Costo promedio de una violación de datos: $ 116 millones


La sensibilidad de la información del cliente y el tiempo de detección determinan el retroceso financiero de las infracciones de ciberseguridad.

Los autores de la «Tendencias en divulgaciones de incumplimiento de ciberseguridad«El informe de Audit Analytics revisó 639 violaciones de ciberseguridad en compañías públicas desde 2011 y descubrió que, en promedio, cada violación cibernética cuesta $ 116 millones.

El informe encontró que en 2019, los ciberdelincuentes generalmente apuntaban a nombres, direcciones y direcciones de correo electrónico de clientes (48%, 29% y 28%, respectivamente). En 2018, los nombres y la información de la tarjeta de crédito fueron los tipos de información más buscados. Entre 2011 y 2019, el malware (34%) fue el método comúnmente utilizado para obtener datos, seguido de la suplantación de identidad (25%), el acceso no autorizado (20%) y la configuración incorrecta (12% por ciento). Sin embargo, casi la mitad (43%) de las empresas que sufrieron una violación de datos mantuvieron el tipo de ataque para sí mismas.

Los ataques multivectoriales basados ​​en la web son comunes
En 2018, British Airways se convirtió en la víctima de la violación de datos más extensa desde la introducción del Reglamento Typical de Protección de Datos de la UE. En ese incidente, los delincuentes robaron nombres de clientes, direcciones, direcciones de correo electrónico e información detallada de tarjetas de crédito. El firewall de aplicaciones world wide web, que inspecciona y filtra el tráfico en los sitios world-wide-web, podría haber evitado esto porque está diseñado para detectar y detener el robo de datos y la inyección de SQL, así como las secuencias de comandos entre sitios, que a menudo se utilizan para comprometer los sitios internet. Aparentemente, la aerolínea carecía de esta medida de firewall o no la configuró correctamente.

Los ataques distribuidos de denegación de servicio (DDoS), que causan una racha abrupta de tráfico de Net a servidores internet o de aplicaciones, pueden paralizar la infraestructura en línea de una empresa. También son relativamente fáciles de lanzar. Como resultado, a menudo se usan para encubrir un ataque más amplio y más serio. En 2015, por ejemplo, los sitios website de Carphone Warehouse, incluidos OneStopPhoneShop.com, e2help you save.com y Mobiles.co.uk, fueron golpeados por un Ataque DDoS eso desvió la atención de sus expertos de TI de un sofisticado pirateo de la base de datos de clientes de la compañía y un robo de 2.4 millones de registros de clientes. La información de la tarjeta de crédito de aproximadamente 90,000 clientes fue robada, aunque, y afortunadamente para Carphone Warehouse, los datos estaban encriptados.

Réplicas del mercado de valores
Las empresas que se exponen a infracciones a menudo pagan multas por permitir que ocurran los ataques. Además de estos, según el informe de Audit Analytics, los costos de remediación y los valores más bajos del mercado de valores son los otros dos impactos financieros más importantes de una violación.

El component de costo primario para una violación es el valor de la información robada. No es sorprendente que la información financiera comprometida sea vista como la más dañina. Pero Audit Analytics señaló que, entre 2016 y 2019, los números de Seguro Social (SSN) también se convirtieron en objetivos de incumplimiento populares, ya que los robos de SSN aumentaron en más del 500% durante ese período. Desde 2011, de las infracciones de las empresas que cotizan en bolsa que cuestan más de $ 50 millones para remediar, siete información financiera comprometida y tres SSN comprometidos. Algunos de los ataques más grandes se dirigieron a Focus on en 2013 ($ 292 millones), House Depot en 2014 ($ 298 millones), Equifax en 2017 ($ 1.7 mil millones) y Marriott en 2018 ($ 114 millones).

