Un estudio denominado Cost of Data Breach, llevado a cabo por Ponemon Institute para IBM Security, dio a conocer los resultados sobre las implicaciones y efectos de la pérdida de datos para las empresas.
En el documento se reveló que este tipo de incidentes de seguridad empresarial generan un costo promedio de 3,62 millones de dólares a nivel mundial, que significa un 10% menos con relación al estudio del año pasado.
Una violación material de datos es aquella que involucra un mínimo de 1.000 registros perdidos o robados que contienen información personal sobre consumidores o clientes.
Estos incidentes de seguridad, en los que las organizaciones se han visto en situación de vulnerabilidad al ser secuestrada o robada información confidencial, han supuesto para las empresas un costo promedio de 141 dólares por registro robado.
'Se sacan los costos directos e indirectos que tienen las organizaciones cuando presentan una brecha de seguridad. Los directos se asocian a lo que les cuesta a ellos en materia de outsourcing (tercerización), adicionalmente los indirectos son las investigaciones que se deben hacer in house y la pérdida de clientes que se da con este tipo de inconvenientes', explica Juan Camilo Reyes, Security Services Leader SSA Región en IBM, en diálogo con EL HERALDO.
El estudio de este año incluyó 419 organizaciones en 11 países y dos muestras regionales: Estados Unidos, Reino Unido, Alemania, Australia, Francia, Brasil, Japón, Italia, India, Canadá, Sudáfrica, Oriente Medio y la Asociación de Naciones del Sudeste Asiático.
'Se sacan los casos que son extremadamente altos, aquellas ‘megabrechas’ no se incluyen como parte del promedio de este estudio', destaca Reyes.
IBM Security identificó también que en los países europeos el gasto total descendió un 26% en el último año.
Se presentaron tres causas principales de una violación de datos: ataque malicioso o criminal, fallo del sistema o error humano.
Los ataques por código malicioso y ataques cibercriminales son los más costosos, indica el análisis. El 47% de las brechas de seguridad son causadas por estos, y generan un costo de $156 dólares por registro.
Camilo Gutiérrez Amaya, jefe del Laboratorio de ESET Latinoamérica, manifiesta que hay diferentes impactos para las empresas cuando se presentan estos casos. 'Son cuatro frentes que se pueden ver afectados: el operativo, económico, legal y de reputación'.
Los primeros datos de las organizaciones que recogieron los especialistas en el estudio fueron: cuántos registros de clientes se perdieron en el incumplimiento (es decir, el tamaño del incumplimiento) y qué porcentaje de su base de datos de clientes se perdió tras la violación de datos, que tiene que ver con el factor reputación mencionado por Gutiérrez.
Datos médicos
Por séptimo año consecutivo, el sector de la salud encabeza la lista de industrias en las que este tipo de incidentes son más costosos.
'Los datos que almacena el sector salud son elementos con los cuales un atacante puede generar fácilmente un fraude', dice Reyes. En esta categoría pueden entrar los datos de una póliza de seguro y la forma de pago de la misma.
Los registros de salud, añade, tienen un muy buen valor en el mercado negro y en la deep web. 'Los delincuentes están buscando la mayor cantidad de información posible para generar un fraude, esto es un negocio y están generando formas de lucrarse a través de, por ejemplo, la extorsión'.
Perder datos médicos requiere que las organizaciones gasten 380 dólares por registro, lo que esquivale a 2,5 veces más que la media global de otros sectores (141 dólares por registro).
Protección de datos
La mayoría de los países de América Latina –incluyendo a Colombia– cuenta con regulaciones, como la Ley de Datos Personales, que obligan a las empresas a proteger la información de sus clientes. El no hacerlo los hace incurrir en problemas legales.
