Coste de las violaciones de datos vs. Coste de una solución de seguridad

Una empresa no puede destinar todo su presupuesto de TI a una «postura de seguridad» fuerte, ya que la seguridad implica la integración de herramientas, políticas y personas, además de presupuestos. Es obvio que para proteger a su empresa tendrá que gastarse algo de dinero, pero ¿cuál es la cantidad adecuada? La respuesta varía en función de las necesidades de seguridad de cada organización. Realmente la mejor opción es evaluar el potencial impacto financiero de un incidente (el coste de una violación de datos) y sopesarlo con el coste asociado a la prevención del mismo. Averiguar esta cifra puede resultar un poco complejo, pero se puede lograr.

¿Cuál es la cantidad adecuada para gastar en soluciones de seguridad? Todo depende de las necesidades únicas de su organización.

Las cifras: el coste de una violación de datos

¿Cuánto cuesta una violación de datos? Un informe publicado en 2017 por el conocido y respetado Ponemon Institute sitúa el coste promedio de una violación de datos en 3,62 millones de dólares. Lo cierto es que esta cifra ha descendido un 10% con respecto al año pasado. El mismo informe expone que el robo o pérdida de datos le supone a una empresa un gasto de 141$.

No obstante, al comparar el estudio llevado a cabo por Ponemon con otros informes, uno se pregunta acerca de la validez de todas esas cifras. Existen muchas líneas de investigación que proponen una gran variedad de costes y gastos relacionados con la ciberseguridad, pero la diferencia entre las cifras proporcionadas por estos estudios se magnifica cuando se trata de los costes asociados a una violación de datos.

De acuerdo con los datos ofrecidos por Ponemon, si las llamadas Fortune 500 (empresas que representan dos tercios del producto interior bruto de EE. UU.) sufrieran una violación de datos, les costaría 1 800 millones de dólares anuales. Por el contrario, el CEO de la aseguradora Lloyd’s sostiene que realmente estos delitos informáticos pueden costar hasta 300 mil millones de dólares por año a las empresas de todo el mundo (unos 42 000 millones de dólares para las empresas de la lista Fortune 500). Otras opiniones son la del analista de mercado Juniper Research, que en 2019 elevó sus predicciones a 2 billones de dólares, y la del CEO de Microsoft, Satya Nadella, quien aseguró que en solo un año los delitos cibernéticos habían destruido 3 billones de dólares de valor de mercado.

Pero ¿cuál es el verdadero coste de las violaciones de datos? Lo más probable es que las cifras ofrecidas por ambas partes sean incorrectas, pero son las únicas que tenemos. Lo que sí que es cierto es que un problema cuyo coste varía entre 1 800 y 42 000 millones de dólares al año es claramente un problema cuyo coste real se desconoce.

Varias estadísticas establecen que el coste de una violación de datos cuesta entre 1 800 y 42 000 millones de dólares al año… una diferencia bastante grande.

Desglose del coste de una violación de datos

Para estimar el coste de una violación de datos no solo hay que contar con los costes directos relacionados con el remedio de la violación y el pago de daños a las partes afectadas, porque, aunque estos costes sean sustanciales, también hay que considerar el gasto que supone:

  • La pérdida de la reputación, con el consecuente impacto en la moral e ingresos de los empleados
  • El descuido de las actividades de negocio lucrativas habituales
  • La pérdida de clientes debido a un abuso de la confianza
  • El uso de los recursos del departamento de TI

Las cifras: el coste de las soluciones de seguridad

Este año, las empresas de Estados Unidos van camino de gastar cerca de 66 mil millones de dólares en ciberseguridad y, para 2019, Gartner prevé que el sector de la ciberseguridad global crezca un 7,8% anual. A nivel mundial, esto situaría el gasto en seguridad en menos del 5% con respecto al gasto en TI.

El gasto en seguridad como parte del gasto en TI varía según el sector. El 14% de las empresas gastan entre el 3% y 4% de su presupuesto de TI en seguridad. Otro 21% gasta de 5% a 6%, mientras que un 14% destina un 10% de su presupuesto de TI a la protección de su empresa.

¿Pero esto qué significa para una empresa grande? Dado que, de acuerdo con Deloitte, las empresas suelen gastar un 3,63% de sus ingresos en TI, una organización que gane mil millones de euros tendrá un presupuesto de TI de 36,2 millones y un gasto en seguridad de cerca de 1,8 millones (resulta un poco confuso que el porcentaje de los ingresos de TI sea el mismo que el coste de una violación de datos, pero tan solo se trata de una extraña coincidencia). Con esta proporción, una gran empresa que tenga unos ingresos de alrededor de 50 000 millones de dólares gastaría unos 90 millones anuales en seguridad.

