El costo de la violación de datos en 2021 y cómo prevenirlo

• martes 11 enero, 2022

De acuerdo con un estudio realizado por Ponemon Institute en patrocinio y publicación de IBM donde se analizaron 537 infracciones reales en 17 países y regiones y 17 industrias diferentes con 3,500 entrevistas para determinar cuánto gastaron las organizaciones en actividades para el descubrimiento y la respuesta inmediata respecto a la violación de seguridad de datos y se determinaron las siguientes conclusiones:

Aumento del costo de las violaciones de seguridad de datos

El trabajo remoto y una acelerada transformación digital ocasionada por la pandemia de COVID-19 aumentaron el costo total promedio de una violación de datos en un 10% para 2021 respecto a 2020. El mayor aumento de costos en un solo año de los últimos siete años.

El costo promedio fue $1,07 millones más alto en las infracciones, pasando de $3,86 millones a $4,24 millones en las que, el trabajo remoto fue un factor que provocó la infracción, en comparación con aquellas en las que el trabajo remoto no fue un factor. El porcentaje de empresas en las que el trabajo remoto fue un factor de incumplimiento fue del 17,5%. Además, las organizaciones que tenían más del 50 % de su fuerza laboral trabajando de forma remota tardaron 58 días más en identificar y contener las infracciones que aquellas con el 50 % o menos trabajando de forma remota. Los cambios de TI, como la migración a la nube y el trabajo remoto, aumentaron los costos; sin embargo, las organizaciones que no implementaron ningún cambio de transformación digital como resultado de la COVID-19 experimentaron costos 750 000 USD más altos en comparación con el promedio mundial, una diferencia del 16,6 %

Principales tipos de violaciones de datos  

Los negocios perdidos representaron el 38 % del promedio general y aumentaron ligeramente con respecto a los $1,52 millones de 2020. Los costos comerciales perdidos incluyeron una mayor rotación de clientes, ingresos perdidos debido al tiempo de inactividad del sistema y el costo creciente de adquirir nuevos negocios debido a la disminución de la reputación.

La información de identificación personal (PII) del cliente fue el tipo de registro perdido más común, incluido en el 44 % de las infracciones. La PII del cliente también fue el tipo de registro más costoso, a $180 por registro perdido o robado. El costo promedio general por registro en  2021 fue de $161, un aumento de $146 por registro perdido o robado de lo que se registró en 2020.

Las credenciales comprometidas fueron el vector de ataque inicial más común, responsable del 20 % de las infracciones. Los correos electrónicos comerciales comprometidos (BEC, por sus siglas en inglés) fue responsable de solo el 4% de las infracciones, pero tuvo el costo total promedio más alto de los 10 vectores de ataque iniciales en el estudio, con $ 5,01 millones de dólares. El segundo más costoso fue el phishing (4,65 millones de dólares), seguido de los infiltrados malintencionados (4,61 millones de dólares), la ingeniería social (4,47 millones de dólares) y las credenciales comprometidas (4,37 millones de dólares).

Ransomware, la amenaza más costosa para las empresas

Los ataques de ransomware cuestan un promedio de $ 4,62 millones, más caro que la violación de datos promedio ($ 4,24 millones). Estos costos incluyeron escalamiento, notificación, negocios perdidos y costos de respuesta, pero no incluyeron el costo del rescate. Los ataques maliciosos que destruyeron datos en ataques destructivos cuestan un promedio de $4.69 millones.

