El reciente estudio publicado por IBM Security y Ponemon Institute titulado The annual Cost of a Data Breach Report, en el que anualmente analizan los factores y el impacto, tanto reputacional como financiero, de una brecha de seguridad de datos en las organizaciones, desprende las siguientes conclusiones:
- Estima que el coste medio de una brecha de seguridad en 2019 es de 3,92 millones de dólares, lo que supone un incremento del 12 por ciento con respecto al coste medio del año 2012.
- En 279 días se sitúa el tiempo promedio que trascurre desde que una organización logra identificar y contener un data breach.
- Las empresas con menos de 500 empleados sufrieron pérdidas de más de 2,5 millones de dólares de media, una cantidad bastante importante para las pequeñas y medianas empresas, que en general poseen ingresos de menos de 50 millones de dólares anuales.
- Más del 50 por ciento de las infracciones recogidas en el estudio se debieron a ciberataques maliciosos.
- Aquellas organizaciones que tenían implementadas tecnologías de seguridad sufrieron la mitad de pérdidas (2,65 millones de dólares) con respecto aquellas en las que no existían dichas medidas.
- Una adecuada y pronta respuesta ante incidentes reduce hasta en un 25 por ciento (1,23 millones de dólares) los costes futuros de una brecha de seguridad.
Es decir, cuanto mayor sea la anticipación en la detección y contención de un incidente de seguridad, menor coste económico supondrá a la organización afectada.
Pérdidas devastadoras
Las brechas de seguridad de datos pueden causar pérdidas reputacionales y financieras devastadoras para una organización. Algunas de las múltiples consecuencias de largo alcance son la pérdida de mercados, las multas regulatorias o los costes de remediación, así como los derivados por el tiempo de inactividad del sistema, si hubiese.
En 2017, Equifax (una de las tres grandes agencias de crédito mundial) sufrió una de las violaciones de seguridad más importante en la historia de EEUU. La información personal de aproximadamente 145 millones de consumidores se vio comprometida. Nombres completos, números de la Seguridad Social, direcciones físicas, licencias de conducción y más de 209.000 credenciales de tarjetas de crédito fueron expuestas. Se estima que el alcance de dichos datos en blackmarkets de la Dark Web supera los 3.000 millones de dólares. Recientemente, Equifax y la FTC (Federal Trade Commission, Comisión Federal del Comercio de los EEUU) han alcanzado un acuerdo por el cual la agencia de crédito tendrá que hacer frente al pago de hasta un máximo de 700 millones de dólares. Cada consumidor afectado puede reclamar una indemnización de hasta 20.000 dólares.
Protección de datos
Si nos centramos en nuestro país, el artículo 33 del Reglamento General de Protección de Datos establece la obligación, por parte del responsable del tratamiento de los datos, de notificar a la autoridad de control competente (en nuestro caso la Agencia Española de Protección de Datos, AEPD) cualquier brecha de seguridad, sin dilaciones indebidas y, en todo caso, en un plazo máximo de 72 horas. Tras el primer año de aplicación de dicho reglamento, con datos de mayo de 2018 a diciembre de 2019, la AEPD recibió –tal como recoge en su Memoria Anual de 2018– un total de 547 notificaciones de brechas de seguridad. Si actualizamos a datos de año completo (mayo de 2018 a mayo de 2019), fueron 966 notificaciones. Un 72 por ciento de ellas comprometieron la confidencialidad de los datos personales y un 36 por ciento afectaron a la disponibilidad. Un 53 por ciento tuvo como origen un contexto externo o intencionado, y, de ellas, un 44 por ciento fueron consecuencia de ciberincidentes (hacking, malware o phishing). El último informe de notificaciones de brechas de seguridad, de julio de 2019, deja la cifra mensual en 83 notificaciones en dicho mes (por debajo de las 92 de junio o las 84 de mayo).
El incumplimiento de la obligación de notificar las violaciones de seguridad se considera como infracción grave y puede ser sancionada con multas administrativas de hasta un máximo de 10 millones de euros o, tratándose de una empresa, de una cuantía equivalente al 2 por ciento, como máximo, del volumen de negocio total anual del ejercicio financiero anterior, eligiendo la de mayor cuantía.
Anticiparse a los incidentes
Si dejamos a un lado los costes o multas regulatorias que suponen dichos incidentes y nos centramos en aquellas violaciones de seguridad más destacadas a nivel mundial en 2019, el panorama no es demasiado alentador, y no se espera que lo sea en un futuro cercano. Podemos destacar (por alcance y datos comprometidos) las que aparecen en el cuadro que acompaña este artículo.
Como vemos, en la actual era de las TIC y la transformación digital, se hace más que necesario anticiparse lo antes posible a situaciones en las que nuestros activos se expongan públicamente. Contar con un servicio de prevención, detección y respuesta ante amenazas-y-vulnerabilidades externas puede jugar un papel fundamental en el devenir futuro de nuestra organización. Proporcionando, a su vez, una ventaja competitiva, a través de la anticipación y neutralización de las amenazas-y-vulnerabilidades, además de incrementar la reputación y confianza de clientes.
Por ello, desde Ingenia hemos apostado por incorporar en nuestra cartera de servicios una solución integral, desde el enfoque de la ciberinteligencia, que permite tomar el control y la gestión de los activos de una organización, haciendo frente a los riesgos digital y amenazas-y-vulnerabilidades externas. Cubrimos todo el ciclo de vida completo de la ciberamenaza, aplicando ciberinteligencia en cada una de las fases, lo que permite llevar a cabo la protección de un negocio, marca o reputación frente a riesgos operativos, emergentes y/o competitivos.
Publicaciones negativas, ofensivas o fraudulentas, que pueden menoscabar la reputación y confianza de clientes y usuarios; boicots, protestas, manifestaciones o cualquier evento o movimiento social que suponga un riesgo físico o reputacional; filtraciones de información, defacement u otras acciones con fines hacktivistas; suplantaciones o usos indebidos de marca; ocupaciones de dominios, phishing, spearphishing, scams, malware; Apps en markets no oficiales; avisos y boletines de seguridad; carding, filtraciones de credenciales, datos personales o documentos confidenciales corporativos en fuentes abiertas, redes sociales, Deep o Dark Web, son algunos ejemplos de la solución que damos en Ingenia.
