¿Cuánto cuesta una ruptura en la seguridad?

Ciudad de México.- En pleno siglo 21 vivimos en la Era del Conocimiento pero, en el fondo, somos hijos de la Era de la Información. Y es la información la base y el sustento de nuestros sistemas, no sólo tecnológicos sino económicos y sociales. La información que a diario generamos y consumimos nos define. Define a organizaciones completas y a sus clientes e incluso nos identifica y nos asocia. Yo soy mi nombre pero, para muchas organizaciones, soy mi código postal, mi número de seguridad social, mi escolaridad, mi historial crediticio o mis intereses recurrentes. El dato como unidad fundamental de la información además construye y define negocios. De aquí se desprende que no será difícil para usted saber o descubrir cuánto vale un dato en su organización. Una pregunta mucho más difícil de responder y sin duda igual de importante es ¿cuánto cuesta perder ese dato? Esta pregunta se encuentra al centro de cualquier incidente o estrategia de seguridad y del seguro caso de negocios que lo acompañe.

Cada área y miembro de su organización genera, almacena, consume y procesa más y más datos día con día. Para 2020 habrá más de 50 mil millones de objetos conectados digitalmente compartiendo y generando alrededor de 35 billones de gigabytes de información, la cual muchas veces se ve comprometida, como lo son los más de mil millones de registros de información personal que se perdieron en 2014 en muchas incidencias que han sido noticia mundial. No sorprende entonces que las amenazas de ciberseguridad tengan a las empresas buscando nuevas maneras de defender su información y, sobre todo, la información de sus clientes. La seguridad se ha vuelto una discusión ejecutiva y crucial para cualquier mesa directiva. Muestra de esto es el caso de JPMorgan Chase, que usted recordará fue víctima de una mega ruptura en la seguridad de datos en  2014, lo cual comprometió más de 76 millones de registros. Como resultado de esta incidencia, el mismísimo CEO de Chase, Jamie Dimon, informó a su mesa directiva que se haría una inversión de 250 millones de dólares acompañada de la contratación de más de mil recursos dedicados a la seguridad de la institución.

Es en este contexto que el Ponemon Institute, auspiciado por IBM, libera el 2015 Cost of Data Breach Study: Global Analysis, un estudio enfocado en dar una perspectiva más clara sobre los costos asociados a rupturas de seguridad de datos en las organizaciones. Realizado por primera vez en Estados Unidos hace 10 años, hoy en día el estudio abarca 11 países y ha analizado a más de 1,600 compañías recolectando datos sobre costos directos e indirectos de una incidencia. Para fines del estudio, se considera una ruptura en seguridad cuando datos sensibles, protegidos o confidenciales se pierden o son robados en volúmenes menores a los 100,000 registros. Si bien mega incidencias como la de JPMorgan Chase no son incluidas en el estudio por razones estadísticas, es una gran herramienta que nos permite extrapolar y tener un punto de partida para determinar el riesgo que un ciberataque representa. Con la participación de países como Brasil, Francia, Japón, India y Estados Unidos, además de 350 organizaciones de todas las industrias estudiadas, el reporte de 2015 arroja resultados sumamente interesantes.

La tendencia es a la alza en prácticamente cualquier sentido. El estudio establece que el costo promedio por registro robado para una organización es de 154 dólares, un incremento de 6% con respecto al año anterior, pero de 12% en los últimos dos años. En total, una ruptura en la seguridad de datos tiene un costo promedio de 3.79 millones de dólares. Es notable que este costo sea por incidencia y que no se ha aún determinado cuántas en promedio puede tener una organización en un año. Es igual de notable que el costo promedio representa un incremento del 7% con respecto al año anterior. En sumatoria, hay un crecimiento de 23% neto en el costo de una ruptura de seguridad de datos en los últimos 2 años.

Los componentes de este costo promedio y las razones de su incremento son interesantes de analizar. Unos 170 mil dólares lo representan costos asociados a la notificación de la incidencia, ya sea a particulares involucrados o a instituciones relacionadas y medios. Otros 990 mil dólares se relacionan con la detección y la proyección de los incidentes e incluso 1.07 millones de dólares se destinan a   actividades de “apagado de fuegos”. Lo interesante viene al descubrir que 1.57 millones de dólares en promedio están relacionados con pérdida de negocios. Esto es casi 42% del costo total de una ruptura y un incremento de 240 mil dólares millones sobre el año anterior.