Ciclo de vida de una brecha de seguridad

El tiempo transcurrido entre la primera detección de la filtración y su contención se denomina ciclo de vida de la filtración de datos. El tiempo medio de identificación describe el tiempo que se tarda en detectar que se ha producido un incidente. El tiempo de contención se refiere al tiempo que le toma a una organización resolver una situación una vez que ha sido detectada y finalmente restaurar el servicio

Las filtraciones de datos que tardaron más de 200 días en identificarse y contenerse costaron un promedio de 4,87 millones de dólares, en comparación con los 3,61 millones de dólares de las filtraciones que tardaron menos de 200 días. En general, tomó un promedio de 287 días identificar y contener una violación de datos, siete días más que en el informe anterior. Para poner esto en perspectiva, si se necesitaron 287 días para identificar y contener una infracción que ocurrió el 1 de enero, la infracción no se contuvo hasta el 14 de octubre. El tiempo promedio para identificar y contener varió ampliamente según el tipo de violación de datos, el vector de ataque, factores como el uso de inteligencia artificial y automatización de seguridad, y la etapa de modernización de la nube.

Sectores más afectados

El cuidado de la salud fue la industria líder en costo total promedio por undécimo año consecutivo. Las industrias principales que registraron mayor costo total promedio las mencionamos en forma descendente: cuidado de la salud, sector financiero, productos farmacéuticos, tecnología, energía, servicios, entretenimiento, educación, comunicaciones, comercio minorista, hotelería y sector público.

El costo total promedio de la atención médica aumentó de $ 7,13 millones en 2020 a $ 9,23 millones en 2021, un aumento del 29,5 %. La energía cayó de la segunda industria más costosa al quinto lugar, con una disminución en el costo de $ 6,39 millones en 2020 a $ 4,65 millones en 2021 (disminución del 27,2 %).

Otras industrias que experimentaron grandes aumentos de costos incluyeron servicios (aumento del 7,8 %), comunicaciones (aumento del 20,3 %), consumo (aumento del 42,9 %), comercio minorista (aumento del 62,7 %), medios (aumento del 92,1 %), hotelería (aumento del 76,2 %), y sector público (aumento del 78,7%).

Tomando en consideración el costo que estas amenazas representan y la importancia de la protección de datos para las organizaciones, en este artículo hablaremos con más detalle sobre qué es una violación de datos y las tecnologías y mejores prácticas de protección y prevención para las empresas.

¿Qué es una violación de la seguridad de datos?

Las filtraciones de datos son incidentes confirmados que pueden conducir al acceso no autorizado o la divulgación de datos sensibles, confidenciales u otros datos protegidos.

Las violaciones de datos generalmente afectan la información de salud de identificación personal (PHI), la información de identificación personal (PII), la propiedad intelectual, los datos financieros como números de tarjetas de crédito o cuentas bancarias, datos personales como números de seguro social o credenciales de usuario, o datos comercialmente confidenciales como listas de clientes o procesos de manufactura.

Si alguno de estos tipos de datos, o datos sensibles similares, se exponen a terceros no autorizados, esto representa una violación de datos. Las filtraciones de datos pueden dañar la reputación de una organización, pueden resultar en el incumplimiento de las regulaciones o los estándares de la industria, y la organización puede enfrentar multas o demandas en relación con los datos que perdió.

¿Qué es data security?

La protección de datos, también conocida como data security, es el proceso de proteger la confidencialidad, integridad y disponibilidad de la información confidencial propiedad de una organización.

Casi todas las organizaciones trabajan con datos sensibles, ya sea de la propia organización o de sus clientes. Esto plantea la necesidad de una estrategia de protección de datos que pueda evitar el robo, el daño y la pérdida de esos datos, y reducir el daño en caso de una violación de datos o un desastre.

Después de que los datos comerciales críticos se vulneren o se pierdan accidentalmente, recuperarlos es urgente y cualquier retraso puede afectar la continuidad del negocio. Una estrategia de protección de datos debe tener en cuenta la capacidad de recuperar los datos de manera oportuna.

Además, muchas industrias tienen requisitos legales o estándares de cumplimiento voluntario que rigen cómo las organizaciones almacenan información personal, información médica, información financiera u otros datos confidenciales. Una estrategia de protección de datos debe abordar los requisitos de cumplimiento específicos a los que está sujeta su organización. Obtenga más información en El aspecto de cumplimiento de las violaciones de datos a continuación.

