IBM ha publicado su decimoséptimo informe anual del «Coste de una brecha de seguridad en los datos». Los datos han sido recopilados de nuevo de forma independiente por los investigadores de mercado de Ponemon Institute. A lo largo de más de 3.600 entrevistas, se preguntó a los empleados de 550 empresas sobre filtraciones de datos acaecidas entre marzo de 2021 y marzo de 2022 en 17 países y en más de 17 sectores.
El coste promedio de una filtración de datos en el año 2022 alcanzó un máximo histórico de 4,35 millones de dólares, casi un 3 % más que en el año anterior (2021: 4,24 millones de dólares). En comparación con el informe del año 2020 (3,86 millones de dólares), el coste ha aumentado ya un 12,7 %. Y eso no es todo: en el 60 % de las empresas encuestadas, el aumento de costes causado por las filtraciones de datos (el 83 % sufrió más de una) repercutió en los clientes, con un aumento de precios.
En el caso de empresas con infraestructuras críticas, el promedio de costes de una filtración de datos es aún mayor, llegando a 4,82 millones de dólares. Se trata de 1 millón de dólares más que el coste medio para otros sectores. Se consideran infraestructuras críticas los servicios financieros, la industria, la tecnología, la energía, el transporte, la comunicación, la sanidad, la educación y el sector público, entre otras. En este caso, el 27 % registró un ataque destructivo o de ransomware. Y en el 17 % se produjo una fuga de datos porque un socio comercial había sido comprometido.
La amenaza más cara es el phishing
La causa más extendida de una filtración de datos sigue siendo el robo o vulnerabilidad de los datos de acceso. En la encuesta actual, se identificó como el vector de ataque más común, con un 19 % de los casos (2021: 20 %). Los costes derivados ascienden, de media, a 4,5 millones de dólares. Al mismo tiempo, estas filtraciones tuvieron el ciclo vital más largo: 243 días de media hasta que se detecta la brecha y otros 84 días para contenerla. La segunda causa más habitual de las filtraciones de datos fue el phishing, con un 16 %. Se concluye además que las filtraciones por phishing son las más caras, con un coste medio de 4,91 millones de dólares. Esto vuelve a subrayar la necesidad de proteger la comunicación comercial por correo eléctrónico al máximo nivel técnico, por ejemplo, con la solución Secure Email Platform de Retarus, así como con la formación de la plantilla.
Una de las nuevas tendencias en el campo de la seguridad de IT es la denominada arquitectura de confianza cero (Zero Trust). Se estima que actualmente solo el 41 % de las empresas ha incorporado un diseño de este tipo. Y está claro que merece la pena: en el caso de producirse una filtración de datos, un usuario de la arquitectura de confianza cero (Zero Trust) paga, de media, 1 millón de dólares menos que el 59 % que no la utiliza. En el ámbito de las infraestructuras críticas, el 79 % de los usuarios todavía carece de una arquitectura de confianza cero, lo que implica que una brecha les cuesta una media de 5,4 millones de dólares, 1 millón de dólares más que la media mundial.
Trabajo en remoto como riesgo financiero
En los casos en los que el trabajo a distancia fue un factor causante de la filtración de datos, los costes medios ascendieron a casi 1 millón de dólares más que las brechas en las que no estaba implicado el trabajo en remoto (4,99 millones frente a 4,02 millones de dólares). Las filtraciones de datos relacionadas con el trabajo en remoto cuestan de media unos 600.000 dólares más que la media global.
El 45 % de las filtraciones de datos recogidas en el estudio se produjeron en la nube. Comparativamente, las brechas de datos más económicas fueron las realizadas en entornos de nube híbridas, con una media de 3,8 millones de dólares. En el caso de nubes privadas y públicas, los costes medios se estiman, respectivamente, en 4,24 millones de dólares y 5,02 millones de dólares. Los usuarios de nubes híbridas no solo tuvieron menores costes (un 27,6 % en comparación con las nubes públicas), sino que también los ciclos de vida de las infracciones fueron más cortos que los de las empresas que disponen únicamente de una nube privada o pública.
Las filtraciones en el sector sanitario son las más costosas
Teniendo en cuenta los datos especialmente sensibles de este sector, no es de extrañar que la sanidad sea, por duodécimo año consecutivo, el sector con las filtraciones más costosas: los costes de este año ascendieron a 10,1 millones de dólares, un aumento de casi 1 millón de dólares en comparación con el año anterior, y un 41,6 % respecto al informe de 2020. La segunda posición en costes más elevados la registró el sector financiero (5,97 millones de dólares), seguido del farmacéutico (5,01 millones de dólares), el tecnológico (4,97 millones de dólares) y el energético (4,72 millones de dólares).
En términos geográficos, las filtraciones de datos en EE.UU. fueron las más caras, con una media de 9,44 millones de dólares. A continuación se sitúan Oriente Medio (7,46 millones de dólares), Canadá (5,64 millones de dólares), Gran Bretaña (5,05 millones de dólares) y Alemania (4,85 millones de dólares). Como sucede con el sector sanitario, este es el duodécimo año que EE.UU. se sitúa a la «cabeza del pelotón». El aumento más pronunciado con respecto al año anterior se produjo en Brasil, donde el coste medio de una filtración de datos aumentó un 27,8 %, pasando de 1,08 millones de dólares a los 1,38 millones de dólares actuales.
El nuevo informe «Coste de una brecha de seguridad en los datos» completo, con más detalles y aclaraciones sobre la metodología empleada, puede descargarse –previo registro– desde el sitio web de IBM.