Costo promedio de una violación de datos: US$3.86 millones

La última edición del estudio anual de costo de violación de datos de IBM muestra que la complejidad del sistema de seguridad y las pruebas de respuesta a incidentes son dos factores que tienen el mayor impacto en el costo total de una violación.

El estudio de IBM de 2020, realizado por el Instituto Ponemon, se basa en datos recopilados de ejecutivos de 524 organizaciones de todo el mundo que experimentaron una violación de datos entre agosto de 2019 y abril de 2020. A los fines del estudio, Ponemon solo consideró las violaciones de datos que involucraron 3,400 y 99,730 registros comprometidos.

Para calcular cuánto podría haber terminado un incumplimiento que le costó a una empresa, la investigación consideró los costos asociados con cuatro actividades relacionadas con el proceso: los costos involucrados en la detección de un incumplimiento, incluidas las actividades de investigación y análisis forense, evaluación y auditoría; costos de notificación; pérdida de negocios por el tiempo de inactividad y la interrupción del sistema y; honorarios legales y costos relacionados con actividades como proporcionar servicios de mesa de ayuda, monitoreo de crédito y protección de identidad para las víctimas.

El análisis mostró que globalmente, una violación de datos le cuesta a las compañías US$ 3.86 millones por incidente durante el período de nueve meses del estudio. El costo promedio de incumplimiento en los EE. UU., como de costumbre, fue más del doble, a US$ 8.64 millones en promedio. Las organizaciones de atención médica a nivel mundial una vez más desembolsaron más en promedio por una violación de datos (US$ 7.13 millones) que las organizaciones de cualquier otro sector.

A pesar de que los costos relacionados con el incumplimiento aumentaron para muchas organizaciones, el promedio global de US$3.86 millones en sí fue marginalmente más bajo que los US$3.92 millones reportados el año pasado. Eso fue porque había más organizaciones en el estudio de 2020 con prácticas de seguridad maduras y, por lo tanto, costos de incumplimiento sustancialmente más bajos, en comparación con 2019.

El estudio de IBM / Ponemon mostró que los costos totales de violación de datos para las organizaciones que informaron tener un entorno de sistema de seguridad complejo fueron de casi US$ 292,000 mayor en promedio que las compañías que no tenían el mismo problema. Otros factores que amplificaron sustancialmente el costo promedio de una violación incluyeron la migración a la nube (US$ 267,469), la escasez de habilidades de seguridad (US$257,429) y fallas de cumplimiento ($ 255,626).

Al mismo tiempo, el estudio destacó varios otros factores que pueden ayudar a mitigar los costos de incumplimiento para las organizaciones. Por ejemplo, las organizaciones que probaron regularmente sus planes de respuesta a incidentes terminaron gastando unos US$295,000 menos que el promedio global en costos relacionados con incumplimientos, mientras que aquellas con un plan de continuidad comercial gastaron aproximadamente US$279,000 menos. Otros factores de mitigación de costos incluyeron las pruebas del equipo rojo (US$243,185), la respuesta habilitada para IA (US$259,354) y la capacitación de los empleados (US$238,019).

Charles DeBeck, analista estratégico de ciberamenazas del equipo de respuesta a incidentes X-Force IRIS de IBM, dice que un punto de datos notable del informe es la diferencia en los costos de incumplimiento entre aquellas organizaciones que han automatizado sus capacidades de respuesta a amenazas y aquellas que no.

División de costos crecientes

«La conclusión principal que veo es esta creciente división de costos», dice DeBeck. «Las empresas que invierten en tecnologías avanzadas y practican la preparación de su respuesta a incidentes experimentan costos significativamente más bajos, mientras que aquellas que no se prepararon ven que sus costos aumentan año tras año».

De hecho, el costo promedio de incumplimiento para una organización con un equipo de IR que realizó pruebas periódicas, incluidos ejercicios de mesa, fue de US$3.29 millones, mientras que los que tampoco gastaron US$5.29 millones.

El estudio de IBM / Ponemon mostró que el vector de ataque, el tipo de datos comprometidos y el tiempo que le tomó a una organización detectar una violación, todos tenían una relación sustancial con el costo final de la violación.

Por ejemplo, el costo promedio de incumplimiento fue casi US$1 millón más alto en incidentes relacionados con el uso de credenciales robadas o comprometidas para acceder a la red de una organización. Una razón podría ser que las credenciales brindan a los atacantes una forma de permanecer sin ser detectados por un período de tiempo más largo, dice DeBeck. «Como resultado, el compromiso puede ser más extenso, lo que afectaría los costos».