En colaboración con el Ponemon Institute, IBM ha publicado la edición anual de su «Informe sobre el coste de una brecha de seguridad en los datos», que en 2020 alcanza ya su 15.ª edición. Para el informe se realizaron encuestas en 17 países a un total de 3.200 personas, pertenecientes a 524 empresas de 17 sectores diferentes.
Según el informe, el coste medio total de una brecha de datos asciende a 3,86 millones de dólares, lo que supone, sorprendentemente, un ligero descenso con respecto a la cifra de 3,92 millones del año anterior. En términos geográficos, una violación de la seguridad de los datos personales resulta más costosa en EE.UU. y, en términos sectoriales, en el sanitario. De media, transcurren 280 días hasta la detección y contención de una infracción en esta materia, y la mitad de las infracciones se deben a ataques maliciosos.
Según el estudio, los tipos de datos comprometidos con mayor frecuencia son, con diferencia, aquellos que contienen información de identificación personal (IIP). La pérdida o robo de un conjunto de datos IIP supone a las empresas una media de 150 dólares, cantidad que llega incluso a 175 dólares en caso de infracciones por ataque malicioso. Una de cada 5 empresas (el 19%) que ha sufrido una violación de datos malintencionada fue atacada porque sus datos de acceso o inicio de sesión fueron robados o comprometidos. En paralelo, los servidores en la nube mal configurados representan, también con un 19 %, la causa de amenaza inicial más frecuente en los casos de infracciones por ataques maliciosos.
Las grandes infracciones relacionadas con la protección de datos suponen costes gigantescos
Las empresas que se vieron afectados por infracciones que afectan a más de un millón de conjuntos de datos incurrieron en costes muy por encima del promedio. Las infracciones en materia de protección de datos con entre uno y diez millones de conjuntos de datos comprometidos costaron una media de 50 millones de dólares. En casos de infracciones que implican cifras más elevadas, con más de 50 millones de conjuntos de datos comprometidos, el promedio de costes llegó a situarse en 392 millones de dólares, más de cien veces el coste medio.
La mayoría de los ataques maliciosos procedieron de ciberdelincuentes con motivaciones económicas, pero según Ponemon e IBM, las infracciones más costosas fueron las causadas por actores estatales. Así, el 53% de los ataques que analiza el informe de 2020 es atribuible, presumiblemente, a ciberdelincuentes con motivaciones económicas, en comparación con el 13% que se atribuye a agentes estatales, el 13% € a hackers y el 21% a agentes desconocidos.
El phishing, Business Email Compromise y la llamada ingeniería social continúan apareciendo entre los métodos de ataque más frecuentes contra los datos de las empresas. Por consiguiente, es imprescindible una protección eficaz de la infraestructura del correo electrónico, ya sea en local o en la nube, así como una sensibilización periódica de los usuarios sobre las precauciones a tomar ante, sobre todo, correos electrónicos de origen desconocido. La Secure Email Platform de Retarus es, en el nuevo análisis «Now Tech: Enterprise Email Security Providers, Q3 2020» de Forrester Research, la única pasarela segura de correo electrónico independiente y completamente desarrollada en Europa. Algo que tiene aún más peso dada la actual jurisprudencia del TJUE, que ha declarado inválido con efecto inmediato el acuerdo «Escudo de Privacidad» con EE.UU.