Un estudio de Symantec y Ponemon, revela que los Errores Humanos causan la Mayoría de las Fugas de Datos.
Symantec, compañía que protege la información del mundo
y es el líder global en soluciones de seguridad, respaldo y disponibilidad, y
Ponemon Institute, presentaron el Estudio sobre el Costo de las Fugas de Daros
2013, el cual refleja que los errores humanos y los inconvenientes en los
sistemas provocaron dos terceras partes de las fugas de datos en 2012 e
incrementaron la media a nivel mundial hasta $136 dólares por registro. Esto
incluye el manejo no apropiado de los datos confidenciales por parte de los
empleados, la falta de controles en los sistemas y la infracción de las
regulaciones industriales y gubernamentales. A nivel global, los sectores
con fuertes regulaciones – como el financiero, farmacéutico y el de salud –
sufrieron costos por fugas de datos 70 por ciento más altos que los de otros
sectores.
“Los atacantes externos y la constante evolución de sus
métodos y acciones representan una gran amenaza para las compañías, pero los
peligros asociados con las amenazas internas pueden ser igualmente destructivos
y traicioneros. Ocho años de estudio sobre las fugas de datos nos han mostrado
que el comportamiento de los empleados es uno de los problemas que más afectan
a las organizaciones actualmente, esto se ha incrementado en 22% desde el
primer estudio que hicimos”, señaló Larry Ponemon, Presidente de Ponemon
Institute.
“Debido a que las organizaciones con fuertes posturas sobre
seguridad y planes de respuesta ante incidencias han sufrido costos por fugas
de datos 20 por ciento menores a los de otras compañías, resulta evidente la
importancia que tiene contar con un enfoque holístico bien coordinado y
completo. Las compañías deben proteger la información confidencial de sus
clientes, independientemente de donde esté guardada, ya sea en una PC, un
dispositivo móvil, una red corporativa o centro de datos”, comenta Anil
Chakravarthy, Vicepresidente Ejecutivo del Grupo de Seguridad de la Información
en Symantec.
El octavo informe global anual del Instituto Ponemon y
Symantec se enfocó en experiencias sobre fugas de datos de 277 compañías en
nueve países: Estados Unidos, Reino Unido, Francia, Alemania, Italia, India,
Japón, Australia y Brasil. Los informes de los nueve países y el informe
mundial se pueden encontrar aquí.
Todas las incidencias de fugas de datos estudiadas en el informe ocurrieron en
el año 2012.
Las compañías pueden analizar sus propios riesgos visitando
la calculadora de Symantec sobre riesgo de fugas de datos en databreachcalculator.com la
cual toma en cuenta el tamaño, sector, ubicación y las prácticas en seguridad
de una organización para estimar el riesgo, tanto a nivel por registro y de
toda la organización.
Entre los descubrimientos principales del estudio están las
siguientes:
El costo promedio por fuga de datos varía ampliamente en
todo el mundo.
Muchas de estas diferencias son debidas a los tipos de
amenazas que afectan a las organizaciones, además de las leyes de protección de
datos en los respectivos países. Algunos países como Alemania, Australia, Reino
Unido y Estados Unidos tienen leyes y normativas más establecidas para la
protección del consumidor con el objetivo de fortalecer la seguridad
informática y la privacidad de los datos. Estados Unidos y Alemania continúan
experimentando las fugas de datos más costosas (con un costo promedio por
registro comprometido entre US$188 y US$199 dólares, respectivamente). Estos
dos países también tuvieron los mayores costos totales por fuga de datos
(US$5.4 millones de dólares en Estados Unidos y $4.8 millones de dólares en
Alemania).
Los errores de las personas y aquellos en los sistemas son
las causas principales de las fugas de datos.
Juntos, los errores humanos y los problemas de los sistemas
representaron el 64% de las fugas de datos en el estudio mundial, cabe
mencionar que el estudio
anterior indicó que 62% de los empleados pensaba que era aceptable
transferir datos corporativos fuera de la compañía y que la mayoría nunca
borraba los datos, siendo vulnerables a posibles fugas. Esto muestra el gran
impacto que pueden tener los empleados en las fugas de datos y el alto precio
que pueden tener estos incidentes para las organizaciones. De acuerdo con el
estudio, las compañías brasileñas son las que tienen mayor probabilidad de
sufrir fugas de datos debido a errores humanos. Las compañías de la India son
las que tienen mayor probabilidad de sufrir fugas de datos por problemas en
sistemas o por fallas en procesos del negocio. Entre los problemas de los
sistemas se incluyen las fallas de aplicaciones, vaciados de datos de forma
involuntaria, errores lógicos en transferencia de datos, fallas de identidad o
de autenticación (acceso incorrecto), errores de recuperación de datos, entre
otros.
Los ataques criminales y maliciosos son los más caros a
nivel global.
Las conclusiones del informe indican que los ataques
maliciosos o con fines criminales causan el 37% de las fugas de datos y son los
incidentes más costosos de este tipo en los nueve países participantes en el
estudio. Las compañías de Estados Unidos y las alemanas sufren los incidentes
de fugas de datos más caros debido a las acciones de atacantes maliciosos, y
cada registro comprometido tiene un valor de entre US$277 y US$214 dólares
respectivamente. Brasil e India registraron las fugas de datos menos costosas,
con US$71 y US$46 dólares por registro, respectivamente. Las compañías alemanas
fueron también las que, con mayor frecuencia, sufrieron un ataque malicioso o
delictivo, seguidas de las de Australia y Japón.
Algunos factores organizacionales disminuyen los costos.
Las compañías de Estados Unidos y Reino Unido recibieron las
mayores reducciones en costos asociados con fugas de datos gracias a su fuerte
posición en seguridad, a los planes para respuesta ante incidentes y al
nombramiento de un CISO o encargado de seguridad. Por su parte, Francia y
Estados Unidos redujeron también sus costos gracias al empleo de asesores para
encontrar soluciones a las fugas de datos.
Symantec comparte las siguientes recomendaciones para
prevenir una fuga de datos y reducir los costos en caso de producirse una:
- Educar a los empleados sobre el manejo adecuado de la
información confidencial.
- Apoyarse en el uso de tecnologías de prevención contra
pérdidas de datos para encontrar datos sensibles o confidenciales y evitar que
esta información salga de la empresa.
- Instalar soluciones sólidas y completas de cifrado y
autenticación.
- Preparar un plan de respuesta ante incidentes que incluya
los pasos apropiados para la notificación a los clientes.