Una encuesta mundial a más de 5,500 compañías en 26 países, incluyendo Brasil, Colombia y México, realizada por Kaspersky Lab en cooperación con B2B International en el 2015, mostró que los tipos más caros de violaciones de seguridad son el fraude de empleados, el ciberespionaje, la intrusión en la red y el incumplimiento de proveedores.
El presupuesto promedio que se requiere para recuperarse de un fallo de seguridad es de $ 551.000 dólares para las corporaciones y de $ 38.000 para las PyMEs.
Una violación grave en los sistemas de seguridad informática conduce a muchos problemas de negocios. Siendo un daño tan diverso, es difícil que las víctimas puedan estimar el costo total de una violación de seguridad. Los métodos utilizados para esta encuesta dependieron de los datos de años previos para puntualizar las áreas donde las compañías tenían que gastar recursos después de una violación de seguridad, o la pérdida de dinero como resultado de tal violación.
Por lo regular, los negocios tienen que gastar en servicios profesionales (como personal externo experto en informática, abogados, consultores, etc.), y ganan menos dinero debido a la pérdida de oportunidades de negocio e inactividad.
Brian Burke, jefe del equipo de Inteligencia de Mercado en Kaspersky Lab comentó que no se han visto muchos reportes acerca de las consecuencias de las violaciones de seguridad informática que estimen una pérdida en dinero real.
“Es difícil encontrar un método confiable para obtener un promedio, pero comprendemos que tenemos que hacerlo para salvar la brecha entre el entorno de las amenazas corporativas y la práctica del negocio. Como resultado, tenemos una lista de las amenazas corporativas que provocaron el daño más significativo, a las que creemos que los negocios les deben prestar más atención“.
La probabilidad de cada consecuencia por separado también varía y se tiene que tomar en cuenta esto, junto con el tamaño de la compañía. Se utilizó un método similar para estimar el gasto indirecto: el presupuesto que los negocios asignan después de la recuperación, pero que sigue estando conectado a la violación de seguridad.
De esta manera, además de las cifras antes mencionadas, los negocios pagan desde $ 8.000 (PyMEs) hasta $ 69,000 (corporaciones) en contratación de personal, capacitación y actualizaciones de infraestructura.
Nueve de cada diez compañías que tomaron parte en la encuesta reportaron al menos un incidente de seguridad. Sin embargo, no todos los incidentes fueron graves y/o condujeron a la pérdida de datos importantes. Lo más frecuente en un fallo de seguridad grave es el resultado de un ataque con malware, phishing, fugas de datos por empleados y software vulnerable explotado.
La estimación de costos ofrece una nueva visión de la severidad de los incidentes de seguridad informática y la perspectiva para las PyMEs y las corporaciones es ligeramente diferente.
Las grandes empresas pagan significativamente más cuando la violación de seguridad fue el resultado de una falla de un proveedor de confianza. Otros tipos caros de violaciones de seguridad incluyen el fraude cometido por los empleados, el ciberespionaje y una intrusión a la red. Las PyMEs normalmente pierden una cantidad significativa de dinero en casi todos los tipos de violaciones de seguridad, y pagan un alto precio similar para recuperarse de los actos de espionaje así como de ataques de phishing y DDoS.