Tecnologías y mejores prácticas de protección de datos

Hay muchas soluciones de administración y almacenamiento disponibles para proteger los datos de una organización, medidas de seguridad de datos que pueden limitar el acceso a los datos, monitorear la actividad de la red y responder a infracciones sospechadas o confirmadas.

A continuación, exponemos las tecnologías y prácticas de protección de datos de uso común:

Copia de seguridad de datos: mantenimiento de copias de datos de la organización de forma regular. En la mayoría de los casos, todos los datos se respaldan y almacenan en una ubicación que permite un rápido acceso y recuperación.

RPO y RTO son conceptos clave en la gestión de copias de seguridad, la recuperación ante desastres y la continuidad del negocio. El objetivo de punto de recuperación (RPO) es la cantidad de datos que una empresa puede perder en caso de desastre y está determinado por la frecuencia de las copias de seguridad. Si se realiza una copia de seguridad del sistema una vez al día, el RPO es de 24 horas. Cuanto menor sea el RPO, más recursos de red, equipo y almacenamiento se necesitarán para realizar copias de seguridad frecuentes. El RTO (objetivo de tiempo de recuperación) es el tiempo necesario para restaurar datos o sistemas a partir de una copia de seguridad y reanudar el funcionamiento normal. Si almacena o realiza copias de seguridad de grandes cantidades de datos en ubicaciones remotas, copiar los datos y restaurar el sistema puede llevar mucho tiempo. Existen soluciones técnicas, como la conectividad de alto rendimiento a las ubicaciones de copia de seguridad y la sincronización rápida, que pueden acortar el RTO.

Prevención de pérdida de datos (DLP): una solución técnica que utiliza una variedad de herramientas para identificar y prevenir la corrupción, pérdida o exfiltración de datos, ya sea malintencionada o accidental.

Cortafuegos: controla el tráfico de la red para detectar y bloquear el tráfico malicioso.

Protección de endpoints: software que monitorea la actividad de los puntos finales y ayuda a los equipos de seguridad a responder a las infracciones que ocurren en puntos finales como servidores, computadoras portátiles o dispositivos móviles.

Recuperación de datos de ransomware: soluciones que permiten realizar copias de seguridad seguras que no pueden infectarse con ransomware y pueden utilizarse para recuperarse de ataques exitosos.

Autenticación y autorización: pueden formar parte de una solución de control de acceso e identidad (IAM) más grande y, por lo general, incluirán control de acceso basado en funciones (RBAC).

Cifrado: utiliza claves criptográficas para hacer que los datos no puedan ser utilizados por un atacante, a menos que posea la clave privada. Las soluciones de seguridad de datos suelen utilizar el cifrado como parte de su estrategia de protección de datos.

Eliminación u ofuscación de datos: estrategias para eliminar datos confidenciales por completo, u ofuscarlos reemplazándolos con otros valores o tokens, para reducir el riesgo de una violación de datos. Este es un requisito de las normas de privacidad de datos como el RGPD.

Sobre las tecnologías de protección de datos ¿Qué es Endpoint Security?

Las soluciones de seguridad para endpoints combinan dos capas de seguridad: una plataforma central que brinda visibilidad y control sobre los puntos finales en toda la organización y un agente implementado en endpoints, que envía datos para su análisis y puede realizar acciones en el endpoint, como escaneos de seguridad.

Aquí las principales características proporcionadas por las plataformas de protección de punto final (EPP):

Monitoreo de endpoints: detecta comportamientos anormales y prioriza alertas para ayudar a los analistas a identificar incidentes de seguridad reales.

Detección avanzada de amenazas: puede identificar amenazas complejas o desconocidas, como ataques sin archivos y malware de día cero.

Zona de pruebas de malware: envía el malware sospechoso a un entorno de zona de pruebas seguro y los «detona» para analizar su gravedad.

