coste real de no invertir en seguridad

Cuál es el coste real de no invertir en seguridad

Compartir

Acompáñanos a lo largo de este breve artículo donde intentaremos descubrir cuál es el coste real de no invertir en seguridad.

Cada año aparecen infinidad de informes que nos cuentan lo complicado que está el panorama de la seguridad, y cada año podemos ver como el panorama empeora. Este año IBM ha lanzado el “Informe sobre el coste de una vulneración de datos de 2023” donde entre otras cosas nos dice que “El coste medio de una vulneración de datos alcanzó un máximo histórico de 4,45 millones de USD en 2023. Esto representa un aumento del 2,3 % respecto al coste de 2022, de 4,35 millones de USD. Desde una perspectiva a largo plazo, el coste medio ha aumentado un 15,3 % desde los 3,86 millones de USD del informe de 2020”, lo cual marca, tal como decíamos, una clara tendencia al alza y unas cuantías salvajemente altas.

Esto ha hecho que, según este mismo informe, el 51% de las organizaciones planee aumentar las inversiones en seguridad como consecuencia de la situación de inseguridad global a la que nos encontramos sometidos.

Este informe, como tantos otros, está repleto de datos que nos dicen que la cosa está realmente complicada y no augura que vayamos a mejor. Todo esto está muy bien, pero aquí solemos hablar de macrodatos, de megaempresas y acaba siendo poco interesante de cara a las pequeñas empresas.

Así que dejémonos de datos y hablemos de cuál es el coste real de no invertir en seguridad. O sea, hablemos de puntos en los que nos afecta no haber vigilado nuestra seguridad en todos los niveles que deberíamos permanecer vigilantes.

En Jotelulu hemos revisado distintos informes, documentos y webs para intentar definir cuáles son los dominios en los que nos afecta esta desidia que asola la mayoría de las empresas y hemos logrado identificar varios puntos:

  • Brechas de seguridad y datos.
  • Costes legales.
  • Pérdida reputacional.
  • Pérdida de ingresos.
  • Costes de recuperación.

A continuación, vamos a analizar cada uno de estos problemas de manera más o menos profunda.

 

Brechas de seguridad y datos:

Aquí podríamos separar las brechas de seguridad de las violaciones de datos, porque no siempre está vinculadas unas a otras, ya que hay brechas de seguridad de distinta índole y con afectaciones muy distintas, pero lo vamos a unificar por no extendernos más de los necesario.

Tenemos las brechas de seguridad, que exponen la información confidencial a los malhechores, que o bien la exponen al público en general o la usan para cualquier tipo de uso fraudulento como por ejemplo su venta a distintos actores cuyo interés en su obtención puede ser tan diverso como obtener información de patentes, diseños, etc., o simplemente usar los datos de los clientes.

Dentro de esta categoría tenemos formas de ataque tan distintas como pueden ser las exfiltraciones de datos, los secuestros de datos como podrían ser los ransomware, etc. Las medidas de protección a su vez son muy distintas, porque frente a una exfiltración se tiene por ejemplo el DLP (Data Loss Prevention) pero frente a un ransomware lo más efectivo es tener una buena gestión de las copias de seguridad.

Sea como fuese, se debe tener claro que en caso de producirse una violación de datos se deben seguir tres pasos sencillos pero tremendamente importantes:

  • Investigar la violación de datos y su alcance.
  • Notificar a la autoridad competente el tipo y alcance de la violación.
  • Notificar a los clientes que pudieran estar afectados.

NOTA: Se debe notificar ante la AEPD en un plazo máximo de 72 horas desde que se tenga constancia de la vulneración de los datos que constituyan un riesgo para los derechos y las libertades de las personas.

 

Costes legales:

Hoy en día, la legislación europea y por extensión la española son unas de las legislaciones más estrictas sobre protección de datos (GRPD) con sanciones realmente duras, tan duras que pueden llegar a hacer quebrar a una empresa. Cuando se produce una falla en la seguridad de la empresa y se produce una exfiltración de datos se debe informar inmediatamente a la agencia de protección de datos y a los usuarios afectados. Esto puede desembocar en una sanción económica además de una posible perdida de confianza de los clientes que afecte a la perdida de contratos con los mismos. Eso sin contar en que la empresa necesitará disponer de expertos en seguridad, en gestión legal, etc. Todo esto hace que se produzca un encarecimiento de los costes de la empresa.

