El costoso impacto que las empresas pagan cuando se producen violaciones de datos está aumentando, según las investigaciones más recientes emitidas por el Instituto Ponemon.

El coste medio de organización por una violación de datos se elevó a $ 7.2 millones en 2010, costando a las compañías un promedio de $ 214 por registro comprometido, un aumento del 5% con respecto al estudio de 2009, según el nuevo informe “The 2010 Annual Study: U.S. Cost of a Data Breach” (PDF). El estudio, en su quinto año, fue suscrito por Symantec Corp.

El estudio de Ponemon estimó los costos después de analizar las experiencias de violación de datos de 51 empresas de EE.UU. Las brechas objeto del estudio oscilaron entre los casi 4,200 registros a 105,000 registros. La firma de investigación dijo que los hallazgos pueden ser aplicados a organizaciones en EE.UU. que experimenten grandes brechas de datos entre 1,000 y 100,000 registros comprometidos.

El estudio marca el quinto año consecutivo en que los costos asociados con una violación de los datos se han incrementado. La violación de los datos más cara incluida en el estudio de 2010 le costó a una compañía 35.3 millones dólares para resolver, un incremento de $ 4.8 millones (15%) respecto al año pasado.

Las organizaciones que se apresuran a notificar a las víctimas terminan pagando más en costos, según el informe. Cuarenta y tres por ciento de las empresas notificaron a las víctimas dentro de un plazo de un mes luego del descubrimiento de la violación de datos. En 2010, las empresas que se apresuraron tuvieron un costo por registro de $ 268, un incremento de $ 49 (22%) con relación a los $ 219 del año anterior. Las empresas que tardaron más pagaron $ 174 dólares por registro, un incremento de 22 dólares (11%) en comparación con 2009.

“El notable incremento en las empresas que responden apresuradamente ante las brechas, a pesar del costo adicional, puede reflejar que las empresas sienten presión por cumplir con las regulaciones comerciales y leyes estatales y federales de protección de datos. Se seguirá de cerca este asunto en futuros informes”, según el informe.

El informe también reveló que los ataques maliciosos causan las brechas de datos más costosas, lo que refleja una tendencia observada en el informe de violación de datos de Verizon de 2010 que reveló aumento en los casos de personal interno malicioso. Casi un tercio (31%) de todos los casos estudiados por Ponemon involucraron un ataque malintencionado o criminal, un incremento de 7 puntos en relación a 2009 después de haber duplicado el año anterior. Ponemon, dijo que es la primera vez que los ataques maliciosos no son la causa menos común de las violaciones. El costo promedio por registro comprometido en una violación de datos que involucra un acto malicioso o criminal promedió $ 318, un incremento de $ 103 (48%) en relación a 2009, y la más alta de cualquier causa de violación de datos este año.

Ponemon dijo que la parte más costosa de una violación de datos es la pérdida de clientela, una respuesta directa a la mayoría de las violaciones. Además, las empresas suelen invertir en programas de capacitación y concientización seguido por las implementaciones de encriptación.

Las brechas por terceros proveedores de servicios está disminuyendo, según el estudio, pero el costo de estas brechas está en aumento. El costo de tales infracciones aumentó significativamente, con un incremento de $ 85 dólares (39%) a $ 302 dólares por registro. Ponemon dijo que las regulaciones gubernamentales y comerciales para la protección de datos puede jugar un papel en el aumento del costo de las brechas relativa a datos tercerizados.

Además, las computadoras portátiles perdidas o robadas o dispositivos móviles siguen siendo una amenaza constante y costosa. El costo es significativo, Ponemon, dijo, con un aumento de 15% a $ 258 por registro comprometido. Los costos son típicamente asociados con la dificultad de la investigación forense en dispositivos robados o perdidos.

El costo de una brecha de datos aumentó por quinto año consecutivo a 204 dólares por registro comprometido en 2009, pero una serie de factores, incluyendo un aumento en el uso de los servicios de violación de los datos y la experiencia adquirida con el manejo de las brechas anteriores, están frenando los aumentos de gastos, según un estudio anual realizado por el Instituto Ponemon.