Integración con SIEM e inteligencia de amenazas: puede combinar datos de alertas de terminales con fuentes de amenazas u otros datos de eventos de seguridad.

Protección contra vulnerabilidades: aplica parches virtuales a los terminales para evitar vulnerabilidades conocidas, sin necesidad de actualizar el dispositivo.

Tecnología de engaño: configuración de «honeypots» que aparecen como objetivos valiosos para los atacantes y pueden registrar las acciones y técnicas de los atacantes.

Respuesta y remediación: la mayoría de las soluciones EPP vienen con tecnología de detección y respuesta de punto final (EDR), que se describe en la siguiente sección.

Tecnología de detección y respuesta de puntos finales (EDR)

Gartner identificó Endpoint Discovery and Response (EDR) como una nueva categoría de herramientas de seguridad en 2013. Las soluciones EDR detectan ataques en dispositivos de punto final y permiten que los equipos de seguridad accedan rápidamente a la información del punto final para investigar el ataque. Sin la tecnología EDR, el personal de seguridad tiene muy poca visibilidad de las amenazas o la actividad maliciosa en los puntos finales remotos.

Además de brindar acceso a la información, una característica importante de EDR es que el personal de seguridad puede responder a los ataques, aislando puntos finales, bloqueando procesos maliciosos o iniciando respuestas automáticas basadas en guías de seguridad.

Tecnología de detección y respuesta extendidas (XDR)

XDR es la próxima generación de soluciones de protección de puntos finales. Es una tecnología que recopila automáticamente información de múltiples capas de seguridad y la correlaciona para identificar amenazas rápidamente.

XDR rastrea amenazas de muchas fuentes diferentes en su organización, proporcionando una estrategia integral de detección y respuesta en puntos finales, servidores, sistemas de correo electrónico, entornos de nube y cargas de trabajo de aplicaciones.

XDR resuelve el problema de los ataques que se esconden entre los silos de seguridad de su organización y pueden pasarse por alto debido a la falta de integración entre herramientas de seguridad separadas. Una solución XDR tiene como objetivo conectar conjuntos de datos de seguridad separados, proporcionando una historia de ataque unificada en todo el entorno de TI. Esto proporciona un beneficio adicional: mejora la productividad de los equipos de seguridad, ya que los ataques se pueden investigar y remediar utilizando una plataforma central.

Tecnología de protección de terminales y redes con UBA

El análisis del comportamiento del usuario (UBA), que luego se convirtió en el análisis del comportamiento del usuario y la entidad (UEBA), es una solución de seguridad que perfila el comportamiento diario de las cuentas de usuario o entidades como servidores, aplicaciones o redes.

UBA/UEBA utiliza la detección de anomalías, basada en técnicas de aprendizaje automático, para comparar el comportamiento actual con el comportamiento normal de la entidad específica y sus pares (por ejemplo, otros usuarios en el mismo departamento). Cuando detecta actividad anormal, alerta a los equipos de seguridad sobre el comportamiento sospechoso.

Una parte importante de los sistemas UEBA modernos es el uso de umbrales para determinar cuándo tratar las anomalías como una amenaza a la seguridad. Por ejemplo, si un usuario siempre comienza a las 8 am y luego un día inicia sesión a las 7 am, esto es raro, pero no lo suficientemente inusual como para investigar. Las herramientas de UEBA miden el grado de anomalía calculando una puntuación de riesgo. Por ejemplo, un evento de inicio de sesión a las 4 o 5 am, combinado con otras características anómalas (ubicación, equipo utilizado, otras actividades, etc.) puede aumentar el riesgo a un nivel suficiente para generar una alerta.

Protección autónoma contra filtraciones de datos con Cynet

Cynet 360 es una plataforma autónoma de protección contra infracciones que funciona en tres niveles y proporciona, EDR,  XDR, Automatización de respuesta y MDR 24/7 en una solución unificada. Cynet integra de forma nativa estos servicios en una plataforma de protección frente a infracciones completamente automatizada y de extremo a extremo.

