No hace mucho se ha publicado la edición del 2022 del Informe anual sobre el coste de una filtración de datos. Como todos los informes sobre esta materia, este aporta información muy interesante. En esta ocasión han sido entrevistadas 550 organizaciones que han sufrido un incidente de seguridad con brecha de datos.¿ Qué cuesta una brecha de ciberseguridad?

Según el mismo, el 83% de las empresas encuestadas han tenido más de una violación de datos y el 17% lo han sufrido por primera vez. El 60% de las organizaciones estudiadas declaró haber aumentado el precio de sus servicios o productos a causa de la filtración de datos.

Lo obvio, es ver en estos datos que los incidentes de seguridad son muy habituales y que cada vez más empresas experimentan el impacto de los Ciber-incidentes y que la seguridad cuesta, pero lo que no debemos pasar por alto es que NO disponer de seguridad tiene un coste mucho mayor para las empresas, para los datos que custodian (incluidos los de los clientes) y consecuentemente para la sociedad y los clientes.

Un ejemplo del ahorro que supone invertir en seguridad lo encontramos en aquellas empresas que se dotan de un equipo de respuesta a incidentes (IR) y  disponen de un plan de IR probado regularmente. Casi tres cuartas partes de las organizaciones que participaron en el estudio afirmaron tener un plan de IR, mientras que el 63% de esas organizaciones dijeron que probaban regularmente el plan. Contar con un equipo de IR y un plan de IR que se probara regularmente supuso un importante ahorro de costes. Las empresas con un equipo de IR que probaba su plan de IR vieron una media de 2,66 millones de dólares menos en costes de infracción que las organizaciones sin un equipo de IR y que no prueban un plan de IR.; la diferencia de 3,26 millones de dólares frente a los 5,92 millones de dólares lo que les representó un ahorro de costes del 58%.

El once por ciento de las filtraciones del estudio fueron ataques de ransomware, un aumento con respecto a 2021, cuando el 7,8 % de las filtraciones fueron de ransomware, para una tasa de crecimiento del 41 %. El coste medio de este tipo de ataques (sin incluir el coste del propio rescate) bajó ligeramente, pasando de 4,62 millones de dólares en 2021 a 4,54 millones en 2022. Este coste fue ligeramente superior al coste medio total de una violación de dato evaluado en 4,35 millones de dólares.

El 17% sufrió una brecha debido a que un socio comercial (socio, proveedor o cadena de suministro) se vio comprometido.

Que es difícil prevenir y más difícil aun recuperarse queda de manifiesto en que estadísticamente las organizaciones tardaron 304 días en identificar y contener la brecha.

El estudio arroja para determinados escenarios concretos, datos relevantes:

  • El coste medio de una violación de datos para las organizaciones de infraestructuras críticas estudiadas fue de 4,82 millones de dólares, un millón de dólares más que el coste medio de las organizaciones de otros sectores. El 28% experimentó un ataque destructivo o de ransomware.
  • Cuando el trabajo a distancia fue un factor causante de la brecha, los costes fueron una media de casi 1 millón de dólares más que en las brechas en las que el trabajo a distancia no fue un factor: 4,99 millones de dólares frente a 4,02 millones de dólares.

En resumen, los datos cuantifican una serie de hechos obvios pero que no por ello se debe dejar de reflexionar:

Los incidentes no son algo excepcional, las organizaciones sufren más de uno, el impacto en operadores de infraestructuras críticas es mayor que en otras empresas que no lo son, el teletrabajo es un factor de coste en los incidentes, el ransonware es uno de los principales tipos de incidentes, disponer de los procesos y recursos de respuesta minimizan el impacto y mejoran el tiempo de recuperación, entre otros.

Documento: Cost of a Data Breach Report 2022

Francisco Lázaro, CISO Renfe, Presidente del Grupo de Seguridad de AUTELSI.