufrido pérdidas de más de 2.5 millones de dólares en promedio, una cantidad potencialmente paralizante para las pequeñas empresas, que generalmente ganan 50 millones de dólares o menos en ingresos anuales.
El Informe anual sobre el costo de la violación de datos, por primera vez este año, también ha examinado el impacto financiero a largo plazo de una violación de datos, encontrando que los efectos en este sentido se padecen durante años.
Se ha informado que, en promedio, el 67% de los costos de la violación de datos se realizaron dentro del primer año después del evento, mientras que el 22% se acumuló en el segundo año y otro 11% perduró por más de dos años después de la violación.
Los costos a largo plazo han sido más altos en el segundo y tercer año para las organizaciones en entornos altamente regulados, tales como salud, servicios financieros, energía y productos farmacéuticos, según lo anunciado.
Wendi Whitmore, líder global de Respuesta a Incidentes y Servicios de Inteligencia de IBM X-Force, ha comentado que la ciberdelincuencia representa una gran cantidad de dinero para los delincuentes cibernéticos y desafortunadamente eso equivale a pérdidas significativas para las empresas.
“Debido a que las organizaciones han enfrentado la pérdida o el robo de más de 11.7 mil millones de registros sólo en los últimos tres años, las empresas deben ser conscientes del impacto financiero total que puede tener una brecha de datos en sus resultados y centrarse en cómo pueden reducir estos costos”.
Factores de costo empresarial
El Informe anual sobre el costo de la violación de datos, patrocinado por IBM Security y ejecutado por el Instituto Ponemon, se basa en entrevistas en profundidad con más de 500 portavoces de empresas de todo el mundo que sufrieron una violación durante el año pasado.
Dentro del análisis se han tomado en cuenta cientos de factores de costo, incluyendo las actividades legales, regulatorias y técnicas para la pérdida del valor de la marca, así como los clientes y la productividad de los empleados.
Algunas de las principales conclusiones del más reciente Informe anual sobre el costo de la violación de datos incluyen que las violaciones maliciosas han sido las más comunes y las más caras.
“Más del 50% de las infracciones de datos en el estudio se debieron a ataques cibernéticos maliciosos y a las empresas les costó un millón de dólares más en promedio que las originadas por causas accidentales”.
Las “mega rupturas” también han conducido a “mega pérdidas” y, aunque son menos comunes, las violaciones de más de un millón de registros cuestan a las empresas una pérdida proyectada de 42 millones de dólares. Se proyecta que los de 50 millones de registros costarán a las empresas 388 millones de dólares.
“Las empresas con un equipo de respuesta a incidentes que también probaron exhaustivamente su plan de respuesta a incidentes experimentaron 1.23 millones menos en costos de violación de datos, en promedio, que aquellas que no tenían ninguna medida en su lugar”.
El estudio de IBM Security además ha encontrado que las brechas de datos que se originaron a partir de un ataque cibernético malicioso no solo fueron la causa raíz más común de una brecha, sino la más costosa.
Se ha explicado que las violaciones de datos por actividad maliciosa cuestan a las empresas 4,45 millones de dólares, en promedio, un millón más que las originadas por causas accidentales (fallas del sistema o errores humanos).
Estas violaciones se han considerado como una amenaza creciente, ya que el porcentaje de ataques maliciosos o criminales, como la causa principal de las violaciones de datos, ha aumentado de 42% a 51% en los últimos seis años del estudio y se traduce en un incremento del 21%.
“Las infracciones involuntarias de errores humanos y fallas en el sistema siguieron siendo la causa de casi la mitad (49%) de las violaciones de datos en el informe, lo que costó a las empresas 3.50 y 3.24 millones de dólares, respectivamente”.
A pesar de estas cifras, se ha indicado que estas violaciones del error humano y de la máquina representan una oportunidad de mejora que se puede abordar mediante capacitación de concienciación de seguridad para el personal, inversiones en tecnología y servicios de pruebas para identificar las violaciones accidentales desde el principio.
Respuesta a incidentes
Se ha informado que el Instituto Ponemon ha examinado durante los últimos 14 años los factores que aumentan o reducen el costo de una infracción. Así, ha descubierto que la velocidad y la eficiencia con que una empresa responde a una infracción tienen un impacto significativo en el conjunto de costos.
El Informe anual sobre el costo de la violación de datos ha encontrado que el ciclo de vida promedio de una infracción fue de 279 días, mientras que las empresas tardaron 206 días en identificar por primera vez una infracción después de que ocurriera y 73 días adicionales para contenerla.
“Sin embargo, las compañías del estudio que pudieron detectar y contener una infracción en menos de 200 días gastaron 1.2 millones de dólares menos en el costo total de una infracción”.
Entonces, un enfoque en la respuesta a incidentes puede ayudar a reducir el tiempo que demoran las empresas en responder. De acuerdo al estudio de IBM Security, estas medidas también tienen una correlación directa con los costos generales.
“Tener un equipo de respuesta a incidentes en el lugar y pruebas exhaustivas de los planes de respuesta a incidentes fueron dos de los tres principales factores de ahorro de costos examinados en el estudio”.
