$3.92 MDD, el costo promedio de una brecha de datos: IBM

IBM Security anunció los resultados de su estudio anual que examina el impacto financiero de las brechas de datos en las organizaciones. Según el informe, el costo de una brecha de datos aumentó el 12% durante los últimos cinco años y ahora muestra un costo promedio de $3.92 millones de dólares. Estos gastos crecientes resultan del impacto financiero de varios años, el aumento en las regulaciones de la industria y el complejo proceso de resolución de ataques criminales.

Las consecuencias financieras de una brecha de datos pueden ser particularmente graves para pequeñas y medianas empresas.

Las organizaciones con menos de 500 empleados sufrieron pérdidas de más de $2.5 millones de dólares en promedio, una cifra potencialmente paralizante para pequeñas empresas, que suelen ganar $50 millones de dólares o menos en ingresos anuales.

Por primera vez este año, el informe también examinó el impacto financiero prolongado que tiene una brecha de datos, y reveló que los efectos de tal incidente se sienten por años. Si bien en promedio un 67% de los costos de brecha de datos se hicieron efectivos dentro del primer año después de la brecha, el 22% se recuperó en el segundo año, y otro 11% siguió acumulándose dos años después de la brecha. Los costos a largo plazo fueron más altos en el segundo y tercer año para organizaciones en entornos con regulaciones estrictas, tales como salud, servicios financieros, energía y farmacéutica.

“El delito cibernético representa grandes sumas para los delincuentes cibernéticos, y desafortunadamente eso equivale a pérdidas significativas para las organizaciones,” comenta Francisco García, Director de IBM Security en México. “Con empresas que enfrentaron la pérdida o el robo de más de 11,700 millones de registros en los últimos tres años solamente, las compañías deben estar al tanto del impacto financiero total que una brecha de datos puede tener en sus resultados, y concentrarse en formas de reducir esos costos”.

El estudio también examinó el costo de violaciones de datos en distintas industrias.

Por noveno año consecutivo, las organizaciones de salud participantes en el estudio tuvieron los mayores costos asociados a las violaciones de datos. El costo promedio de una brecha de datos en la industria de salud fue de casi $6.5 millones de dólares, más del 60% superior al promedio para todas las industrias.

Ataques cibernéticos, más costosos que errores humanos 

Según el estudio, las brechas de datos que se originaron de un ataque cibernético malicioso eran no solo la razón más común de una violación sino también la más costosa.

Según el estudio, las brechas de datos maliciosas realizadas por hackers cuestan a las compañías $4.45 millones de dólares en promedio, un $1 millón de dólares más que las que se originan por causas accidentales, como un defecto en el sistema o error humano.

Estas brechas son una amenaza creciente, ya que el porcentaje de ataques maliciosos o delictivos en el informe aumentó del 42% al 51% durante los últimos seis años del estudio (un aumento del 21%).

Dicho esto, las violaciones inadvertidas, por error humano y problemas de sistemas seguían siendo la causa de casi la mitad (49%) de las brechas de datos del informe, con un costo para las compañías de $3.50 y $3.24 millones de dólares respectivamente. Estas infracciones por error humano y de máquinas representan una oportunidad para mejora, que puede abordarse a través de la capacitación y concientización en seguridad para el personal, inversiones en tecnología y servicios de prueba para identificar brechas accidentales en etapas tempranas. Un área particular de preocupación es la configuración errónea de servidores de nube, que contribuyó a la exposición de 990 millones de registros en 2018, y representó el 43% de todos los registros perdidos durante el año, según el Índice de Inteligencia de Amenazas IBM X-Force.

 

Tiempo de respuesta, el mayor factor de ahorro de costos

Durante los últimos 14 años, el Instituto Ponemon viene examinando los factores que aumentan o reducen el costo de una brecha y ha descubierto que la velocidad y eficiencia con la que una compañía responde a una brecha tiene un impacto significativo en el costo general.

El reporte de este año reveló que el ciclo de vida promedio de una brecha era 279 días, mientras que hay compañías que tardan 206 días en identificar una brecha después de que se produce, y unos 73 días adicionales para contener la brecha.

Las compañías que pudieron detectar y contener una brecha en menos de 200 días gastaron $1.2 millones menos en el costo total de una brecha.

Un enfoque en la respuesta a incidentes puede contribuir a reducir el tiempo que les lleva a las empresas responder, y el estudio dejó ver que estas medidas tenían una correlación directa con los costos generales. Tener un equipo de respuesta a incidentes constituido y planes amplios de prueba de respuesta a incidentes fueron de los mayores factores de ahorro de costos examinados en el estudio. Las compañías que contaban con ambas medidas implementadas tuvieron $1.23 millones de dólares de costos totales menos para una brecha de datos promedio que las que no tenían ninguna de esas medidas ($3.51 millones de dólares versus $4.74 millones de dólares).

Otras conclusiones destacadas del estudio de este año:

  • Brechas maliciosas: las más comunes y más caras: Más del 50% de las brechas de datos en el estudio fueron el resultado de ataques cibernéticos maliciosos, y costaron a las compañías $1 millón de dólares más en promedio que las que se originaron por causas accidentales.
  • Las “Mega brechas” conducen a mega pérdidas: Si bien son menos comunes, las brechas de más de 1 millón de registros costaron a las organizaciones una cifra proyectada de $42 millones de dólares en pérdidas, mientras que las brechas que implican la pérdida de más de 50 millones de registros tendrán un costo proyectado para las organizaciones de $388 millones de dólares.
  • La práctica lleva a la perfección: Las compañías con un equipo de respuesta a incidentes que además comprueba ampliamente dicho plan experimentaron $1.23 millones de dólares menos en costos de brechas de datos en promedio que las que no tenían ninguna medida implementada.
  • Las brechas estadounidenses cuestan el doble: El costo promedio de una brecha en los Estados Unidos es $8.19 millones de dólares, más del doble que el promedio mundial.
  • Las brechas en salud son las más costosas: Por noveno año consecutivo, las organizaciones del sector salud tuvieron el mayor costo: casi $6.5 millones de dólares en promedio (más del 60% superior a otras industrias comprendidas en el estudio).

El estudio anual realizado por Instituto Ponemon, auspiciado por IBM Securityy titulado “Costo de una Brecha de Datos” se basa en entrevistas detalladas con más de 500 empresas de todo el mundo que sufrieron una brecha durante el último año. El análisis tiene en cuenta cientos de factores de costos que incluyen: actividades legales, regulatorias y técnicas, así como las pérdidas en términos de valor de marca, clientes y productividad de los empleados.