La firma de investigación basada en Michigan, Estados Unidos, entrevistó a 45 empresas, muchas de las cuales habían sufrido múltiples brechas de datos, y determinó que el coste promedio anual de una brecha de datos aumentó de 6.65 millones en 2008 a $ 6.75 millones en 2009. El “Quinto Informe Anual sobre Costo de Brecha de Datos en EE.UU.”, financiado en parte por el proveedor de encriptación PGP Corp., determina el costo anual de una brecha mediante el establecimiento de los costos para una compañía en términos de negocios perdidos como resultado de un incidente, los gastos efectuados en notificar sobre la brecha a los individuos y las autoridades, los costos relacionados con honorarios de abogados y empresas de consultoría, así como las nuevas inversiones realizadas en tecnología y educación de los empleados.

La brecha de datos más cara reportada por una de las 45 empresas que participaron en el estudio afectó más de 100,000 registros de clientes y tuvo un costo de $ 31 millones para ser resuelta.

“No hay manera real de evitar una brecha de los datos, va a suceder”, dijo Larry Ponemon, presidente y fundador del Instituto. “La buena noticia es que las empresas mejoran con la experiencia en el manejo de una brecha y esto se traduce en menores costos”.

Alrededor del 82% de las empresas entrevistadas en el estudio de Ponemon reportó más de una brecha de datos. La experiencia adquirida a través de una violación anterior ayudó a las empresas a gestionar mejor el impacto asociado con una violación. El coste por víctima de una primera violación de datos es $228 contra $198 para empresas que experimentan dos o más incidentes.

“Las compañías que han sufrido una brecha en el pasado se toman su tiempo, no toman decisiones abruptas y a menudo contratan a un consultor para ayudar a gestionar la respuesta,” dijo Ponemon.

Las empresas que notifican rápidamente a las víctimas potenciales experimentan costes promedios mayores que aquellas que se mueven más lentamente y determinan exactamente cuántos clientes se vieron afectados.

Mientras tanto, el estudio encontró que muchas de las brechas se asociaron con portátiles y unidades USB perdidas (40%), los errores del sistema y estados de cuenta confundidos (36%) también contribuyeron a la violación de datos de la empresa. Los ataques maliciosos representaron alrededor del 24% de las brechas, Ponemon dijo. Pero quizás el mayor problema que contribuye a las brechas de datos son los errores por parte de terceros proveedores y socios de la empresa, como los contratistas y consultores, Ponemon dijo. Los errores fueron asociados con las brechas en el 42% de las empresas encuestadas.

Más dinero se gasta en la defensa legal que nunca antes, Ponemon dijo. A pesar de que muchas demandas legales colectivas son rechazadas en la corte, las empresas están contratando equipos jurídicos para luchar contra las reclamaciones.

“Todo lo que necesita para causar problemas es una demanda judicial exitosa”, dijo Ponemon.

El estudio encontró que las entidades de servicios financieros, comunicaciones y del sector de la salud experimentan el más alto nivel de pérdida de clientes como resultado de una brecha. Ponemon dijo que estas industrias dependen de la confianza para mantener la actividad comercial y una brecha contribuye a la erosión de esa confianza. Los minoristas, empresas de energía y las compañías de medios con menos contacto directo de los consumidores parecen experimentar una menor pérdida de clientes global lo que resulta en costos más bajos como resultado de la brecha de datos. Por ejemplo, la empresa TJX, que sufrió una violación masiva en 2007, se recuperó en menos de un año, anunciando trimestres rentables consecutivos a pesar de la recesión económica mundial. La empresa celebró un día de reconocimiento de los clientes y se valió de los descuentos para atraer de vuelta a los clientes.

“Si se maneja adecuadamente las empresas sobreviven a una violación”, dijo Ponemon. “No hay excusa para no tomar un enfoque de defensa en profundidad en torno a la seguridad y mantener un entorno seguro, sólo porque la empresa sobrevivirá no quiere decir que quiera pasar por el dolor o someter a sus clientes ante la agravación de tener una brecha”.