Las filtraciones de datos son más costosas y tienen mayor impacto que nunca. El coste medio global de una brecha de datos ha alcanzado un máximo histórico de 4,35 millones de dólares para las organizaciones encuestadas, según el informe anual ‘Cost of a Data Breach’ realizado por el Instituto Ponemon y publicado por IBM Security. El informe está basado en un análisis en profundidad de las brechas de datos reales experimentadas por 550 organizaciones a nivel mundial entre marzo de 2021 y marzo de 2022.
Con un aumento de los costes de las brechas de casi un 13% en los dos últimos años, los resultados sugieren que estos incidentes también pueden estar contribuyendo al aumento de los costes de los bienes y servicios. De hecho, el 60% de las organizaciones encuestadas aumentaron los precios de sus productos o servicios debido a la filtración, en un momento en el que el coste de los bienes ya se está disparando en todo el mundo debido a la inflación y a los problemas de la cadena de suministro.
La perpetuidad de los ciberataques también está arrojando luz sobre el ‘efecto perseguidor’ que las filtraciones de datos están teniendo en las empresas, ya que el 83% de las organizaciones estudiadas han experimentado más de una brecha de datos en su vida. Otro factor que aumenta con el paso del tiempo son los efectos posteriores de las filtraciones en estas organizaciones, que persisten mucho tiempo después de que se produzcan: casi el 50% de los costes de las brechas se producen más de un año después de la misma.
Las infraestructuras críticas se quedan atrás en Zero Trust. Casi el 80% de las organizaciones de infraestructuras críticas estudiadas no adoptan estrategias Zero Trust, lo que hace que el coste medio de las brechas aumente hasta los 5,4 millones de dólares, un incremento de 1,17 millones de dólares en comparación con las que sí lo hacen. De estas brechas, el 28% de las mismas fueron ataques de ransomware o destructivos.
No es rentable pagar. Las víctimas de ransomware del estudio que optaron por pagar el rescate solo vieron una disminución de 610.000 dólares los costes medios de la brecha en comparación con los que decidieron no pagar, sin incluir el coste del rescate.
Inmadurez de seguridad en las nubes. El 43% de las organizaciones estudiadas están en las primeras etapas o no han empezado a aplicar prácticas de seguridad en sus entornos de nube, observando más de 660.000 dólares de media en costes de brechas que las organizaciones con seguridad madura en sus entornos de nube.
La inteligencia artificial y la automatización de la seguridad son claves en el ahorro de costes multimillonarios. Las organizaciones que desplegaron completamente IA de seguridad y automatización incurrieron en una media de 3,05 millones de dólares menos en costes de brechas en comparación con las organizaciones analizadas que no han desplegado la tecnología.
Índice de temas
Exceso de confianza con las infraestructuras críticas
La preocupación por los ataques a las infraestructuras críticas parece haber aumentado en todo el mundo durante el último año y, las agencias de ciberseguridad de muchos gobiernos han instado a incrementar la vigilancia contra los ataques disruptivos. De hecho, el ransomware y los ataques destructivos representaron el 28% de las brechas en las organizaciones de infraestructuras críticas, lo que pone de manifiesto cómo los actores de las amenazas buscan fracturar las cadenas de suministro globales que dependen de estas organizaciones.
A pesar de la llamada a la cautela y, un año después de que la Administración Biden emitiera una orden ejecutiva sobre ciberseguridad centrada en la importancia de adoptar un enfoque de Zero Trust para reforzar la ciberseguridad de la nación, solo el 21% de las organizaciones de infraestructuras críticas adoptaron un modelo de seguridad Zero Trust. Además, el 17% de las infracciones en las organizaciones de infraestructuras críticas se debieron a que un socio comercial se vio inicialmente comprometido.
Solo el 21% de las organizaciones de infraestructuras críticas adoptaron un modelo de seguridad Zero Trust
Las empresas que pagan el rescate no consiguen una ganga
las empresas que pagaron rescates tuvieron 610.000 dólares menos en los costes medios de las brechas respecto a las que optaron por no pagar, sin incluir el importe del rescate pagado. Sin embargo, cuando se tiene en cuenta el pago medio de un rescate, que según Sophos alcanzó los 812.000 dólares en 2021, las empresas que optan por pagar el rescate podrían incurrir en unos costes totales más elevados además de ser responsables de financiar futuros ataques de ransomware a otras empresas con un capital que podría destinarse a financiar nuevos esfuerzos de remediación y recuperación.
Por otra parte, la duración de los ataques de ransomware muestran un descenso del 94% en los últimos tres años: de más de dos meses a poco menos de cuatro días. Estos ciclos de vida de los ataques, cada vez más cortos, pueden dar lugar a ataques de mayor impacto, ya que los encargados de responder a los incidentes de ciberseguridad tienen muy pocas oportunidades para detectar y contener los ataques. Sin embargo, el 37% de las organizaciones que tienen planes de respuesta a incidentes no los prueban regularmente.
La ventaja de la nube híbrida
Los entornos de nube híbrida son la infraestructura más frecuente (45%) entre las organizaciones. Con una media de 3,8 millones de dólares en costes de la filtración, las empresas que adoptaron un modelo de nube híbrida observaron menores costes de la misma en comparación con las empresas con un modelo de nube exclusivamente pública o privada, que experimentaron una media de 5,02 millones de dólares y 4,24 millones de dólares, respectivamente. De hecho, las empresas que adoptaron la nube híbrida fueron capaces de identificar y contener las violaciones de datos 15 días más rápido de media que la media global de 277 días.
El 45% de las brechas estudiadas se produjeron en la nube, lo que pone de relieve la importancia de la seguridad en la nube. Sin embargo, un significativo 43% de las organizaciones afirmaron que solo están en las primeras etapas o no han comenzado a implementar prácticas de seguridad para proteger sus entornos de nube, observando mayores costos de violación. Las empresas que no aplicaron prácticas de seguridad en sus entornos en la nube necesitaron una media de 108 días más para identificar y contener una brecha de datos que las que aplicaron sistemáticamente prácticas de seguridad en todos sus dominios.
Más conclusiones
El phishing se convierte en la causa más costosa de las brechas. Mientras que las credenciales comprometidas siguieron siendo la causa más común de una brecha (19%), el phishing fue la segunda (16%) y la causa más costosa, con 4,91 millones de dólares de coste promedio.
Los costes de las brechas del sector sanitario alcanzan cifras de dos dígitos por primera vez en la historia. Por duodécimo año consecutivo, los participantes del sector sanitario fueron los que sufrieron las brechas más costosas de todos los sectores, ya que el coste medio aumentó en casi un millón de dólares hasta alcanzar la cifra récord de 10,1 millones de dólares.
Insuficiente personal de seguridad. El 62% de las organizaciones admitió no tener suficiente personal para las necesidades que tienen relacionadas con la seguridad, lo que se traduce en una media de 550.000 dólares más en costes de brechas comparados con los que sí lo tienen.