top of page

¿Cuánto le cuesta una violación de datos a su empresa?

Este es un tema algo espinoso, que generalmente no nos gusta tocar en nuestra empresa, pues cuando hablamos de costos (especialmente los no presupuestados), siempre hay algo que se retuerce dentro de nosotros. Sin embargo, es justamente estudiando sus causas y consecuencias (ojalá en otras empresas), como podemos estar prevenidos y preparados para las amenazas futuras, que puedan derruir el bolsillo de nuestra organización.


Por eso en este post, traigo a colación los resultados de dos estudios: el "2017 Ponemon Cost of Data Breach Study" (IBM y Ponemon Institute) y el más reciente Kaspersky Industrial CyberSecurity Report (Kaspersky y Business Advantage); centrándonos únicamente en sus más relevantes datos y principales conclusiones.


Una cifra muy alta.

3'620.000 USD (casi 11.000'000.000 COP) es el costo promedio global que las empresas han tenido que pagar por incidentes de ciberseguridad en el último año, representando una media de 141 USD (alrededor de 425.000 COP) por cada registro violado.


Costos

Las falencias en seguridad informática pueden ser demasiado costosas para cualquier cartera.

La buena noticia es que esta cifra se ha reducido en un 10% desde el análisis anterior de IBM (2016), presentando en Europa una disminución del 26%, gracias a sus marco legal centralizado, que les permite cumplir con las normas de protección de la información más eficientemente. Por el contrario, en países como Estados Unidos y Colombia, donde la normatividad no está unificada o es muy ambigua pero impone severas sanciones, se espera que los costos sean mucho mayores (vea las sanciones implantadas por la SIC en nuestro artículo anterior).


El sector más afectado (por noveno año consecutivo) es salud, cuyos costos totales alcanzan los 9'800.000 USD (casi 30.000'000.000 COP), 380 USD (a rededor de 1'140.000 COP) por registro; siendo hoy por hoy uno de los sectores más vulnerables en América Latina (Seguramente recordarán la histórica multa de la SIC a Colmédica por permitir la vulneración de datos de sus pacientes).


"Time is money"- Benjamin Franklin

Y es que a la hora de reducir los costos por incidentes de ciberseguridad, el estudio de Ponemon Institute demuestra (por tercer año consecutivo) que contar con un equipo de especialistas y un plan de acción preparado para brindar una respuesta rápida, reduce los costos del incidente por encima de los 19 USD (unos 57.000 COP) por registro violado.


En comparativa, las empresas que pudieron frenar el incidente en un tiempo menor a 30 días, redujeron las consecuencias financieras totales en 1'000.000 de USD (cerca de 3.000'000.000 COP), frente aquellas que no.


La brecha información - acción.

Una de las conclusiones más importantes y preocupantes del informe de Kaspersky, es que, aunque los expertos en ciberseguridad de las organizaciones están informados sobre los riesgos, las tácticas aplicadas para mitigarlos no corresponden a esta realidad, lo cual no solo genera más riesgos, sino también costos ineficaces.


Resultados Industria Kaspersky

Principales hallazgos del informe de Kaspersky y Business Advantage | Fuente: Kaspersky Lab

  • El 86% de las empresas encuestadas cuenta con una política de seguridad cibernética aprobada y documentada para protegerlos de las amenazas, sin embargo el 54% de las mismas tuvieron que enfrentar ataques en el último año, 4% enfrentaron más de seis.

  • El 55% de las empresas admite que sus proveedores externos cuentan con acceso a las redes de control de su organización.

  • 81% de las organizaciones utilizan conexiones inalambricas en sus instalaciones, lo cual pone fin a cualquier estrategia 'air gap' (está tendencia va en aumento).

  • Las 3 soluciones de seguridad más implementadas son: antimalware, monitorización de redes y controles de acceso a dispositivos; sin embargo, solo el 46% ha considerado un análisis de vulnerabilidades y gestionar el parcheo, y, de estos, el 41% parchea una vez al mes o con menor frecuencia (Lo cual WannaCry y Petya ya han demostrado como una práctica inefectiva).

  • El 31% de los expertos contestó que, aunque para ellos es importante la ciberseguridad, esta no resulta ser una prioridad para los cargos superiores.


Las verdadera amenaza está adentro.

Aunque 47% de las brechas de seguridad son causadas por código malicioso y generan un costo promedio de 156 USD (alrededor de 470.000 COP) por registro, la experiencia reciente nos demuestra que cuando los ataques son lanzados desde fuera, las prácticas más comunes de seguridad informática (bien implementadas) son capaces de frenarlos.


Esto lo sabemos los expertos en TI, pero también lo saben los ciberdelincuentes, por eso aprovechan el eslabón más débil para romper la cadena: los usuarios (profundizaremos este tema en una próxima entrada). Una vez un usuario abre un archivo malicioso en su equipo o ingresa a una página web sin los protocolos de seguridad adecuados, el ataque ya ha brincado varias barreras de seguridad importantes dentro de la organización; además, muchos ataques pueden ser silenciosos e indetectables hasta que se perciben sus secuelas.


El podio de las consecuencias más presentadas por ataques cibernéticos incluye daños en la calidad del producto y del servicio, pérdida de patentes o información confidencial y reducción o pérdida de la producción.


Mejores prácticas, menores costos.

Sin embargo los resultados de estos estudios también nos entregan un escalafón de las mejores prácticas a la hora de reducir costos por vulneraciones de la información:


  1. Contar con un equipo experto de respuesta a incidentes supone un ahorro de 19 USD (57.000 COP) por registro.

  2. El uso extendido del cifrado de datos son 16 USD (48.000 COP) de ganancia por registro.

  3. Las formación consciente a los empleados representa 12,5 USD (37.500 COP) de reducción de costos por registro.


Adicionalmente, los expertos de Kasperski afirman que "la falta de habilidades puede remediarse subcontratando la gestión de la ciberseguridad industrial a equipos externos que comprendan los requisitos propios del sector" además aseguran que "las soluciones de seguridad desarrolladas específicamente para el sector otorgan una protección mucho más efectiva que las genéricas".


Así que, aunque sea un tema difícil de tratar, no podemos dar la espalda a la seguridad de la información, las amenazas están ahí y pueden generar costos irremediables para todas las empresas.



Tags:

RSS Feed
Publicaciones Relacionadas
Publicaciones recientes
Archivo
Búsqueda por etiquetas
Otros canales
  • Facebook
  • LinkedIn
  • Twitter
Seguir leyendo
bottom of page