Ataques maliciosos, el arma favorita para robar datos: Cost of a Data Breach Report 2019

Cuando una empresa sufre una filtración de datos, el costo promedio de este incidente tiene un valor de 3.92 millones de dólares, según el reporte  Cost of a Data Breach Report 2019 desarrollado conjuntamente por IBM y el Ponemon Institute.

Un ataque roba, en promedio 25,575 registros, y cada registro tiene un costo aproximado de 150 dólares para las empresas.

El estudio reveló que entre el 2018 y el 2019, se incrementó 4.9% el lapso para contener una amenaza cibernética desde que se detecta la vulneración hasta que se controla el ataque. En el 2018, las vulneraciones de información se controlaban en 266 días —206 días para identificar la amenaza y 73 días para contener la vulneración—, mientras que en el 2019 este lapso subió a 279 días.

En Medio Oriente, las empresas se tardan un promedio de 279 días en detectar una amenaza y 102 días para atacarla. Le sigue Brasil, que tarda 250 días en detectar y 111 días en contener la vulneración. Alemania es el país con mayor tiempo de respuesta, donde las empresas se tardan 131 días en detectar las amenazas y 39 en contenerlas.

El sector salud (236 días), el sector público (231 días) y el sector de entretenimiento (224 días) son las tres industrias que más se tardan en detectar una vulneración. Del otro lado del mapa, la industria financiera es la que menos tiempo tarda en detectar una vulneración en sus sistemas, seguido por las industrias de investigación y tecnología.    

Los ciberataques cuyo ciclo de vida es menor a los 200 días, tienen un costo promedio de 3.34 millones de dólares, mientras que los ciberataques que duran más de 200 días cuestan 37% más (3.46 millones de dólares)

Los ataques maliciosos (51%), seguidos por fallas en el sistema (system glitch) (25%) y los errores humanos, son las tres principales causas de las vulneraciones de información en las empresas. El reporte de IBM y el Ponemon Institute muestra que el uso de ataques malicios para sustraer información de las empresas creció 21% desde el 2014, y pasó de 42% (2018) a 51% (2019), con lo que es la principal amenaza existente.

Además, este tipo de ataques tienen un costo mucho más elevado que los otros dos factores. De acuerdo con el estudio, el costo promedio de un ataque malicioso es de 4.45 millones de dólares, mientras que los errores humanos tienen un costo de 3.5 millones de dólares, y las fallas de los sistemas tienen un costo de 3.24 millones de dólares.

Los sectores de la salud, financiera, energía, industria, farmacéutico y tecnológico son las industrias más afectadas por las vulneraciones de información. El costo promedio de un ataque cibernético en la industria de la salud es de 6.45 millones de dólares, mientras que el costo para el sector financiero asciende a 5.86 millones de dólares, seguido por el sector energético con 5.60 millones de dólares.

El Cost of a Data Breach Report también reveló que 52% de las empresas tienen herramientas de seguridad automatizadas —12% en toda su infraestructura y 36% de manera parcial—, mientras que hay un 36% de empresas que planean instalar herramientas en el futuro y un 12% no tienen ningún plan de seguridad automatizada.

El reporte muestra que la probabilidad de que una empresa sufra un ataque cibernético en los próximos dos años subió a 29.6%, lo que significó un crecimiento de 31% en los últimos cinco años. 

El estudio realizado se basó con entrevistas a 500 compañías de 16 países del mundo (Estados Unidos, India, Reino Unido, Alemania, Brasil, Japón, Francia, Medio Oriente, Canadá, Italia, Corea del Sur, Australia Turquía, la región Asia Pacífico, Sudáfrica y Escandinavia) con representación de 17 industrias que sufrieron ciberataques.

antonio.becerril@eleconomista.mx