22 oct. 2018

Las filtraciones de datos salen cada vez más caras

Según un informe de IBM, el coste medio de una filtración de datos se ha elevado a 3,86 millones de dólares. La última versión de este estudio anual indica un incremento de costes del 6,6%, incluyendo pérdidas directas, pérdidas indirectas relacionadas con el tiempo y el esfuerzo dedicados a solucionar la filtración, y oportunidades perdidas, como los clientes que se marchan debido al menoscabo de la reputación.

"Como cada vez hay más filtraciones, ahora se espera que las personas estén mejor equipadas para gestionarlas", explica John Wheeler, vicepresidente de estrategia de IBM Security. "Hemos llegado a un punto en el que es inaceptable descubrir que una empresa tiene deficiencias en sus programas (de seguridad)".

El alcance medio de las filtraciones ha aumentado

Actualmente, el alcance medio de las filtraciones de datos es de unos 24.615 registros, un aumento del 2,2% respecto a 2017. La media del coste mundial de un registro perdido es de unos 148 dólares. En EE. UU., esa cifra asciende a los 233 dólares.

El coste final por registro puede verse afectado por diversos factores, como si la empresa está preparada o si ha reaccionado bien a la filtración. Como las compañías actuales están cada vez más conectadas, Wheeler predice que la cifra seguirá aumentando.

"Los datos, los registros y los requisitos de gestión van a seguir siendo importantes. Todo el mundo va hacia la transformación digital, lo que significa que todas las empresas están intentando conectar de una manera más personal con sus clientes".

La ubicación de las empresas que sufren filtraciones marca diferencias importantes

En EE. UU., las empresas se enfrentan al coste mayor, con una media de 7,91 millones de dólares por filtración. A nivel mundial, la cifra de empresas que es probable que sufran al menos una filtración durante los próximos 24 meses es de casi el 23%.

Las organizaciones con sede en Brasil y Sudáfrica son las más propensas a sufrir al menos una filtración. Según Wheeler, la diferencia de costes se debe a una combinación de varios factores.
"El factor principal es el coste de la regulación. También es importante el coste de los equipos contratados como complemento, aparte del nivel de repercusión que tenga en los medios de comunicación".

Las fltraciones salen más caras en algunos mercados verticales

Dada la naturaleza altamente sensible y regulada de los datos que manejan, no es extraño que los sectores de salud y finanzas sean los que se enfrentan a los costes más elevados por registro, hasta 400 dólares.

Las empresas de servicios financieros son las víctimas más frecuentes, seguidas por las industrias de servicios, manufactura y tecnología. El nivel de regulación juega un papel importante en qué pagará una empresa para recuperarse de una filtración de datos.

Una respuesta lenta a una filtración de datos eleva su coste

Según el informe de IBM, actualmente se tardan 197 días en identificar una filtración y 69 en contenerla, un ligero aumento respecto a los 191 y 66 días de 2017. Las empresas alemanas y sudafricanas son las más rápidas en descubrir y contener las filtraciones (171 y 190 días respectivamente), mientras que las de Oriente Medio (350) y Brasil (340) son las más lentas.

Las empresas de entretenimiento y salud son las que tardan más en descubrir y contener las filtraciones (una media de más de 300 días), mientras que las de los sectores energéticos y de servicios financieros son las más rápidas en descubrirlas y remediarlas. El tiempo es dinero, y tardar en detectar y contener una filtración puede salir caro.

Tardar más de 100 días en descubrir una filtración puede añadir más de un millón de dólares a la factura final. Además, tardar más de 30 días en contener una filtración una vez descubierta puede costar, de nuevo, más de un millón de dólares. Invertir en capacidades forenses y de monitorización puede ser valioso a largo plazo.

Las leyes de requerimiento de notificación de filtraciones de datos añaden un coste

Uno de los desembolsos más importantes a los que se enfrentan las empresas después de las filtraciones son los costes de notificación. Estos incluyen la creación de bases de datos de contactos, determinar los requerimientos por ley, honorarios de consultoría, gastos postales, correos electrónicos devueltos y más. India tiene los costes de notificación más bajos, solo 20.000 dólares, mientras que los más altos son los de EE.UU., 740.000 dólares por filtración, sobre todo debidos a las normativas de notificación de filtraciones de datos.

