El Instituto Ponemon y HP Enterprise Security, presentaron el Informe mundial 2014 sobre el costo del crimen cibernético. El estudio de este año se llevó a cabo en los Estados Unidos, el Reino Unido, Alemania, Australia, Japón, Francia y, por primera vez, la Federación Rusa, con una muestra comparativa total de 257 organizaciones.
Durante el período de la investigación tuvieron lugar megacrímenes cibernéticos. El más destacado fue la violación cibernética de Target que, según se informó, originó el robo de 40 millones de tarjetas de pago. Más recientemente, hackers chinos lanzaron un ciberataque contra el Consejo Nacional de Investigación de Canadá, así como también contra entidades comerciales en Pensilvania, que incluyeron a Westinghouse Electric Company, U.S. Steel y el sindicato de trabajadores metalúrgicos.
Asimismo hackers rusos robaron la colección más grande de credenciales de Internet de todos los tiempos. 1,2 mil millones de nombres de usuario y contraseñas, además de 500 millones de direcciones de correo electrónico. Si bien las empresas representadas en esta investigación no tuvieron ciberataques tan devastadores como estos, sí experimentaron incidentes que fueron costosos de resolver e interrumpieron sus operaciones.
A continuación se presentan los hallazgos más destacados las organizaciones que participaron en la investigación. En varios puntos del informe se comparan los hallazgos actuales con el promedio de los estudios comparativos del año pasado.
LOS CRÍMENES CIBERNÉTICOS CONTINÚAN AUMENTANDO PARA LAS ORGANIZACIONES
Determinamos que el costo anualizado medio para 257 organizaciones comparadas es de 7,6 millones de dólares por año, con un rango de entre 0,5 millones y 61 millones por empresa cada año. El costo medio del año pasado para 235 empresas comparadas fue de 7,2 millones. Observamos un cambio porcentual neto del 10,4 con respecto al año pasado (sin incluir la muestra rusa).
El costo del crimen cibernético varía según el tamaño de la organización. Los resultados revelan una relación positiva entre el tamaño de la organización (medida por puestos de trabajo) y el costo anualizado. Sin embargo, sobre la base de los puestos de trabajo, determinamos que las organizaciones pequeñas incurren en un costo per cápita considerablemente más alto que las organizaciones más grandes (1 601 dólares frente a 437 dólares).
Todos los sectores son víctimas del crimen cibernético, pero en diferentes medidas. El costo anualizado promedio del crimen cibernético parece variar por segmento del sector: las organizaciones de energía y servicios básicos y de servicios financieros experimentan costos de crímenes cibernéticos sustancialmente más altos que las organizaciones de medios de comunicación, ciencias biológicas y el sector salud.
Los crímenes cibernéticos más costosos son aquellos causados por personal interno malintencionado, denegación de servicios y ataques basados en la Web. Estos crímenes representan más del 55 por ciento de todos los costos de crímenes cibernéticos por organización en forma anual. La mitigación de dichos ataques requiere la adopción de tecnologías como SIEM, sistemas de prevención de intrusiones, soluciones de pruebas de seguridad de aplicaciones y soluciones GRC empresariales.
Los ataques cibernéticos pueden ser costosos si no se resuelven con rapidez. Los resultados muestran una relación positiva entre el tiempo para contener un ataque y el costo para la organización. Se debe tener presente que la resolución no implica necesariamente que el ataque se haya detenido por completo. Por ejemplo, algunos ataques permanecen silenciosos y no detectados (como los ataques típicos de hoy en día).
El tiempo promedio para contener un ciberataque fue de 31 días, con un costo promedio para las organizaciones participantes de 639.462 dólares durante este período de 31 días. Esto representa un aumento del 23 por ciento con respecto al costo promedio estimado del año pasado de 509.665 dólares, que se basó en un período de corrección de 27 días. Los resultados demuestran que los ataques de personal interno malintencionado pueden llevar más de 58 días en promedio para contenerse.
Las interrupciones para la empresa representan el costo externo más alto, seguido de los costos asociados con la pérdida de información. En forma anualizada, las interrupciones para la empresa representan el 38 por ciento de los costos externos totales, que incluyen costos asociados con fallas en los procesos de negocios y pérdida de productividad de los empleados.
La detección es la actividad interna más costosa seguida de la recuperación. En forma anualizada, los costos de detección y recuperación combinados representan el 53 por ciento del costo de la actividad total interna con desembolsos de caja y mano de obra directa que representan la mayor parte de estos costos. Las actividades relacionadas con la seguridad de TI en la capa de red reciben la asignación presupuestaria más alta. Por el contrario, la capa de host recibe el nivel de financiación más bajo.
La implementación de sistemas de inteligencia de seguridad marca la diferencia. El costo del crimen cibernético se ve moderado por el uso de sistemas de inteligencia de seguridad (que incluyen SIEM). Los hallazgos sugieren que las empresas que utilizan tecnologías de inteligencia de seguridad fueron más eficientes en la detección y contención de ciberataques. En consecuencia, estas empresas disfrutaron de un ahorro de costos promedio de 2,6 millones de dólares en comparación con empresas que no implementaron tecnologías de inteligencia de seguridad.
Una posición de seguridad sólida modera el costo de los ciberataques. Utilizamos la métrica patentada del Ponemon Institute, llamada índice Security Effectiveness Score (SES) para definir la capacidad de una organización para lograr objetivos de seguridad razonables. Cuanto mayor es el SES, más eficaz es la organización en el logro de sus objetivos de seguridad. El costo promedio para mitigar un ciberataque para las organizaciones con un SES alto es sustancialmente menor que las organizaciones con un puntaje SES bajo.
Las empresas que implementan sistemas de inteligencia de seguridad experimentaron un ROI sustancialmente más alto (23 por ciento) que todas las demás categorías de tecnología presentadas. También son significativos los resultados de ROI estimados para las empresas que implementaron ampliamente tecnologías de cifrado (20 por ciento) y controles de perímetro avanzados, como UTM, NGFW, IPS con información sobre reputación (19 por ciento).
La implementación de prácticas de administración de seguridad empresarial modera el costo del crimen cibernético. Los hallazgos demuestran que las empresas que invierten en recursos adecuados, designan a un líder de seguridad de alto nivel y emplean personal certificado o experto tienen costos de crímenes cibernéticos más bajos que las empresas que no han implementado estas prácticas. Este llamado «ahorro de costos» para las empresas que implementan buenas prácticas de administración de seguridad se estima en 1,3 millones de dólares para emplear personal experto y 1,1 millones para lograr la certificación con respecto a estándares líderes del sector.
Fuente: seguridadenamerica.com.mx