26 January, 2010

Asciende a casi $7 mdd costo por brechas de seguridad

Por

El robo o fuga de información se mantiene como uno de los principales dolores de cabeza para las organizaciones, pues en promedio cada dato perdido les cuesta más de $200 dólares.

Las fugas de información y las brechas en la seguridad de las compañías se mantienen como uno de los eventos más costosos y riesgosos para la operación y permanencia de las organizaciones en todo el mundo, de acuerdo a un estudio liberado por el Instituto Ponemon.

El reporte titulado “El costo de las brechas o fuga de datos”, analizó más de 45 compañías basadas en Estados Unidos que  sufrieron la pérdida o robo de información de entre 5,000 y más de 100,000 registros en 15 industrias o sectores diferentes.

“La fuga de datos en las empresas sigue siendo uno de los eventos más costosos para las organizaciones, toda vez que el costo promedio para resolver  este tipo de brechas creció de $6.65 millones de dólares a más de $6.75 millones de dólares para 2009”, cita el reporte del Ponemon Institute.

De hecho, el reporte explica que de las brechas analizadas la más costosa rebasó los $31 millones de dólares para resolverse, mientras que la menos costosa no bajo de los $750,000 dólares, es decir casi $10 millones de pesos mexicanos.

En otras palabras, durante 2009 por cada archivo perdido o robado, las compañías deben pagar un promedio de $214 dólares, contra los $202 dólares que tenían que desembolsar en 2008.

El análisis cita que, del total de brechas o fugas de datos 42% corresponde a fallas o fallas en los sistemas de terceros o socios de negocios, 36% involucran la pérdida de una computadora portátil o teléfono inteligente y 24% son derivados de ataques cibernéticos y códigos maliciosos.

Sin embargo, en este último punto las fugas o robo de datos causados por cibercriminales y ataques maliciosos le cuestan a las empresas entre 30 y 40% más, que los generados por negligencia humana, es decir $215 dólares por malware contra los $156 dólares que las organizaciones deben pagar por cada archivo cuando sus empleados pierden datos accidental o intencionalmente.

El Instituto Ponemon también señala en el estudio que el promedio de archivos perdidos también se incrementó durante 2009, pues en 82% de los casos las empresas reconocieron haber perdido más de 1,000 archivos con datos personales de sus clientes, empleados o proveedores.

Gastar en procesos no en soluciones mágicas

Si bien, se cree que las plataformas tecnológicas deben ser el primero paso para resolver la fuga o robo de información 67% de los encuestados mencionó que a las compañas de concientización como la herramienta más efectiva para reducir las brechas de seguridad.

Educación seguida de mejoras en los procesos de control y acceso (58%), aumento en el uso de tecnología de encripción (57%), soluciones de identificación  y administración de acceso (49%) y tecnología de DLP (42%), de acuerdo a los datos publicados.

Pensar antes de informar

Contrario a lo que se podría pensar sobre la velocidad o tiempo que las empresas deben tomar antes de notificar a sus clientes y usuarios sobre la pérdida o robo de sus datos, el reporte del Instituto Ponemon, afirma que es más barato tomarse su tiempo antes de avisar sobre la brecha de seguridad.

“Moverse muy rápido en la notificación de una brecha de seguridad puede aumentar los costos en el proceso, sobre todo ante la omisión de proceso forense durante una etapa temprana de detección”, cita el análisis.

Así, las empresas que analizan y notifican con más detenimiento sus brechas de seguridad pueden ahorrarse hasta 12% del costo promedio por registro perdido, es decir, $196 dólares contra $219 dólares.

CISO más un puesto más

El reporte del Ponemon Institute también afirma el peso que tiene para la organización la figura del CISO al momento de sufrir una brecha de seguridad o robo de información.

“En algunos casos las empresas que afirmaron contar con responsable de seguridad como CISO o cargo similar, pueden disminuir las brechas en su infraestructura hasta en 50%, contra las que únicamente manejan al CIO como responsable de toda el área de IT”, cita el estudio.

Así, las empresas que contaban con un CISO alcanzaron un promedio de costo por archivo perdido de $157 dólares, contra los $236 dólares en promedio que pagaron quienes solamente contaban con un gerente o directos de sistemas.

Esto, según el estudio, se debe a que los CISO manejan un estrategia únicamente enfocada en torno a la seguridad de la compañía, lo que les permite responder a los incidentes mucho más rápido.