No obstante, según el informe, ahora que ha entrado en vigor la normativa de la Unión Europea, es probable que las empresas vean "grandes incrementos en todo el mundo" a nivel de costes de notificación.

"La gran pregunta es qué precedentes se establecerán cuando se empiecen a poner multas. Cuando llegue el primer caso y la gente sea consciente de lo elevadas que pueden ser las multas, vamos a ver temblar a muchos ejecutivos. Una de las claves de la GDPR es que establece una ventana de transparencia de 72 horas. Y ese tiempo puede pasar muy, muy rápido. La gente tiene que entender que es importante estar preparado".

Las filtraciones importantes pueden provocar grandes costes indirectos

Aunque es cada vez más habitual que se pierdan miles de registros al mismo tiempo, las filtraciones del nivel de la de Equifax, con millones de registros comprometidos, siguen siendo extrañas. Según IBM, una "mega filtración" de un millón de registros podría costar a la empresa 40 millones de dólares, mientras que la pérdida de 50 millones de registros podría costar 350 millones de dólares.

Según Wheeler, cuando una filtración entra dentro de esta categoría, los costes indirectos de elevan mucho. "Si su empresa pierde 50 millones de registros, es probable que sea una empresa muy grande que tiene los medios financieros para contar con una buena protección. La gente lo verá y dirá que es un fallo catastrófico, y los clientes elegirán a otra compañía para hacer sus negocios".

Cómo reducir el coste de una filtración: cuente con un plan de respuesta

Use mucha encriptación y seguridad automática siempre que sea posible, y cuente con un equipo de respuesta a incidentes que pueda reducir el coste potencial de la filtración por medio de formación y un seguro. Lo que más ahorra es que toda la empresa esté bien preparada, y saber qué hacer en caso de filtración.

"Tiene que tener un plan de respuesta contra este tipo de incidentes, y ese plan tiene que ser probado y practicado por todos los ejecutivos. Y tiene que ser algo más que un simple papel, tiene que simular de verdad, con el mayor realismo posible, qué pasaría si ocurriese en el mundo real".

Esta preparación incluye entender el papel de cada empleado de la empresa en caso de filtración, hay que saber con qué personas u organizaciones externas hay que contactar y tener preparada una estrategia de comunicación externa.

Piense que implicar a terceros, acudir a una migración en nube extensa o usar dispositivos IoT durante una filtración puede aumentar el impacto potencial de los costes y afectar a dispositivos como ordenadores portátiles o teléfonos. De igual manera que estar mejor preparado reduce los costes, quedarse corto los aumenta. "Si la empresa que se enfrenta a la filtración no tiene un plan de respuesta oficial para este tipo de incidentes, los costes serán significativamente mayores, porque ante semejante desastre o ante un problema empresarial crítico tendrán que solucionarlo sobre la marcha".

Cómo reducir el coste de una filtración: Comprométase con la seguridad

Wheeler explica que las empresas que se toman su seguridad, y la amenaza de las filtraciones, en serio son capaces de reducir los costes porque están preparadas para actuar rápidamente en caso de que surja cualquier incidente.

"La seguridad y la protección de los datos deben tratarse como un compromiso a nivel ejecutivo, no son solo responsabilidad del Ciso. Los ejecutivos de alto nivel tienen que entender los riesgos, tienen que proteger sus datos, porque una filtración puede ser catastrófica para la empresa, y tenemos que comprometernos a proteger la información que tenemos de nuestros clientes".

Esto incluye contar con equipos legales que entiendan las consecuencias legales de una filtración, equipos de comunicación que preparen el mensaje y líderes que estén preparados para asumir la responsabilidad.

 "En caso de filtración a gran escala, no va a salir airoso colocando solo frente a las cámaras a un CISO que nunca ha sido la cara pública de la empresa. Los inversores y los clientes exigirán que la persona o personas de más alto nivel de la empresa comuniquen qué está pasando, qué se está haciendo al respecto y qué garantías pueden dar".

Fuente: CSO

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!