Es importante tener en cuenta que los casos más grandes, como los $ 5 mil millones que Fb ha gastado en sus incumplimientos o los casi $ 2 mil millones gastados por Equifax, sesgan el costo promedio de la violación de datos. Tenga en cuenta que si bien el informe de Audit Analytics fijó los costos de remediación de Equifax en $ 1.7 mil millones, la compañía informó más gastos de remediación en el primer trimestre de 2020.

El tiempo de detección más lento aumenta los costos
El segundo aspect determinante en el costo de una violación de datos es el tiempo que lleva revelar la violación. Según Audit Analytics, pasaron un promedio de 108 días antes de que las compañías descubrieran una violación y 49 días más, en promedio, antes de que lo informaran. La brecha mediana entre el descubrimiento de una violación y la notificación a las autoridades fue de 30 días.

Para las empresas, el período de descubrimiento a revelación no es trivial. Un artículo académico Citando una investigación de Audit Analytics, se encontró que el valor de las acciones disminuyó aproximadamente un ,33% en las empresas que inmediatamente revelaron una violación de datos, pero en un ,72% en aquellas que retrasaron la divulgación en un mes. La disminución fue mucho mayor cuando las compañías no revelaron el ataque y las partes externas a la empresa lo descubrieron más tarde. En estos casos, las acciones de la compañía cayeron 1.47% en los tres días posteriores a la revelación del ataque y 3.56% en el mes posterior.

El peor caso de retraso involucra a Yahoo, que sabía que los piratas informáticos rusos habían penetrado en su sistema en 2013, pero solo informaron de la violación en el momento de la adquisición de la empresa por Verizon en 2016. El ataque afectó a más de 3 mil millones de cuentas. La Comisión de Bolsa y Valores finalmente multó a Yahoo con $ 35 millones por el retraso de 1.649 días en informar la violación. Otro caso involucra una violación de datos en Option Motels Intercontinental, que comenzó en junio de 2015 pero no se informó hasta 2019. Los datos del portal de reservas en línea de la cadena se compartieron con terceros más de 88,000 veces debido a un mistake de codificación.

Los ataques complejos requieren mejores controles internos
Para ser justos, algunas empresas contratan investigadores externos para investigar sus infracciones de datos, lo que puede ocasionar demoras en los informes a las autoridades. Sin embargo, los retrasos son problemáticos. «Las infracciones cibernéticas que no se descubren rápidamente son preocupantes tanto para los reguladores como para los inversores», señala su informe, refiriéndose a una SEC informe de investigación sobre los efectos del fraude cibernético en los controles internos de las empresas públicas. La SEC no recomendó la aplicación en los nueve casos destacados en su documento de 2018, pero recomendó que las empresas revisen sus controles internos en relación con las amenazas cibernéticas.

«Las infracciones de datos que no se descubren rápidamente generan señales de alerta sobre los controles internos de una empresa, lo que sugiere que los controles pueden no haber sido lo suficientemente suficientes como para detectar los problemas de manera oportuna», concluye el informe de Audit Analytics.

Dependiendo de la naturaleza de la información que se pierde, las infracciones repetidas pueden generar costos futuros adicionales, incluidas las demandas presentadas por los consumidores y proveedores cuyos datos financieros se vieron comprometidos o los empleados de la empresa cuyos datos personales se vieron afectados. La diligencia por parte de TI es important, especialmente porque la investigación y la experiencia muestran que los malos siempre vuelven: Audit Analytics informó que el 26% de las empresas afectadas por las violaciones de datos, incluidos Fb, Sony, Amazon, Comcast y T-Cell Usa, fueron víctimas. repetidamente.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para ese «día realmente malo» en ciberseguridad. Haga clic para más información y para registrarse para este evento bajo demanda.

Marc Wilczek es columnista y líder de pensamiento reconocido, orientado a ayudar a las organizaciones a impulsar su agenda digital y lograr mayores niveles de innovación y productividad a través de la tecnología. En los últimos 20 años, ha desempeñado varios roles de liderazgo sénior en … Ver biografía completa

Lectura recomendada:

Más tips





Enlace a la noticia unique