Cuál es el costo de una filtración de datos?

0
37

Las filtraciones de datos y los incidentes de seguridad son cada vez más costosos. La institución crediticia canadiense Desjardins Group reveló recientemente que, a raíz de una filtración a principios de año que expuso la información personal de 2,9 millones de miembros, había gastado 53 millones de dólares. El fabricante Norsk Hydro afirmó que la factura final por su paralizante ciberataque podría llegar a 75 millones de dólares. British Airways y Marriott han tenido que agregar 100 millones de dólares cada uno al costo final de sus incidentes después de encontrarse en falta con el GDPR.

Si bien estos ejemplos son los extremos más destacados y extremos en escala, el impacto financiero de sufrir una filtración de datos continúa aumentando, año tras año, para las empresas de todo tipo y tamaño. El costo promedio de una filtración de datos ha aumentado a 3,92 millones de dólares, según un nuevo informe de IBM y el Instituto Ponemon.

El informe muestra un aumento de 1,6% en los costos en el 2018 y un aumento de 12% en los últimos cinco años. Esto incluye una combinación de costos directos e indirectos relacionados con el tiempo y el esfuerzo para hacer frente a una filtración de datos, oportunidades perdidas como la pérdida de clientes a consecuencia de la publicidad negativa y multas regulatorias.

Las filtraciones de datos son cada vez más grandes y caras
A nivel mundial, es probable que poco menos del 30% de las organizaciones sufra al menos una filtración en los próximos 24 meses. Las organizaciones estadounidenses enfrentan los costos más altos con un promedio de 8,19 millones de dólares por filtración, impulsado por un complejo panorama regulatorio que puede variar de estado a estado, especialmente cuando se trata de la notificación de la filtración. En el Reino Unido, la cifra es ligeramente más baja que el promedio global, en 3,88 millones de dólares.

El tamaño de la filtración de datos promedio ahora es de 25.575 registros, un aumento de 3,9% en comparación con el 2018. El tamaño de la filtración promedio en Estados Unidos es mayor, con 32.434, y ligeramente menor en el Reino Unido, con 23.600 (ambas cifras aumentan en el 2018). A nivel mundial, cada registro perdido cuesta alrededor de 150 dólares en promedio; en Estados Unidos, esa cifra aumenta a 242 dólares, mientras que en el Reino Unido el costo es de 155 dólares por registro.

El costo final por registro puede verse afectado por factores relacionados con qué tan bien preparada está una organización y qué tan bien reacciona ante una filtración. Una infracción puede generar una rotación de clientes de 3,4%, un poco más alta que el año pasado, y sugiere que los clientes aceptan cada vez menos las fallas de seguridad.

Si bien la pérdida de miles de registros a la vez se está volviendo común, las infracciones a nivel de Equifax, que involucran millones de registros, siguen siendo relativamente raras. Según IBM, una «megafiltración” de un millón de registros podría costarle a la compañía 42 millones de dólares -en comparación con los 40 millones de dólares del año pasado- mientras que la pérdida de 50 millones de registros podría costarle a la compañía 388 millones de dólares.

Dada la naturaleza muy sensible y regulada de los datos que manejan, los sectores financieros y de salud enfrentan los mayores costos por registro: hasta 429 dólares en atención médica y 210 dólares en finanzas. El nivel de regulación juega un papel importante en lo que pagará una empresa para recuperarse de una filtración de datos. Las industrias muy reguladas, como las de servicios de salud y financieros, enfrentan costos promedio de 6,45 millones de dólares y 5,86 millones de dólares por incidente, mientras que las industrias menos reguladas, como el comercio minorista y hotelería, ven costos promedio de incidentes de menos de dos millones de dólares.

«Con los registros de atención médica, obtendrá cosas como su historial médico completo en algunos casos -la comprensión de que esta persona se sometió a una cirugía de rodilla el año pasado y se sometió a fisioterapia”, afirma Wendi Whitmore, directora de X-Force Threat Intelligence en IBM. «Por lo general, también obtiene mucha información adicional de identificación personal, el mismo tipo de información que obtendría de una tarjeta de crédito”.

