Los ciberataques no han disminuido. Tampoco están haciéndose más baratos. Esto queda demostrado con el informe ‘Cost of a Data Breach‘, desarrollado por el Instituto Ponemon, el cual investigó a 550 organizaciones afectadas por las vulneraciones de datos, entre marzo de 2021 y marzo de 2022.
El estudio reportó que las afectaciones ocurrieron en 17 países o regiones, en donde fueron entrevistadas más de 3.600 personas que trabajan en organizaciones vulneradas. De esta importante muestra se llegó a una conclusión alarmante: el coste medio total de una vulneración de datos en 2022 es de 4.45 millones de dólares.
Al compararse con el coste de una vulneración de datos en 2021, que fue de 4.24 millones de dólares, es posible ver un aumento de 2.6%. En total contando a partir de 2020, el coste total ha aumentado en un 12.7% con respecto a los 3.86 millones de dólares de aquél año, informa el estudio
¿Cuántos han sido los afectados? ¿Qué repercusiones trae para el modelo de negocio?
De todas las organizaciones encuestadas, el 83% declaró que no ha vivido únicamente una vulneración de datos, sino que en más de una ocasión su seguridad informática ha sido afectada. El 17% indicó que únicamente han vivido una sola vulneración.
Estos datos no son preocupantes únicamente por la cantidad de organizaciones que están incluidas en las cifras, sino porque este tipo de vulneraciones obligan a realizar cambios en el modelo de negocio de cada compañía.
El estudio del Instituto Ponemon documenta que el 60% de las organizaciones encuestadas tuvo que aumentar el precio de sus servicios o productos como consecuencia de las vulneraciones
En organizaciones de infraestructura crítica, ¿cuál es el coste medio de una vulneración de datos?
El informe incluyó empresas de infraestructura crítica como servicios financieros, industriales, tecnología, energía, transporte, comunicación, sanidad, educación y sector público. Para estas empresas el coste medio de vulneración de datos fue de 4.82 millones de dólares. El Instituto Ponemon indica que esta cifra corresponde a un millón más que las organizaciones de otros sectores.
¿Qué tipo de ataques experimentaron las organizaciones encuestadas?
Con respecto al 7.8% de 2021, en 2022 el 11% de los ataques incluidos en el estudio fueron de ransomware, lo cual implica un aumento de 41%. En medio de estas cifras existe un aspecto positivo: en comparación con 2021, el coste promedio de un ataque de ransomware pasó de 4.62 millones de dólares a 4.54 en 2022. Sin embargo, pese a la pequeña disminución, este coste es de 4.35 millones, el cual está por encima de la media total de vulneración de datos.
¿Cuál es la causa más común de vulneración de datos?
Tanto en 2021, como en 2022, el vector más común de vulneración de datos fue el uso de credenciales robadas y en riesgo, con un 20% y 19% respectivamente. Estos ataques costaron 4.50 millones de dólares y, además, tuvieron un ciclo de vida de 243 días hasta identificarlos y otros 84 días para contenerlos, lo que atribuye a este tipo de ataques el ciclo de vida más largo.
Detrás de cada uno de estos ataques existe una repercusión innegablemente importante en términos económicos, como afectaciones al modelo de negocio, y también un asunto de crisis a nivel de confianza y reputación de la marca.
Por donde se le mire, es un asunto de envergadura mayor que solo puede ser afrontado con un esquema de seguridad de zero trust para prevenir accesos no autorizados a datos confidenciales, mediante políticas y cifrado, o por medio de una guía de incidentes que permitan aumentar la ciberresiliencia.
Sea cual sea la medida que escoja, listada aquí o no, siempre será mejor ir un paso adelante. Los ciberatacantes no descansan para encontrar las maneras de vulnerarlo, así que usted tampoco debería bajar la guardia.
Sobre el Instituto Ponemon
El Instituto Ponemon se dedica a la investigación y formación independiente para mejorar la información responsable y las prácticas de gestión de privacidad en empresas y gobiernos. El informe ‘Cost of a Data Breach‘ es patrocinado, analizado y publicado por IBM Security.