Dicen que los números no mienten, pero pueden manipularse para decir una versión más bonita de la verdad. Al analizar el coste de una filtración de datos, la mayoría de las organizaciones quieren ver cifras bajas. La realidad es que el coste total de una filtración de datos es cuantificable y difícil de medir.
Ya sea analizando las cifras por registro robado o por el costo total promedio de una violación de datos, las cifras son elevadas según el Estudio sobre el costo de la violación de datos de: descripción general global publicado en junio por el Instituto Ponemon.
Aunque es menor que en, el costo total promedio de una violación de datos de las más de 400 empresas que participaron en el estudio es de 3,62 millones de dólares.
Kaspersky Lab amplió la red en su estudio sobre el coste de un ciberataque y descubrió que, de los 5.000 participantes, el impacto total de una infracción para una empresa norteamericana asciende a sólo 1,3 millones de dólares , aproximadamente un tercio de lo que informó el estudio de Ponemon.
Se trata de una gran brecha que, en apariencia, hace que las empresas norteamericanas se beneficien de la geografía, pero informaron que han sufrido la mayor cantidad de infracciones y la mayor pérdida de registros . En general, cada infracción no sólo es cada vez mayor sino también más costosa.
Juntando el precio
Comprender el panorama más amplio del costo general de una infracción implica más que números. Aquí hay algunas piezas adicionales a considerar al armar el rompecabezas más grande del costo total de una infracción:
- Una violación de datos resulta en una pérdida de confianza. La lealtad del cliente es el corazón de la mayoría de las organizaciones. Sin clientes realmente no hay negocio. Cuando se rompe la confianza del cliente, la empresa sufre una pérdida tanto en ganancias como en acciones . Es algo que podría ser difícil de cuantificar de inmediato, pero el impacto general puede ser bastante significativo.
- El tamaño sí importa . Cuando la mayoría de la gente piensa en la reciente filtración de Equifax, lo más alarmante es la gran cantidad de registros robados . Decir que hemos sido vulnerados es un resultado desafortunado de hacer negocios en el mundo digital actual. Tener que confesar que se robaron más de 143 millones de discos puede resultar difícil de recuperar.
- El tiempo es dinero . Cuando se detecta la mayoría de las infracciones, los actores maliciosos ya llevan algún tiempo en la red, entre 30 días y más de un año . Cuanto más tiempo puedan permanecer sin ser detectados, mayor será el daño.
- Más de un centavo por tus pensamientos . A nadie le gusta ser portador de malas noticias, pero después de una infracción, es necesario notificar a las víctimas. Muchas veces, los costos de responder a una infracción incluyen el precio del abogado, la aplicación de la ley, los servicios de protección de identidad para las víctimas y otras comunicaciones de servicio al cliente. A esto se suma la inversión en relaciones públicas necesaria para sostener el tribunal de la opinión pública .
- A lo que no se le puede poner precio . Ligada al costo total (o pérdida) después de una infracción está la realidad de que las personas perderán sus empleos. No hay un “coste” real en la renuncia de un empleado, pero sí hay gastos en los que incurre la empresa, como los 4 millones de dólares en beneficios de pensión que cobrará el ex director ejecutivo de Equifax.
- Por qué las cosas empiezan a cuadrar. El mayor costo para las empresas que han sido vulneradas resulta de tener que pagar más dinero al personal interno por el tiempo que llevará responder al ataque o contratar ayuda externa, como investigadores forenses.