La lentitud de la respuesta a una filtración de datos aumenta los costos
El tiempo es dinero y ser lento para detectar y contener una filtración puede ser costoso. Según el informe de IBM, ahora lleva 279 días combinados identificar y contener una filtración, en comparación con los 266 días del informe del año pasado. La rapidez en las respuestas podría representar un gran ahorro de costos. En promedio, las empresas capaces de detectar y contener una infracción en menos de 200 días gastaron 1,2 millones de dólares menos.

«El tiempo realmente es dinero”, afirma Whitmore. «Mientras más tiempo tenga un atacante dentro de un ambiente, más acceso puede obtener a diferentes dispositivos, diferentes datos, diferentes cuentas y todas aquellas cosas que necesitamos para eliminar su acceso y limitar su impacto en el futuro. Eso ciertamente aumenta el costo”.

Las organizaciones alemanas y sudafricanas son las más rápidas para encontrar y contener las infracciones -un total combinado de 170 y 226 días respectivamente- mientras que las empresas en Medio Oriente (381) y Brasil (361) son las que más tardan. Las organizaciones de atención médica, sector público y entretenimiento tardan más tiempo en descubrir y contener una filtración de datos, con un promedio de más de 310 días, mientras que los sectores de servicios financieros, tecnología e investigación fueron los más rápidos en el descubrimiento y la reparación.

Este año, por primera vez, IBM y Ponemon analizaron la «long tail” de las filtraciones de datos, y descubrieron que las organizaciones están pagando el precio de una filtración de datos incluso años después del hecho. Alrededor del 67% del costo se produce en el primer año, alrededor del 22% se produce en los próximos 12 a 24 meses, y el 11% final se produce más de dos años después. Aunque en un ejemplo extremo reciente, Equifax acordó pagar 575 millones de dólares -monto que podría aumentar a 700 millones de dólares- en un acuerdo con la Comisión Federal de Comercio por su filtración de datos del 2017.

«Muchas veces, los clientes a los que respondemos verán una filtración de datos como un costo único: ‘Será un gran desembolso, pero luego, volveremos al negocio’”, afirma Whitmore. «Pero la realidad es que solo el 67% se gastó durante el primer año, con el 33% restante incurrido en los siguientes dos o tres años, cosas como el monitoreo posterior o el monitoreo de crédito. Capital One, Equifax, si tienen una gran cantidad de registros de crédito de datos filtrados de clientes, entonces son responsables de eso, y eso se convierte en un costo continuo”.

Regulaciones y multas
Con la introducción del GDPR y una gran cantidad de leyes de imitación que aparecen en todo el mundo, el cumplimiento se está convirtiendo en una parte importante del costo de una filtración. «Si nos fijamos solo en Estados Unidos, existen 52 leyes de privacidad estatales diferentes”, afirma Whitmore. «Eso significa que, cuando ocurren estas filtraciones, la mayoría de las empresas no contaría con empleados expertos en cada una de estas leyes. Entonces, eso es algo para lo que tienen que contratar, recurrir a outsourcing, y asegurarse de que están incurriendo en esos costos”.

Las empresas que no están dispuestas a pagar por la experiencia para garantizar el cumplimiento, pueden sufrir multas regulatorias que son cada vez más elevadas. En el 2018, la cadena de hoteles Marriott originalmente afirmó que su filtración de datos le había costado alrededor de 28 millones de dólares, la mayoría de los cuales estaban cubiertos por el seguro de la compañía. Sin embargo, en julio del 2019, la autoridad de protección de datos del Reino Unido, la ICO, emitió una multa de 124 millones de dólares a la compañía por fallas en el cumplimiento del GDPR. La ICO le emitió una multa aún mayor a BA la misma semana. Con la amenaza de multas tan grandes, las compañías deberían adoptar una actitud más proactiva frente a la privacidad de los datos para obtener una visión más favorable de los reguladores.

