Existe una relación entre la manera en la que se revela una brecha de seguridad y las pérdidas financieras ocasionadas a las empresas por estas incidencias. Según un nuevo informe de Kaspersky titulado, “Cómo las empresas pueden minimizar el costo de una fuga de datos personales”, las PyMES que voluntariamente deciden informar a sus inversionistas y al público sobre una brecha de seguridad pierden en promedio un 40% menos que las empresas que además del incidente, tienen que padecer que éste se haga público por una filtración a los medios. La tendencia es similar para las grandes empresas.
El hecho de no informar adecuadamente al público sobre una brecha de seguridad de datos en el momento oportuno puede hacer que las consecuencias financieras y de reputación para la empresa sean más graves. Algunos ejemplos destacados incluyen el de Yahoo!, que se enfrentó a críticas y a una multa por no advertir a sus inversionistas sobre la brecha de datos que había sufrido, o Uber, que fue multado por tratar de ocultar una incidencia similar.
El informe de Kaspersky, basado en una encuesta a más de 5,200 profesionales de la ciberseguridad y de TI de todo el mundo, revela que las empresas que asumen la responsabilidad desde el primer momento suelen conseguir mitigar los daños. Los costos para las PyMES que revelan una infracción se estiman en $93,000 dólares, mientras que en los casos en los que la incidencia llega a los medios a través de una filtración, los daños alcanzan los $155,000 de dólares. Ocurre lo mismo en las grandes empresas: las que informaron de manera proactiva sobre brechas de seguridad sufrieron un menor impacto financiero (28%) respecto a las que sufrieron una filtración posterior – $1,134,000 frente a $1,583,000 dólares.
Costo medio de una infracción en función de cómo fue revelada
De acuerdo con el informe, menos de la mitad (46%) de las empresas encuestadas revelaron una infracción de forma proactiva. El 30 % de las que había sufrido un hackeo de datos prefirió no revelarlo, mientras la cuarta parte (24%) de las empresas intentaron ocultar la incidencia, pero después se encontraron con que la información llegó a los medios a través de una filtración.
Aunque para las empresas que lograron ocultar la incidencia las pérdidas fueron relativamente pequeñas, este enfoque está lejos de ser idóneo. Estas empresas pueden enfrentarse a daños muy superiores en el caso de que la información llegue al conocimiento público a través de filtraciones, lo que es altamente probable cuando ocurre una fuga de datos.
La encuesta también revela que los riesgos son especialmente altos para las empresas que no son capaces de detectar el ataque con inmediatez. El 29 % de las PyMES que tardaron más de una semana en identificar una brecha de seguridad se encontraron con que la información fue filtrada a la prensa, prácticamente el doble de las que detectaron la brecha de forma inmediata (15 %). En el caso de las grandes empresas, las cifras fueron muy similares: el 32 % y el 19 % respectivamente.
“La revelación proactiva puede ayudar a transformar la situación a favor de la empresa y esto va más allá del impacto financiero. Si los clientes saben de primera mano qué ha ocurrido, es más probable que sigan confiando en la marca. Por otra parte, la empresa puede ofrecer a sus clientes recomendaciones sobre los próximos pasos a seguir para proteger sus activos. La compañía también puede dar su versión de los hechos, compartiendo información de confianza y veraz con los medios para que las publicaciones no tengan que basarse en datos procedentes de terceros, que podrían representar la situación de manera incorrecta”, comenta Yana Shevchenki, gerente senior de marketing de producto en Kaspersky.
Para mitigar el riesgo de sufrir daños debido a una brecha de seguridad, Kaspersky recomienda a las empresas anticiparse para evitar la fuga de datos y adoptar las siguientes medidas:
• Implementar soluciones EDR tales como Kaspersky Endpoint Detection and Response para la detección, investigación, caza proactiva de amenazas y respuesta rápida ante amenazas empresariales avanzadas en el endpoint. Las empresas más pequeñas con experiencia limitada en ciberseguridad pueden beneficiarse de Kaspersky EDR Optimum, que ofrece capacidades EDR básicas, entre ellas mayor visibilidad de los endpoint, análisis de causa raíz simplificado y una opción de respuesta automatizada.
• Además de protección a nivel de endpoint, las empresas deben implementar una solución de seguridad corporativa que detecte amenazas avanzadas en la red, enriquecida con inteligencia sobre amenazas, tal como Kaspersky Anti Targeted Attack Platform, que ayuda a protegerse de los cibercriminales profesionales que utilizan un enfoque multi-vector y combinan diferentes técnicas en un único ataque planificado.
• Para poder responder en el momento oportuno a un ciberataque, combinar un equipo interno de respuesta a incidencias como primera línea de defensa y escalar las incidencias más complejas a expertos externos.
• Implementar formación sobre ciberseguridad para los empleados para que sepan cómo detectar y qué hacer ante una incidencia de seguridad, para que puedan informar de forma inmediata al departamento de seguridad TI de su empresa.
• Valorar la posibilidad de ofrecer formación específica, tal como Kaspersky Incident Communications. para todos aquellos que tengan la responsabilidad de responder ante una brecha de seguridad, entre ellos los responsables de comunicación y de seguridad de TI.