Protección contra brechas con los servicios de respuesta a incidentes de Cynet:

CyOps, el equipo SWAT cibernético de Cynet, está disponible las 24 horas del día, los 7 días de la semana, los 365 días del año, lo que permite que las empresas de todos los tamaños tengan acceso al mismo personal de seguridad experto que protege a las empresas más grandes. Esto es lo que puede esperar del equipo de respuesta a incidentes de CyOps:

Monitoreo de alertas: gestión continua de alertas entrantes: clasifique, priorice y contacte al cliente tras la validación de la amenaza activa.

Disponibilidad 24/7: operaciones continuas en todo momento, tanto de forma proactiva como bajo demanda según las necesidades específicas del cliente.

Análisis de archivos a pedido: los clientes pueden enviar archivos sospechosos para su análisis directamente desde la consola Cynet 360 y obtener un veredicto inmediato.

A un clic de distancia: los CISO pueden interactuar con CyOps con un solo clic en la aplicación Cynet Dashboard ante la sospecha de una infracción activa.

Instrucciones de remediación: la conclusión de los ataques investigados implica una guía concreta para los clientes sobre qué puntos finales, archivos, usuarios y tráfico de red deben remediarse.

Exclusiones, listas blancas y ajustes: ajuste de los mecanismos de alerta de Cynet 360 al entorno de TI de los clientes para reducir los falsos positivos y aumentar la precisión.

Caza amenaza: busca de amenazas ocultas que aprovechan herramientas de investigación Cynet 360 y más de 30 canales de inteligencia de amenazas.

Investigación de ataques: profundice en los bits y bytes de ataques validados para obtener una comprensión completa del alcance y el impacto, proporcionando al cliente IoC actualizados.

Cynet 360 proporciona capacidades EDR de última generación:

 Detección avanzada de amenazas de endpoints: visibilidad completa y predice cómo podría operar un atacante, en función del monitoreo continuo de los endpoints y el análisis de comportamiento.

Investigación y validación: busca y revisa datos de incidentes actuales o históricos en terminales, investigue amenazas y valide alertas. Esto le permite confirmar la amenaza antes de responder a ella, lo que reduce el tiempo de permanencia y realiza una reparación más rápida.

Implementación y respuesta rápidas: implementa en miles de terminales en dos horas. Luego, puedes usarlo para realizar la reparación automática o manual de las amenazas en los endpoints, interrumpir la actividad maliciosa y minimizar el daño causado por los ataques.

Cynet 360 proporciona las siguientes capacidades XDR:

Protección de endpoints: protección multicapa contra malware, ransomware, exploits y ataques sin archivos.

Protección de red: protección contra ataques de escaneo, MITM, movimiento lateral y exfiltración de datos.

Protección del usuario: reglas de comportamiento preestablecidas junto con perfiles de comportamiento dinámico para detectar anomalías maliciosas.

Engaño: amplia gama de señuelos de red, usuario y archivo para atraer a los atacantes avanzados para que revelen su presencia oculta.

Cynet 360 se puede implementar en miles de terminales en menos de dos horas. Se puede usar de inmediato para descubrir amenazas avanzadas y luego realizar una reparación automática o manual, interrumpir la actividad maliciosa y minimizar el daño causado por los ataques.

Si deseas conocer más acerca de Cynet  de la mano de los especialistas más reconocidos del mercado, contáctanos ahora y un representante Advance estará encantado(a) de brindarte todo el apoyo que necesitas.

En Advance Networks somos una empresa de telecomunicaciones y ciberseguridad con más de 20 años de experiencia en el mercado y tenemos el propósito de acompañar a las empresas en su camino a la transformación digital, proporcionando soluciones a la medida de las necesidades de nuestros clientes.