«Prevemos más de esos casos, y es probable que aumenten significativamente el costo en el futuro, y creo que eso realmente va a cambiar drásticamente el panorama de las inversiones que hacen las organizaciones”, afirma Whitmore. «Idealmente, eso significa que están haciendo inversiones más proactivas, y realmente buscan prepararse, ensayar y asegurarse de que puedan limitar el impacto de la pérdida de estos registros cuando se trata de este tipo de filtraciones”.

Cómo reducir el costo de incumplimiento: Tenga un plan de respuesta
Es un refrán común que sufrir una filtración de datos es casi inevitable, por lo que la mejor manera de mantener los costos bajos es estar preparado para cualquier eventualidad. El informe afirma que las compañías que tenían un equipo de respuesta a incidentes (IR, por sus siglas en inglés) y probaron exhaustivamente su plan de IR con, al menos, dos de los ejercicios más importantes experimentaron, en promedio, 1,23 millones de dólares menos en costos de filtración de datos en relación con los que no tenían ninguna medida establecida.

«No solo debe tener un documento que estipule: ‘Aquí está la información de contacto del equipo de seguridad’, sino profundizar en este tipo de contextos a través de ensayos, donde se puedan probar otros planes, identificar brechas e idealmente contener estos ataques antes de experimentarlos en la vida real”, afirma Whitmore.

Otra parte importante es la respuesta pública. La pérdida de la confianza del cliente, en última instancia, conduce a una pérdida de negocios, lo que puede aumentar el costo general de la filtración. «Un gran componente es la comunicación después de una filtración y durante una filtración”, explica Whitmore. «¿Cómo emitimos mensajes a nuestros consumidores o clientes sobre lo que está sucediendo de manera efectiva? Cuando se manejan correctamente, estos eventos pueden ser una oportunidad para generar buena voluntad en los clientes y mucha confianza, pero eso requiere mucha preparación y capacitación por adelantado para estas organizaciones”.

Empresas como Maersk y Norsk Hydro han demostrado que un flujo regular de información después de un ataque, puede tener un impacto positivo a largo plazo en una empresa. Ambas compañías fueron elogiadas por su respuesta efectiva y vieron aumentar los precios de sus acciones en las semanas siguientes.

«Hablamos del ejemplo de Maersk con bastante frecuencia”, afirma Whitmore. «Realmente tomaron el mando de la situación. Ese CEO estaba involucrado en las redes sociales y, en última instancia, eso hizo subir el precio de las acciones. Se ve como una gran historia de éxito cuando se trata de una respuesta”.

El uso cada vez más amplio de la encriptación, la automatización de la seguridad siempre que sea posible, y el hecho de tener un equipo de IR puede reducir el costo potencial de una filtración, especialmente si los equipos y planes de IR se prueban regularmente.

En el aspecto técnico, en promedio, los enfoques de DevSecOps, la capacitación de los empleados, el seguro cibernético y la participación del directorio en la seguridad son factores que también reducen el costo de una filtración en más de cien mil dólares cada uno. Por el contrario, en promedio, las infracciones originadas por terceros, la migración a la nube, la Internet de las cosas o las tecnologías operativas, son factores que pueden aumentar el costo de una infracción en más de cien mil dólares cada uno.

El principal consejo de Whitmore para reducir el costo de una filtración es la visibilidad adecuada de su ambiente y garantizar backups robustos y probados fuera de línea. «Si podemos reducir el tiempo que lleva identificar una filtración y contenerla de manera bastante significativa, entonces esas organizaciones no tendrán una gran cantidad de registros perdidos y, en última instancia, no enfrentarán el mismo nivel de multas que existe actualmente”.

«En casos de ransomware o malware destructivo, vemos que las organizaciones pierden el acceso a sus datos más críticos, y luego pasan mucho tiempo tratando de reconstruir ambientes para tener acceso a ellos nuevamente”, continúa Whitmore. «Recomendaría tener un backup fuera de línea de sus datos más críticos”.

Dan Swinhoe, CSOonline