Lo que las cifran no te cuentan

¿Cómo se puede explicar que un negocio que gasta 90 millones de dólares al año evite desembolsar 3,6 millones? Incluso si una empresa que factura 50 000 millones de dólares sufriera 10 violaciones de datos en un año, todavía parecería que ha gastado mucho en seguridad. En realidad, muchas de las empresas que figuran en la lista Fortune 500 podrían sufrir un incidente de 3,6 millones de dólares sin apenas notarlo, por lo que está claro que tiene que haber algo más. O bien el coste real de una violación de datos es mucho, pero que mucho, mayor que 3,6 millones de dólares, o bien las empresas no están siendo coherentes.

Cómo averiguar el coste concreto de una violación de datos

Suponiendo que las empresas de la lista Fortune 500 actúan con coherencia, ¿qué es lo que realmente está sucediendo aquí? Una de las posibles respuestas es que las cifras ofrecidas por Ponemon, aunque sean interesantes no son muy útiles para fijar el coste asociado al riesgo por una violación de datos. Uno de los planteamientos es la aplicación de la teoría de la decisión para estimar el coste de una violación de datos. A partir de este método se consigue extraer el valor potencial de un resultado empresarial en base a su probabilidad.

Incidente Probabilidad Coste (millones) Valor predictivo (millones)
Violación promedio 27% $3.6 $0.972
Violación grave 1% $1,000 $10

Ponemon establece la probabilidad de una violación promedio en el 27% anual. La teoría de la decisión afirma que una probabilidad del 27% de un incidente que cueste 3,6 millones de dólares tiene un valor predictivo de 972 000$. Por otro lado, una gran violación, la típica pesadilla que le ha ocurrido a empresas como Equifax, puede suponer un coste de mil millones de dólares. Si la probabilidad de que se produzca es del 1%, dicho incidente tiene un valor predictivo de 10 millones de dólares.

Tan solo son cifras aproximadas, pero nos dan una idea de por dónde puede situarse el coste que supone una violación de datos. La discrepancia entre los bajos costes que ofrece Ponemon y las estimaciones mucho mayores de otros informes, sea probablemente un reflejo de este tipo de cálculo basado en la probabilidad.

El coste de estar protegido

Volviendo a la primera pregunta, si tenemos en cuenta el coste de una violación, ¿cuál es la cantidad adecuada que se debe gastar en ciberseguridad? El modelo de la teoría de la decisión propone una manera de abordar esta cuestión: se puede gastar hasta el punto en el que se consiga mitigar el riesgo del valor previsto de la pérdida. Sin embargo, ¿le gustaría ser aquella empresa que permite que un ataque de millones de dólares atraviese su firewall?

Un presupuesto de seguridad razonable tiene que ser lo suficientemente alto para que su equipo de seguridad se sienta capaz de defenderse de las amenazas y violaciones más dañinas. Por desgracia, no existe una fórmula mágica, pero sí que queda clara una cosa: gastar de manera inteligente es la mejor opción. Casi siempre vale la pena invertir en la protección de las zonas adecuadas. Por ejemplo, el gasto que se destina a reclutar y mantener a los mejores profesionales en SecOps es una inversión en seguridad permanente.

La respuesta es complicada.
Las organizaciones deben tener un presupuesto de seguridad suficiente para que su equipo de SecOps pueda defenderse.

Otro aspecto del dilema sobre el presupuesto de seguridad es cuánto se debe destinar a la prevención y detección y cuanto a la respuesta. Algunos afirman que las violaciones son inevitables, por lo que es conveniente estar bien preparado para hacer frente a un incidente. Aunque esto sea cierto, lo mejor es evitar directamente la violación.

WALLIX propone una solución que ayude a la prevención de la violación a partir de una solución de Gestión de Acceso Privilegiado (PAM). Esto le permite a las empresas proteger sus cuentas privilegiadas, ya que los usuarios de estas cuentas pueden acceder a los back-ends administrativos, modificar la configuración del sistema e incluso observar datos confidenciales.

PAM representa una gran inversión en seguridad, una que equilibra el coste asociado a una violación y a su defensa.

PAM es una medida defensiva de seguridad fundamental, pero también permite que muchos otros controles funciones de manera efectiva. Por ejemplo, una política de gestión de parches, que es vital para la prevención de violaciones, funcionará mejor si los administradores saben quién ha ejecutado el parche, cuándo, cómo, etc. Por estos motivos, PAM representa una gran inversión en seguridad, una que equilibra el coste asociado a una violación con el coste de su defensa.

Para obtener más información sobre las soluciones PAM de WALLIX, póngase en contacto con nosotros.