Datos
personales de clientes estuvieron expuestos en el 80% de las
violaciones analizadas; La inteligencia artificial y la automatización
ayudaron a reducir significativamente los costos
Violación de datos cuesta un promedio de US$ 1.68 millones para las empresas Latinoamericanas
CAMBRIDGE, Mass., 29 de Julho, 2020 – IBM
Security anunció los resultados de un estudio global que examina el
impacto financiero de las violaciones de datos, revelando que una
violación cuesta a las empresas un promedio de US$ 3.8 millones a nivel
mundial, y las cuentas de empleados comprometidas fueron la causa más
costosa. Basado en un análisis exhaustivo de la violación de datos
sufrida por más de 500 organizaciones en todo el mundo, el 80% de los
incidentes estudiados resultaron en la exposición de información
personal identificable del cliente (PII). Entre todos los tipos de datos
expuestos en estas violaciones, la información personal del cliente
también fue la más cara para las empresas.
A
medida que las empresas acceden cada vez más a datos confidenciales a
través del trabajo remoto y las operaciones de negocios en la nube, el
informe revela las pérdidas financieras que las organizaciones pueden
sufrir si esos datos se ven comprometidos. Otro estudio de IBM encontró
que más de la mitad de los empleados que comenzaron a trabajar desde
casa debido a la pandemia no recibieron nuevas orientaciones sobre cómo
manejar la información personal del cliente.
Patrocinado por IBM Security y realizado por el Instituto Ponemon, el Cost of Data Breach Report (Informe de costos de violación de datos 2020)
se basa en entrevistas con más de 3.200 profesionales de seguridad en
organizaciones que sufrieron una violación de datos durante el año
pasado. Algunos de los hallazgos clave del informe incluyen:
· La tecnología inteligente reduce los costos de violación a la mitad: las
empresas que han implementado tecnologías de automatización de
seguridad (que utilizan inteligencia artificial, análisis de datos y
orquestación automatizada para identificar y responder a eventos de
seguridad) tenían menos de la mitad de los costos de violación de datos,
en comparación a los que no tenían estas herramientas implementadas:
US$ 2.45 millones frente a US$ 6.03 millones en promedio.
· Pago por credenciales comprometidas:
en incidentes donde los atacantes acceden a la red corporativa mediante
el uso de credenciales comprometidas o robadas, las compañías han visto
que el costo de las violaciones de datos es casi US$ 1 millón más alto
en comparación con el promedio global, llegando a US$ 4.77 millones por
violación de datos. La explotación de la vulnerabilidad de terceros fue
la segunda fuente más costosa de violaciones maliciosas (US$ 4.5
millones) para este grupo.
· El costo de las mega violaciones aumenta en millones: las
violaciones en las que se comprometieron más de 50 millones de
registros vieron que los costos aumentaron de US$ 388
millones a US$ 392 millones. Las violaciones en las que se expusieron entre 40 y 50
millones de registros costaron a las compañías un promedio de US$ 364
millones, un aumento de US$ 19 millones en comparación con el informe de
2019.
· Ataques de estado-nación (nation-state) - La violación más dañina:
las violaciones de datos que pueden haberse originado de ataques de
estado-nación fueron las más caras examinadas en el informe. Conocidos
como "ataques patrocinados por el estado", estos ataques promediaron US$
4,43 millones en costos de violación de datos, superando en número a
los cibercriminales y piratas informáticos motivados financieramente.
"Cuando
se trata de la capacidad de mitigar el impacto de una violación de
datos, estamos comenzando a ver una clara ventaja para las empresas que
han invertido en tecnologías automatizadas", dijo Wendi Whitmore,
vicepresidente de IBM X-Force Threat Intelligence. “En un momento en que
las empresas están expandiendo su presencia digital a un ritmo rápido, y
la falta de talento en la industria de la seguridad persiste, los
equipos pueden verse abrumados al proteger más dispositivos, sistemas y
datos. La automatización de la ciberseguridad puede ayudar a resolver
esta carga, lo que permite una respuesta más rápida a las infracciones y
un ahorro de costos significativamente mayor".
Credenciales de empleados y nubes configuradas incorrectamente: El punto de entrada preferido de los atacantes
Las
credenciales robadas o comprometidas y las nubes configuradas
incorrectamente fueron las causas más comunes de violaciones maliciosas
para las empresas que participaron en el estudio, lo que representa
aproximadamente el 40% de los incidentes. Con más de 8.500 millones de registros expuestos
en 2019, y los atacantes utilizando correos electrónicos y contraseñas
expuestos anteriormente en uno de cada cinco violaciones estudiadas, las
empresas deberían reconsiderar su estrategia de seguridad al adoptar el
enfoque de ‘confianza cero’, reexaminado a medida que autentifican a
los usuarios y cómo se otorga la extensión del acceso a los usuarios.
