Costo de una Brecha de Seguridad

La verdad tenía planeado hacer este articulo hace varios días, pero por diferentes motivos de trabajo y videos y otros artículos para el blog pues lo tenía atrasado.

Esta vez les voy a hablar del reporte de IBM llamado “Cost of a data breach” o traducido al español seria costo de una brecha de datos. El reporte es un estudio anual que examina y analiza el impacto financiero de las brechas de seguridad en las organizaciones, está basado en la investigación de múltiples incidentes a nivel mundial y proporciona una visión detallada sobre los costos asociados a estos incidentes, el reporte incluye el análisis de factores como:

• Causas de las brechas
• Tiempo de respuesta
• Medidas de mitigación
• Sectores más afectados

El objetivo del reporte es ayudar a comprender mejor las implicaciones económicas de una brecha de seguridad y a mejorar sus estrategias de ciberseguridad para minimizar riesgos y pérdidas.

Yo personalmente uso mucho el reporte a la hora de mostrar a mis jefes los efectos que una vulnerabilidad o amenaza podria tener en la empresa.

Por qué lo uso

Porque resulta que a los jefes que están de niveles de director hacia arriba lo único que les interesa (bueno no lo único, pero si casi lo más importante) es el impacto monetario que la amenaza o vulnerabilidad tiene sobre la empresa si es explotada.

Para que lo uso

Si se lee el informe con detenimiento, se encuentran claves de como expresar los riesgos, no solo en $$ (billetes), pero también en cómo se invierten (gasta) para responder a un incidente, por ejemplo, una situación de ranwomware, en este caso no solo se debe incluir el pago a los cibercriminales, también se debe incluir cuanto se debe gastar en el manejo de la crisis, el costo de los abogados, la perdida de negocios, impacto sobre la reputación de la empresa, etc. Todas estas palabras, que usualmente no se nos ocurren a la hora de escribir los reportes o el impacto de una vulnerabilidad, son de las que más les ayudan a que un jefe de alto nivel comprenda la situación, así que este reporte en cierta manera ayuda a la hora de escribir los reportes.

El reporte también es una gran guía para saber cuánto cuesta un incidente de seguridad, o al menos yo lo uso para eso.

En ciber inteligencia de amenazas también lo uso para sacar pistas que ayuden a tomar decisiones, entonces, después de leer el reporte escribo un mini reporte, que se le distribuye al “stake holder” donde se indica como puede tomar ciertas decisiones, por ejemplo, en donde invertir dinero de manera más eficiente.

Lo más importante del reporte de este año 2023

• El costo promedio mundial de una brecha de seguridad es de $4.45 Millones de dólares, esto es un incremento del 15% con respecto a los costos del 2020
• El costo promedio mundial por registro es de $165 dólares.
• El 82% de los incidentes involucran datos almacenados en la nube. Ósea, un lugar para poner atención, asegurar y así minimizar un poco el riesgo.
• Uno de cada tres incidentes ha sido detectado internamente. Ósea, es bueno tener amigos y una red que nos ayude a cubrir las otras dos terceras partes, así la detección será manera más rápida, o por lo menos no será por las noticias.
• Si una brecha se descubre porque el atacante publico esta brecha, el costo de la brecha se incrementa en $1 Millón de dólares.
• La complejidad del sistema de seguridad, el no cumplimiento de las regulaciones y la falta de talento de seguridad son factores que aumentan el precio del incidente, entre los tres el incremento es de $600 mil dólares.
• Los factores que más reducen el costo de una brecha de seguridad son inversión en DevSecOps (invertir en que la seguridad inicie desde las fases iniciales de los productos, giro a la izquierda), capacitación de los empleados (programa de concienciación de seguridad), tener un equipo preparado y entrenado para respuesta a incidentes, tener automatización en las tareas de seguridad; el solo factor del equipo a respuesta de incidentes puede disminuir el costo en más de 1 Millón de dólares.
• Según el reporte las inversiones en seguridad que más réditos dan por el costo beneficio son, DevSecOps, respuesta a incidentes, programa de capacitación a empleados

Como lo uso yo

Primero, para escribir un reporte a mis jefes, indicando cuales son las principales amenazas y en donde es mas eficiente invertir el dinero.

Segundo, la función más importante desde el punto de vista de mi trabajo diario, como guía a la hora de evaluar amenazas y mostrar los efectos de las amenazas contra la empresa.

La metodología de uso es la siguiente:

1. Cuando tengo tiempo y el reporte sale, lo leo y tomo notas para hacer un mapa mental (Dios o la deidad superior bendiga al creador de los mapas mentales), el cual divido en Información General, costos, factores importantes e inversiones, y a medida que voy leyendo voy llenando el mapa mental, obviamiente poniendo mas atencion a la zona geografica que afecta a mi empresa y el sector.
2. Cuando estoy evaluando amenazas y me toca escribir las consecuencias que la empresa afrontaría si enfrentamos esa amenaza, entonces abro mi mapa mental y busco el costo dependiendo de las características de la amenaza. Por ejemplo, vector inicial de compromiso, sector de la empresa, por número de registros comprometidos u otro factor.
3. Si la amenaza no cuadra en la información que tengo, entonces uso el promedio mundial, en este caso el valor global este ano es 4.45 Millones de dólares.
4. Si la amenaza cuadra en varios lugares puede tomar el enfoque fácil, buscar el valor más directo, pero si lo que quiere es hacer ver las cosas más grandes pues busque el valor más grande.

Finalmente, cuando escriban el reporte no olviden decir que el valor es estimado, que es el promedio basado en que criterio, por ejemplo, vector inicial y al lado del valor pongan el asterisco (*), para indicar que el valor no se lo sacaron del asterisco sino de un reporte que IBM hace anualmente, así su jefe ya le dará más credibilidad a la cifra.

Aquí abajo les dejo el mapa mental que hice del reporte de este año.

Una cosa más para entenderlo

• Menor valor de la brecha de seguridad, jefes más contentos.
• Mayor valor de la brecha de seguridad que le evitamos a la empresa (valor ahorrado a la empresa por amenaza detectada), jefes más contentos.
• Menor número de días entre detección y contención, menor valor de la brecha.

Posdata

El reporte de IBM es gratis, aqui un link al lugar donde se puede descargar.