La mayoría de las fugas de datos es causada por errores humanos y de sistemas

Symantec y Ponemon Institute dieron a conocer el Estudio de 2013 sobre el Coste de las Fugas de Datos: un Análisis Mundial (2013 Cost of Data Breach Study: Global Analysis), que indica que los errores humanos y los problemas en los sistemas causaron dos terceras partes de las fugas de datos en 2012 e incrementaron la media a nivel mundial hasta $136 dólares por registro. Entre estos problemas se incluye el manejo no apropiado de los datos confidenciales por parte de los empleados, la falta de controles en los sistemas y la infracción de las normativas industriales y gubernamentales. Los campos con fuerte regulación – incluyendo los sectores Sanitario, Financiero y Farmacéutico – sufrieron unos costes por fugas de datos 70% más altos que otros sectores.
El coste mundial por registro de cliente comprometido fue superior a lo observado el año pasado y el coste total por fuga de datos en EE.UU. se redujo ligeramente a $5,4 millones de dólares. Esta reducción se atribuyó al nombramiento de Directores de Seguridad de la Información (CISO) con responsabilidad en toda la empresa, a la puesta en marcha de unos planes completos de respuesta ante incidentes y a unos programas generales de seguridad más sólidos.

“Los atacantes externos y sus métodos en constante evolución representan una gran amenaza a las compañías, pero los peligros asociados a las amenazas internas pueden ser igualmente destructivos y traicioneros”, afirma Larry Ponemon, presidente de Ponemon Institute. “Ocho años de estudio sobre las fugas de datos nos han mostrado que el comportamiento de los empleados es uno de los problemas más acuciantes que afectan a las organizaciones actualmente, unas actividades que han registrado un aumento del 22% desde la primera encuesta realizada”.

“Como las organizaciones con un fuerte posicionamiento sobre seguridad y planes de respuesta ante incidencias han sufrido costes fugas de datos 20% menores que otras compañías, resulta evidente la importancia que tiene el empleo de un punto de vista bien coordinado y completo”, comenta Anil Chakravarthy, vicepresidente ejecutivo de Information Security Group en Symantec. “Las compañías deben proteger la información confidencial de sus clientes, independientemente de donde resida, ya sea en un PC, dispositivo móvil, red corporativa o centro de datos”.

El octavo informe anual mundial se basa en las experiencias sobre fugas de datos de 277 compañías en nueve países: EE.UU., Reino Unido, Francia, Alemania, Italia, India, Japón, Australia y Brasil. Todas las incidencias de fugas de datos estudiadas en el informe ocurrieron en el año 2012. Para realizar un seguimiento adecuado de los datos sobre la tendencia, Ponemon Institute no incluye “mega fugas de datos” con más de 100.000 registros en peligro.

Las compañías pueden analizar sus propios riesgos visitando la calculadora de Symantec sobre riesgo de fugas de datos que tiene en cuenta el tamaño, el sector, el emplazamiento y las prácticas en seguridad de una organización para estimar el riesgo por registro y en toda la organización.

Las conclusiones adicionales del estudio incluyen:
■El coste medio por fuga de datos varía ampliamente en todo el mundo. Muchas de estas diferencias son debidas a los tipos de amenazas que afectan a las organizaciones, además de a las leyes de protección de datos en los respectivos países. Algunos países como Alemania, Australia, Reino Unido y EE.UU. tienen leyes y normativas más establecidas para la protección del consumidor con el objetivo de fortalecer la seguridad informática y la privacidad de los datos. EE.UU. y Alemania continúan experimentando las fugas de datos más costosas (con un coste medio por registro comprometido de $188 y $199 dólares, respectivamente). Estos dos países también tuvieron los mayores costes totales por fuga de datos ($5,4 millones de dólares en EE.UU. y $4,8 millones de dólares en Alemania).
■Los errores realizados por las personas y por los sistemas son las causas principales de las fugas de datos. Juntos, los errores humanos y los problemas de los sistemas representaron el 64% de las fugas de datos en el estudio mundial, mientras que el estudio anterior indicó que el 62% de los empleados pensaba que era aceptable transferir datos corporativos fuera de la compañía y que la mayoría nunca borraba los datos, dejándolo vulnerables a posibles fugas. Esto muestra la gran capacidad de los empleados para contribuir a las fugas de datos y el alto precio que pueden tener estos incidentes para las organizaciones. Las compañías brasileñas son las que tienen mayor probabilidad de sufrir fugas de datos debido a errores humanos. Las compañías de la India son las que tienen mayor probabilidad de sufrir fugas de datos por problemas en sistemas o por fallos en procesos de negocio. Entre los problemas de los sistemas se incluyen los fallos de aplicaciones, volcados de datos de forma involuntaria, errores lógicos en transferencia de datos, fallos de identidad o de autenticación (acceso incorrecto), fallos de recuperación de datos, entre otros.
■Los ataques delictivos y malintencionados son los más caros en todo el mundo. Las conclusiones del informe indican que los ataques maliciosos o delictivos causan el 37% de las fugas de datos y son los incidentes más costosos de este tipo en los nueve países participantes en el estudio. Las compañías de EE.UU. y las alemanas sufren los incidentes de fugas de datos más caros debido a las acciones de atacantes maliciosos o delictivos, con un valor de $277 y $214 dólares por cada registro comprometido, respectivamente, mientras que Brasil e India registraron las fugas de datos menos costosas, con $71 y $46 dólares por registro, respectivamente. Las compañías alemanas fueron también las que, con mayor frecuencia, sufrieron un ataque malicioso o delictivo, seguidas de las de Australia y Japón.
■Algunos factores organizativos disminuyen los costes. Las compañías de EE.UU. y Reino Unido recibieron las mayores reducciones en costes de fugas de datos, gracias a su fuerte posición en seguridad, a los planes para respuesta ante incidentes y al nombramiento de un CISO. Por su parte, EE.UU. y Francia redujeron también los costes gracias al empleo de asesores para encontrar soluciones a las fugas de datos.
■Otros factores incrementan los costes. Los errores de terceras partes y la rápida notificación a las víctimas de fugas de datos, reguladores y otros stakeholders hicieron que las compañías registraran los mayores incrementos en costes de fugas de datos. Las compañías de Reino Unido fueron las que sufrieron los mayores aumentos cuando en los incidentes se vieron involucrados dispositivos perdidos o robados.

Symantec recomienda las siguientes buenas prácticas para prevenir una fuga de datos y reducir los costes:
1.Formar a los empleados sobre el manejo de la información confidencial.
2.Usar tecnología de prevención contra la pérdida de datos para encontrar datos confidenciales y evitar que esta información salga de su empresa.
3.Instalar soluciones de cifrado y sólida autenticación.
4.Preparar un plan de respuesta ante incidentes que incluya los pasos apropiados para la notificación a los clientes.

Fuente: Revista-Cloud

Comentarios

Entradas populares de este blog

Descienden las detecciones de malware en Android y crecen en iOS

Explotan el día cero de la VPN de Fortinet para robar credenciales

Microsoft dice que la interrupción masiva de Azure fue causada por un ataque DDoS