Del
mismo modo, las empresas luchan con la complejidad de la seguridad, el
principal factor de costo de las infracciones, está probablemente
contribuyendo a que las configuraciones incorrectas de la nube se
conviertan en un desafío de seguridad cada vez mayor. El informe de 2020
reveló que los atacantes usaron configuraciones de nube incorrectas
para violar redes el 20% del tiempo, aumentando el costo de las
violaciones de más de medio millón de dólares a US$ 4.41 millones en
promedio, convirtiéndolo en el tercer vector de infección inicial más caro examinado en el informe.
Las tecnologías de seguridad avanzadas ayudan a las empresas
El
informe destaca la creciente brecha en el costo de las infracciones
entre las empresas que han implementado tecnologías de seguridad
avanzadas y las que están atrasadas, revelando una diferencia de ahorro
de US$ 3.58 millones para las empresas con automatización de seguridad
totalmente implementada en comparación con aquellas que aún no lo han
implementado. La brecha de costos ha crecido en US$ 2 millones, desde una diferencia de US$ 1.55 millones en 2018.
Las
empresas que participaron en el estudio que habían implementado
completamente la automatización de seguridad también informaron un
tiempo de respuesta significativamente menor a las infracciones, otro
factor clave que se muestra que reduce los costos de las infracciones en
el análisis. El informe encontró que la inteligencia artificial,
machine learning, análisis de datos y otras formas de automatización de
seguridad han permitido a las empresas responder a las infracciones
hasta un 27% más rápido que a las empresas que aún no han implementado
la automatización de seguridad.
La
preparación ante incidentes también continúa influyendo fuertemente en
las consecuencias financieras de una violación. De acuerdo con el
reporte, las empresas que no tienen un equipo asignado o planes de
respuesta a incidentes de prueba sufren un costo de US$ 5.29 millones en
promedio en violaciones, mientras que las empresas que tienen equipos
dedicados realizan pruebas y simulaciones sufren menos de US$ 2 millones
en costos de violaciones. Esto reafirma que la preparación y la
preparación generan un ROI significativo en ciberseguridad.
Algunos elementos adicionales en el informe de ese año incluyen:
• Los riesgos del trabajo remoto tienen un precio:
con los modelos de trabajo híbridos que crean entornos menos
controlados, el informe encontró que el 70% de las empresas que
adoptaron el teletrabajo en medio de la pandemia esperan que los costos
de las violaciones de datos aumenten.
• CISOs, culpados por las fallas, a pesar del limitado poder de decisión:
el 46% de los encuestados dijo que su CISO / CSO es responsabilizado de
las infracciones, aunque solo el 27% afirma que la toma de decisiones
sobre políticas de seguridad y tecnología es del CISO / CSO. El informe
concluyó que el nombramiento de un CISO se asoció con un ahorro de US$
145,000 versus el costo promedio por incumplimiento.
Tendencias regionales
• El
estudio analizó el costo de las violaciones de datos en diferentes
industrias y regiones, descubriendo que las infracciones de datos en los
Estados Unidos son mucho más costosas, con un costo promedio de US$
8.64 millones.
• En
América Latina, empresas de México, Argentina, Chile y Colombia vieron
un costo promedio de las violaciones de datos de US$ 1,68 millones (40
millones y 250 mil pesos Mexicanos). El estudio también observó que el
número de días para identificar la violación de datos en esos países es
de 241 (34 días por encima del promedio global) y para contener la
violación es de 87 (14 días por encima del promedio global).
• A
nivel mundial, la industria de salud continúa experimentando los costos
de incumplimiento promedio más altos, con US$ 7.13 millones, un aumento
de más del 10% en comparación con el estudio de 2019.
Sobre el estudio
El
Informe anual de costos de violación de datos se basa en análisis en
profundidad de las violaciones de datos reales, que tuvieron lugar entre
agosto de 2019 y abril de 2020, teniendo en cuenta cientos de factores,
incluidas las actividades legales, reglamentarias y técnicas para la
pérdida del valor de marca, consumidores y productividad de los
empleados.
Para descargar una copia del Informe de costos de violación de datos 2020, visite: https://www.ibm.com/security/data-breach
Sobre IBM Security:
IBM
Security ofrece una de las carteras integradas más avanzadas de
productos y servicios de seguridad corporativa. La cartera, respaldada
por la investigación de IBM X-Force® de renombre mundial, permite a las
organizaciones gestionar eficazmente los riesgos y defenderse de
posibles amenazas. IBM opera una de las organizaciones de investigación,
desarrollo y entrega de seguridad más amplias del mundo, supervisa 70
mil millones de eventos de seguridad por día en más de 130 países, y ha
recibido más de 10,000 patentes de seguridad en todo el mundo. Para
obtener más información, visite www.ibm.com/security, siga @IBMSecurity en Twitter o visite el blog de IBM Security Intelligence.
No hay comentarios:
Publicar un comentario