¿Cuánto cuesta sufrir una brecha de datos?
BitSight analiza una serie de factores que las empresas deben tener en cuenta cuando se trata de calcular el coste real de un futuro ciberataque.
Un reciente estudio de IBM encontró que el coste medio de una brecha de datos ha sido de 4 millones de dólares en 2016 y de 3.8 millones de dólares en 2015. Hay innumerables factores que podrían afectar el costo de una vulnerabilidad así en su organización ya que es virtualmente imposible predecir una cantidad exacta. BitSight analiza una serie de factores que las empresas deben tener en cuenta cuando se trata de calcular el costo real de un futuro ciberataque.
Ubicación, tipo de moneda y tamaño de la empresa
Incluso cosas simples como los tipos de cambio de la divisa que un negocio utiliza predominantemente pueden afectar el costo de una violación de la seguridad de la información. Si se trata de una pequeña tienda que se ocupa de datos limitados (o no) de los clientes, el coste de esta intrusión puede ser significativamente menor de lo que una empresa más grande puede experimentar.
Industria y tipo de datos o registros mantenidos
El tipo de datos perdidos en un ataque es uno de los mayores factores que influyen en el precio a pagar. Si pierde direcciones de correo electrónico, probablemente no va a ser tan grande como si perdiera información personalmente identificable (PII), datos confidenciales de clientes (como números de Seguro Social), información de tarjeta de pago, información de salud privada (PHI, por sus siglas en inglés), entre otros. Cuanto más sensible es el registro, más costosa será la brecha.
La causa principal de la violación
La causa de una violación puede ciertamente influir en el número o tipo de registros perdidos, que se correlaciona con el coste a pagar. Por ejemplo, si el incumplimiento es causado por un tercero. En un estudio reciente, el Instituto Ponemon encontró que "las violaciones de las organizaciones de terceros seguían siendo las más costosas".
Costes operativos
Si se experimenta un ciberataque, esto podría ralentizar, interrumpir o detener completamente las operaciones. Por ejemplo, para un negocio minorista, podría significar una pérdida en las ventas. En un negocio de servicios, podría significar la pérdida de la capacidad de proporcionar soporte al cliente.
Violación de las consecuencias
Si una empresa sufre una violación de datos como resultado de unas prácticas de seguridad deficientes, puede querer duplicar sus inversiones en seguridad, lo que tendrá un coste importante. Existen hardwares o softwares que pueden requerir reemplazos o actualizaciones de seguridad después del incumplimiento. Incluso algunas organizaciones pueden darse cuenta de que no cuentan con personal de seguridad y necesitan contratar a un nuevo profesional de TI, CIO o CISO.
Costes de investigación
Si se necesita traer a un tercero para investigar su robo de datos -incluso el FBI- estos servicios le costarán hasta seis o siete cifras más dependiendo del tamaño del ataque.
Revelación pública
Si la gente ya no está dispuesta a utilizar sus servicios o comprar su producto después de una gran pérdida de datos, su línea de fondo, el precio de las acciones y la reputación de la empresa podrían estar en juego.
Demanda colectiva
Si se experimenta una demanda colectiva como resultado de la pérdida de los datos, el coste será claramente aumentado.
Ventas o fusiones
El costo aquí podría ser simplemente el valor de la propia empresa si usted está en el proceso de un acuerdo de M&A. Por ejemplo, después de la masiva violación de Yahoo, el valor de la compañía está ahora en flujo. Verizon sigue evaluando la valoración de Yahoo y quiere determinar si va a seguir adelante con el acuerdo.
