El coste de una violación de datos en 2021
El coste medio mundial de una violación de datos aumentó un preocupante 10% en 2021, alcanzando los 4,24 millones de dólares, frente a los 3,86 millones de dólares de 2020, según el Informe sobre el coste de una violación de datos 2021 publicado por IBM y el Instituto Ponemon. Fue el coste medio más alto de una violación de datos registrado por el informe en los 17 años desde que se publica anualmente.
Las empresas de Estados Unidos tuvieron el coste medio más alto, con 9,05 millones de dólares por violación, seguidas por las de Oriente Medio, con 6,93 millones de dólares. La pérdida de negocio continuó siendo el mayor factor de coste, representando el 38% del coste total medio, e incluyó la interrupción del negocio y la pérdida de ingresos por el centro del sistema, la pérdida de clientes existentes y nuevos, así como el daño a la reputación. El tiempo medio que tardaron las empresas en detectar y contener una filtración de datos fue de 287 días y se necesitaron 212 días de media para que una organización identificara que se había producido una filtración.
La Información de Identificación Personal (PII) de los clientes, que entra dentro de la incidencia de la normativa de protección de datos, se vio comprometida en el 44% de todas las violaciones de datos, lo que la convierte en el tipo de registro que más a menudo se pierde o se roba. La PII de los clientes fue también el tipo de datos más costoso que se vio comprometido en una filtración de datos, con una media de 180 dólares por registro. La propiedad intelectual, por su parte, ha costado 169 dólares por registro robado o perdido.
El informe también analizó el impacto del trabajo remoto en las violaciones de datos que se produjeron durante la pandemia. Los incidentes en los que el trabajo remoto fue un factor en la filtración tuvieron un coste total de 4,96 millones de dólares, un 24,2% más que cuando el trabajo remoto no desempeñó un papel en la filtración.
Vectores de ataque iniciales en las violaciones de datos
Este año, IBM y el Instituto Ponemon han clasificado las filtraciones de datos en diez vectores de ataque iniciales y han prescindido de las grandes causas generales que utilizaban en años anteriores. El vector de ataque inicial más común en 2021 fue el de las credenciales comprometidas, con un 20% de las filtraciones, seguido de cerca por el phishing, con un 17%, y la desconfiguración de la nube, con un 15%.
El compromiso del correo electrónico empresarial fue responsable de solo el 4% de las filtraciones de datos, pero causó el costo total promedio más alto de un vector de ataque, 5,01 millones de dólares por violación. El phishing fue un vector de ataque muy popular y costoso para las empresas; su coste medio fue de 4,65 millones de dólares por violación. Las personas con acceso a información privilegiada, que representaron el 8% de todas las filtraciones de datos, obtuvieron el tercer coste total medio más alto, de 4,61 millones de dólares.
Al ser víctimas de ataques de suplantación de identidad y de ingeniería social, al volverse maliciosos o al sufrir accidentes que provocan la pérdida de datos, las amenazas internas representaron el 33% de todas las violaciones de datos en 2021.
Costes por sector
En 2021, la industria de la salud continuó con el costo total promedio más alto de cualquier industria, alcanzando 9,23 millones de dólares por violación de datos, un aumento del 29,5% desde 2020. El sector sanitario lleva once años consecutivos ocupando el primer puesto en cuanto a coste total medio. Las instituciones financieras le siguieron con 5,72 millones de dólares por violación de datos y las empresas farmacéuticas con 5,04 millones de dólares por violación de datos. Ambas industrias redujeron sus costes totales con respecto a 2020 por un margen muy pequeño.
En 2021 también se produjo un sorprendente aumento de los costes de las violaciones de datos en varios sectores. El sector de los medios de comunicación casi duplicó su coste medio total, alcanzando los 3,17 millones de dólares por violación, un aumento del 92,1% respecto a 2020. El sector público experimentó un aumento del 78,7%, alcanzando los 1,93 millones de dólares por violación, y el sector de la hostelería se disparó un 76,2% desde 2020, con una media de 3,03 millones de dólares por violación.
Sin embargo, el año no estuvo exento de éxitos. El sector de la energía consiguió frenar sus costes de violación de datos y redujo su coste medio total en un 27,2% desde 2020, alcanzando los 4,65 millones de dólares en 2021.
Los costes del incumplimiento
El informe analizó por primera vez los costes asociados al incumplimiento de la normativa. De una selección de 25 factores de coste asociados a los costes de las violaciones de datos, los fallos de cumplimiento resultaron ser el factor amplificador de costes número uno, lo que demuestra la creciente importancia que las leyes de protección de datos, como el GDPR, la CCPA y la HIPAA, han empezado a tener en los costes de las violaciones de datos.
Las organizaciones que sufrieron fallos de cumplimiento de alto nivel que dieron lugar a multas, sanciones y demandas judiciales experimentaron un coste medio de 5,65 millones de dólares por violación, mientras que las organizaciones con bajos niveles de fallos de cumplimiento se enfrentaron a costes de 3,35 millones de dólares por violación, un 51,1% menos.
El informe también mostró que las empresas en entornos normativos más estrictos siguieron acumulando costes en los años posteriores a una violación de datos. En los sectores menos regulados, el 68% de los costes se produjeron en los primeros 12 meses, mientras que en los sectores altamente regulados sólo fue el 46%. El grueso de los costes en los sectores altamente regulados se repartió en el segundo año y posteriores, a medida que los organismos reguladores imponían multas y se presentaban y resolvían demandas judiciales.
Conclusión
Como la pandemia debilitó las respuestas de seguridad y los organismos reguladores siguieron aplicando las leyes de protección de datos, muchas industrias se han enfrentado a un sorprendente aumento de los costes de las violaciones de datos en 2021. A medida que nos adentramos en 2022, está claro que las empresas deben hacer de la ciberseguridad y la protección de datos una prioridad, no solo para evitar la interrupción del negocio, sino para limitar el impacto que los incidentes de seguridad puedan tener en sus resultados.