La importancia de la pérdida de negocios la da su carácter impredecible y su huella a través del tiempo. Gran ejemplo de ello es el caso de una tienda departamental líder en México, empresa que en  2014 fue víctima de notables y numerosos “periodicazos” por eventos criminales sucedidos en sus instalaciones y sobre todo por una ruptura en la seguridad con pérdidas que algunas fuentes contabilizan en el rango de los 88 millones de pesos, sin sumar multas. Si bien esto es especulativo y las pérdidas patrimoniales son difíciles de cuantificar, el comercio, que está en proceso de recuperación, no tendrá manera de conocer los costos asociados a la pérdida de negocios por reputación, más que en retrospectiva. Y es que cuando se habla de rupturas en la seguridad el tiempo es clave. El IBM Reputational Risk and IT Study de 2013 nos dice que 29% de las organizaciones encuestadas reportó tardar entre 6 y 12 ó más meses en recuperar la reputación dañada por una pérdida en la seguridad de datos.

Sin embargo, hay una relación aún más directa entre el tiempo y los costos asociados a una incidencia, y el estudio del Ponemon Institute de IBM la describe. La mayoría de las rupturas o mega rupturas de seguridad que son titulares de periódico, como las de la tienda departamental, JPMorgan Chase, Target, Home Depot o Sony, son eventos que han sido descubiertos después de un cierto tiempo de haber sucedido. El estudio de Ponemon reporta una media de identificación de una ruptura de datos de 256 días, con una media de contención de la misma de 82 días cuando se trata de ataques maliciosos o criminales. Esto es casi un año al que hay que sumarle el tiempo de recuperación de la reputación dañada. El estudio hace una regresión sobre estos datos y el costo asociado, encontrando una relación directamente proporcional entre el tiempo de identificación y contención y el costo de una incidencia. Esta relación y sus efectos es clara evidencia de una necesidad a lo largo de las organizaciones de tener mayor visibilidad sobre su infraestructura.

Esto cobra mayor relevancia cuando sabemos que el 47% de las rupturas en la seguridad de datos son debido a ataques maliciosos o criminales. El costo asociado a este tipo de ataques es de 170 dólares por registro. Esto es, 16 dólares más que el promedio y hasta 28 dólares más que el costo por incidencias causadas por errores de sistema. Pero no hay que confundir ataques maliciosos o criminales con ataques externos. Según un estudio de IBM Security Services, el IBM 2015 Cyber Security Intelligence Index, un apabullante 55% de los ataques son perpetrados por gente que pertenece a la organización, ya sea directa o indirectamente. El caso de Target, cuya ruptura en seguridad comenzó por un proveedor de aire acondicionado con privilegios en su sitio web, es un buen ejemplo de este fenómeno y una vez más invita a cobrar una mayor visibilidad sobre la infraestructura y la actividad de sus usuarios.

Sin embargo, hay luz al final del túnel. Estudios como el de Ponemon nos ayudan a dar uno de los primeros pasos, identificar los riesgos y costos asociados a las rupturas en seguridad que nuestra organización puede sufrir. Estos costos incrementan naturalmente por la frecuencia de los ataques, la pérdida de negocio y reputación, y la investigación que debe hacerse cuando ocurren. Pero el estudio también ofrece números sobre elementos que puntualmente pueden disminuir los costos. Por ejemplo, tener la figura de un Director de Seguridad de la Información (CISO, por sus siglas en inglés) en la organización disminuye 5.6 dólares por registro el costo de una incidencia. Así, el que las mesas ejecutivas y directivas se involucren y den seguimiento a las rupturas, reduce su costo en 5.5 dólares por registro y hay una disminución hasta de 12.60 dólares por registro si se tiene un plan y equipo de respuesta de incidentes. Estas reducciones, que además son acumulativas, parten de acciones muy específicas que se alinean con imperativos que, cada vez más, se evalúan a nivel ejecutivo. Y es que las incidencias de seguridad son un reto de negocio y no sólo un reto tecnológico. Con nuevas amenazas y requerimientos regulatorios a la orden del día las organizaciones deben estar preparadas.

IBM contempla cuatro imperativos básicos de seguridad para las organizaciones: Optimizar los programas de seguridad, detener amenazas avanzadas, proteger los activos críticos y asegurar la nube y los móviles. En un contexto donde existe un 22% de probabilidad de que cualquier organización tenga una ruptura en la seguridad de datos de más de 10,000 registros en los próximos dos años, es crítico establecer una estrategia integrada de seguridad que permita tener visibilidad sobre la infraestructura, los flujos de red, actividad de usuarios y, en general, foco sobre lo que es importante para usted. Al final, se trata no sólo de lo que cuesta, sino también de lo que vale su información.

Para ver el reporte completo de Ponemon Institute auspiciado por IBM visite este sitio. Para conocer más sobre éste y otros estudios siga nuestro blog o síganos en Twitter @ibmsecurity.

Jbf