 

Perdida reputacional:

Tener una fuga de información es realmente malo a todos los efectos, pero a nivel reputacional puede ser demoledor, sobre todo si dicha brecha de seguridad no es informada por nosotros sino que se muestra en un medio público, lo muestran los atacantes, etc. Esto puede hacer que la empresa sea percibida como poco segura o fiable y puede hacer que los clientes huyan hacia otras empresas más seguras.

Cuando se produce una brecha, como en casi todo momento en la vida, es necesario que se gestione correctamente la información que se publica. Por ello, antes de nada, antes de que vengan los problemas, es necesario que el departamento de informática, el de seguridad, la dirección, marketing, etc., se reúnan para tratar qué mensajes se darán, quien los publicará, etc.

NOTA: Mi experiencia, tras llevar más de 20 años en informática, es que lo mejor es tener una estrategia de comunicación preparada y dejar que se encarguen de las comunicaciones los profesionales, o sea, el departamento de marketing, mientras que los de sistemas y seguridad se encargan de investigar que ha pasado, mitigar daños y recuperar la operativa normal.

 

Pérdida de ingresos:

La parada de la operación normal de una organización derivada de una gran afectación por un ataque o falla de seguridad relevante puede suponer que, durante ese periodo de tiempo, o bien no se pueda facturar porque la producción se detiene o bien no se pueda intentar captar nuevos clientes mientras estás sufriendo un ataque que pone en entredicho la diligencia de tus procedimientos y efectivos.

Por otro lado, la pérdida reputacional, tal como se ha expuesto previamente, suele desembocar en la perdida de confianza por parte de los clientes de la organización, pudiendo desencadenar la perdida de clientes que buscan asegurar sus datos en una organización de confianza. Si esto se produce, se puede dar una perdida de ingresos sustancial que puede afectar notablemente a la resiliencia de la empresa, llegando a poner en peligro la supervivencia de esta.

 

Costes de recuperación:

La recuperación de la normalidad no es tan sencilla como cabe esperar. Esta depende de dos factores: por un lado el nivel de seguridad en el que nos encontrábamos antes de la brecha de seguridad y por supuesto el alcance de la brecha, y será proporcional a ambas. Si por ejemplo se trata de una brecha con no mucho alcance pero en cambio no había ningún trabajo hecho en la parte de seguridad, nos podemos encontrar con un drama que a cualquier otra organización apenas le afectará.

¿Cómo podría ser esto? Pues bien, pensemos en una organización que no tiene copias de seguridad o que estas no están correctamente implementadas y probadas. En ese caso, una afectación normal a un solo servicio podría tardar días en recuperarse, porque claro, al no haber copias de seguridad, seguramente habría que reinstalar y configurar todo a mano, y con suerte se podrían recuperar datos desde notas manuscritas o similares, pero en caso de no existir estas, podríamos encontrarnos en una situación en la que fuera imposible volver a una normalidad más o menos bien traída.

Tras lo dicho, creo que huelga decir que debemos estar más o menos preparados en la medida de lo posible para que, cuando llegue el susto, que sin duda llegará antes o después, al menos podamos salir más o menos airosos de la situación.

 

Conclusiones:

Tal como hemos visto a lo largo de este breve artículo sobre cuál es el coste real de no invertir en seguridad, existen varios puntos donde vamos a ver el impacto que nos está generando el no haber invertido en seguridad de la información. Los puntos de impacto que marcamos en Jotelulu son: Brechas de seguridad de datos, Pérdida de ingresos, Costes legales, Pérdida reputacional, Costes de recuperación.

Como ya hemos dicho, se debe intentar mejorar la seguridad dentro de nuestras posibilidades y poco a poco, pero imbuir un proceso de mejora continua en la seguridad puede hacer que mejoremos nuestra posición de seguridad y nuestra resiliencia exponencialmente en poco tiempo.

Si tienes interés en leer el informe completo puedes acceder al mismo a través de Coste de la vulneración de datos 2023 | IBM.

¡Gracias por leernos!

Categorías:Recursos Sysadmin

Otros posts que te pueden interesar

29 de mayo de 2024
Quédate con nosotros a lo largo de este viaje donde trataremos cuáles son las 10 principales preocupaciones al montar
20 de mayo de 2024
Si alguna vez te has preguntado cuáles son los pasos para gestionar un incidente de seguridad de la información
13 de mayo de 2024
Acompáñanos a lo largo de este breve artículo donde intentaremos descubrir cuál es el coste real de no invertir

Rellena el formulario y nuestro equipo de Sales contactará contigo lo antes posible.

growth@jotelulu.com  |  +34 911 333 712  |  jotelulu.com 

Puedes darte de baja de estas comunicaciones en cualquier momento.  Consulta nuestra Política de privacidad.