Fuente: SearchSecurity.com

El costo de una brecha de datos aumentó por quinto año consecutivo a 204 dólares por registro comprometido en 2009, pero una serie de factores, incluyendo un aumento en el uso de los servicios de violación de los datos y la experiencia adquirida con el manejo de las brechas anteriores, están frenando los aumentos de gastos, según un estudio anual realizado por el Instituto Ponemon.

La firma de investigación basada en Michigan, Estados Unidos, entrevistó a 45 empresas, muchas de las cuales habían sufrido múltiples brechas de datos, y determinó que el coste promedio anual de una brecha de datos aumentó de 6.65 millones en 2008 a $ 6.75 millones en 2009. El “Quinto Informe Anual sobre Costo de Brecha de Datos en EE.UU.”, financiado en parte por el proveedor de encriptación PGP Corp., determina el costo anual de una brecha mediante el establecimiento de los costos para una compañía en términos de negocios perdidos como resultado de un incidente, los gastos efectuados en notificar sobre la brecha a los individuos y las autoridades, los costos relacionados con honorarios de abogados y empresas de consultoría, así como las nuevas inversiones realizadas en tecnología y educación de los empleados.

La brecha de datos más cara reportada por una de las 45 empresas que participaron en el estudio afectó más de 100,000 registros de clientes y tuvo un costo de $ 31 millones para ser resuelta.

“No hay manera real de evitar una brecha de los datos, va a suceder”, dijo Larry Ponemon, presidente y fundador del Instituto. “La buena noticia es que las empresas mejoran con la experiencia en el manejo de una brecha y esto se traduce en menores costos”.

Alrededor del 82% de las empresas entrevistadas en el estudio de Ponemon reportó más de una brecha de datos. La experiencia adquirida a través de una violación anterior ayudó a las empresas a gestionar mejor el impacto asociado con una violación. El coste por víctima de una primera violación de datos es $228 contra $198 para empresas que experimentan dos o más incidentes.

“Las compañías que han sufrido una brecha en el pasado se toman su tiempo, no toman decisiones abruptas y a menudo contratan a un consultor para ayudar a gestionar la respuesta,” dijo Ponemon.

Las empresas que notifican rápidamente a las víctimas potenciales experimentan costes promedios mayores que aquellas que se mueven más lentamente y determinan exactamente cuántos clientes se vieron afectados.

Mientras tanto, el estudio encontró que muchas de las brechas se asociaron con portátiles y unidades USB perdidas (40%), los errores del sistema y estados de cuenta confundidos (36%) también contribuyeron a la violación de datos de la empresa. Los ataques maliciosos representaron alrededor del 24% de las brechas, Ponemon dijo. Pero quizás el mayor problema que contribuye a las brechas de datos son los errores por parte de terceros proveedores y socios de la empresa, como los contratistas y consultores, Ponemon dijo. Los errores fueron asociados con las brechas en el 42% de las empresas encuestadas.

Más dinero se gasta en la defensa legal que nunca antes, Ponemon dijo. A pesar de que muchas demandas legales colectivas son rechazadas en la corte, las empresas están contratando equipos jurídicos para luchar contra las reclamaciones.

“Todo lo que necesita para causar problemas es una demanda judicial exitosa”, dijo Ponemon.

El estudio encontró que las entidades de servicios financieros, comunicaciones y del sector de la salud experimentan el más alto nivel de pérdida de clientes como resultado de una brecha. Ponemon dijo que estas industrias dependen de la confianza para mantener la actividad comercial y una brecha contribuye a la erosión de esa confianza. Los minoristas, empresas de energía y las compañías de medios con menos contacto directo de los consumidores parecen experimentar una menor pérdida de clientes global lo que resulta en costos más bajos como resultado de la brecha de datos. Por ejemplo, la empresa TJX, que sufrió una violación masiva en 2007, se recuperó en menos de un año, anunciando trimestres rentables consecutivos a pesar de la recesión económica mundial. La empresa celebró un día de reconocimiento de los clientes y se valió de los descuentos para atraer de vuelta a los clientes.

“Si se maneja adecuadamente las empresas sobreviven a una violación”, dijo Ponemon. “No hay excusa para no tomar un enfoque de defensa en profundidad en torno a la seguridad y mantener un entorno seguro, sólo porque la empresa sobrevivirá no quiere decir que quiera pasar por el dolor o someter a sus clientes ante la agravación de tener una brecha”.