De acuerdo a un estudio global que realiza el equipo de seguridad de IBM, y el Instituto Ponemon, se descubrió que el costo promedio producido por un data breach aumentó en 6,4% respecto del año pasado, generando, cada una, un costo de $3.86 millones de dólares. Este estudio refleja el resultado de una serie de […]
De acuerdo a un estudio global que realiza el equipo de seguridad de IBM, y el Instituto Ponemon, se descubrió que el costo promedio producido por un data breach aumentó en 6,4% respecto del año pasado, generando, cada una, un costo de $3.86 millones de dólares.
Este estudio refleja el resultado de una serie de entrevistas realizadas a más de 2.200 profesionales del área de informática, protección de datos y roles de seguridad de 477 empresas que han sufrido una violación de datos en los últimos 12 meses.
De acuerdo a la información recopilada, los Data Breach siguen siendo más costosos, y provocan que un sin fin de registros de consumidores/clientes se pierdan, o sean robados, año tras año. Además, el tamaño de los Data breach también ha incrementado. Ahora hablamos de filtraciones de miles de datos.
Otro de los puntos que toca el estudio, es la probabilidad de que una empresa vuelva a sufrir una (o más) violación de datos en los próximos dos años.
Se usaron dos factores para determinar la probabilidad de una violación de datos futura: 1) El tamaño de la violación de datos reportada en la investigación de este año 2) dónde se encuentra ubicada la empresa.
•La probabilidad global promedio de una violación importante en los próximos 24 meses es del 27.9%, un aumento con respecto al 27.7% del año pasado.
• Sudáfrica tiene la mayor probabilidad de experimentar una brecha de datos con un 43%
• Alemania tiene la probabilidad más baja de tener una violación de datos en el futuro en 14,3%
¿Qué tan rápido puede una empresa identificar y contener un Data Breach?
• El tiempo medio para identificar (MTTI, en inglés) es de 197 días.
• El tiempo medio para contener (MTTC, en inglés) fue de 69 días.
• Las empresas que contuvieron una violación en menos de 30 días ahorraron más de $1 millón de dólares frente a las que tardaron más de 30 días en resolverse.
Este año, el estudio contempló dos nuevos factores de costos: La automatización de la seguridad, y el mayor uso de dispositivos IoT. También se estudió por primera vez el costó de una violación de datos que involucre más de un millón de registros, es decir, una Mega Breach.
• El costo promedio de una violación para las organizaciones que implementan completamente la automatización de seguridad es de $2.88 millones de dólares.
• Sin automatización, el costo estimado es de $ 4.43 millones, una diferencia de costo neto de $1.55 millones de dólares.
• Una mega breach, de un millón de registros, produce un costo total promedio de $40 millones de dólares.
• Una mega breach, de 50 millones de registros, produce un costo total promedio de $350 millones de dólares.
1) La pérdida inesperada de clientes después del suceso.
2) El tamaño de la violación, o el número de registros perdidos o robados.
3) El tiempo que lleva identificar y contener un Data Breach.
4) Gestión efectiva de los costos de detección.
5) Gestión eficaz de los costes posterior a la violación de datos.
El 48% de todas las violaciones implicadas en el estudio de este año fueron causadas por ataques maliciosos o cibercriminales. El costo promedio -por registro robado- para resolver dicho ataque fue de 157 de dólares. Por el contrario, las fallas técnicas del sistema cuestan 131 dólares por registro perdido, y el error o negligencia humana es de 128 dólares por registro perdido.
Ahora, en costos las cifras varían dependiendo del país. Las empresas Estadounidenses y Canadienses atacadas gastaron más dinero para resolver un ataque malicioso (258 y 213 dólares por registro, respectivamente) que Brasil e India, quienes gastaron mucho menos (73 y 76 dólares por registro, respectivamente).
Al momento de desarrollar o programar algún software, ya sea una aplicación web, escritorio, mobile, etc es importante considerar una serie de buenas prácticas de desarrollo seguro, con el fin de prevenir cualquier tipo de explotación en el caso que nuestro software tenga alguna vulnerabilidad.
Como mencionamos anteriormente, publicaremos semanalmente información relacionada con el TOP 10 OWASP, con el fin de promover y difundir los conceptos de desarrollo seguro. En esta primera publicación, se revisará el primer punto de listado: A1 Inyección.