'El robo de datos es un problema muy grande que siempre resulta cuando uno habla con empresas. Muchas veces tienen una mentalidad de que no serán víctimas y que no se verán afectados porque son muy pequeñas. Cuando empiezan a pensar de esa manera lo único que hacen es facilitar que el atacante entre', asegura Gutiérrez, debido a que a los atacantes 'no les importa quién caiga sino quién puede darle el beneficio económico. Hay que ser conscientes de que los riesgos existen y hay que actuar en consecuencia de eso'.
Reyes, por su parte, señala que en Colombia 'se cuenta con leyes que hacen que las organizaciones tengan que cumplir con la protección de datos. En especial la Ley 1581 del 2012, que es la ley de protección de datos personales'.
Explica que esa ley le da a la Superintendencia de Industria y Comercio 'la potestad de multar a las organizaciones que pierdan datos personales de sus usuarios'.
Equipo de respuesta
Por tercer año consecutivo, el estudio demuestra que tener un 'equipo de respuesta a incidentes' reduce significativamente el coste de pérdida de datos.
El ahorro es de más de 19 dólares por registro robado o perdido. La rapidez en identificar y frenar un incidente se debe a los planes de acción, que permiten a las empresas controlarlos y mitigar pérdidas posteriores.
'El fondo de todo esto es que cada vez tenemos que estar preparados como organización para responder ante los posibles ataques de seguridad que se presentan', dice Reyes.
El costo de una pérdida de datos ha sido de casi 1 millón de dólares menos en las empresas que pudieron frenar el incidente en menos de 30 días, comparadas con aquellas que tardaron más tiempo.
Estar asesorados por organizaciones que pueden ayudar a la compañía a diseñar una estrategia para proteger los datos es una alternativa presentada por Reyes. Además de tener un equipo que responda ante los incidentes.
En mayo del próximo año se implementará la nueva regulación europea de protección de datos (GDPR, por sus siglas en inglés); con esta se busca que las empresas que hagan negocios en Europa informen de pérdidas de datos en 72 horas, de lo contrario se enfrentarán a multas de más del 4% de su facturación anual.
El cifrado y la formación son claves a la hora de disminuir los efectos de las pérdidas de datos.
Las acciones a tomar, en caso de ser víctimas de robo de datos, depende del tipo de ataque que reciba una organización. 'La primera recomendación es nunca pagar. Vimos en los más recientes ataques que las empresas que se aventuraron a pagar dinero no recuperaron los datos', explica Reyes.
Esos recientes ataques –WannaCry y el de Ucrania– fueron investigados por los especialistas debido a que tuvieron un impacto a escala global.
'Nuestros investigadores en IBM llegaron a la conclusión de que en este último ataque, que iba dirigido a Ucrania, no buscaron que la gente pagara sino que estaba intentando causar daño'. Los argumentos de Reyes y el equipo de IBM para determinar esto se basan en que la cuenta de correo electrónico a la que las compañías debían enviar los bitcoins para realizar el pago por sus datos no existía.
'En resumen, se trató de un ataque dirigido a Ucrania, pero que tuvo escala global porque algunas compañías tenían un vínculo o hacían negocios con ese país'.
Las organizaciones en Sudáfrica, India y Brasil, señala el estudio, tienen más probabilidades de experimentar la pérdida de datos significativos que involucran 10.000 registros o más en los próximos 24 meses. En el 41%, Sudáfrica tiene la mayor probabilidad de experimentar la violación de datos en los próximos dos años. Con un 14,5%, Canadá tiene la menor probabilidad de tener una brecha futura.
El mensaje de Gutiérrez a las empresas, sean grandes o pequeñas, es que se debe actuar ante estos riesgos basados en tres pilares: 'el tecnológico, que consiste en tener las condiciones de seguridad adecuada. Es importante también tener la gestión, que significa mantener actualizadas las aplicaciones y los programas. Y el tercero es la educación a los usuarios, ya que ellos deben conocer las amenazas, los riesgos y consecuencias para poder prevenir que los atacantes entren a las organizaciones'.