John Hanley de IBM Security comparte cuatro hallazgos clave del muy aclamado informe anual Costo de una Brecha de Datos 2023.
¿Qué es el Informe de Costo de una Brecha de Datos de IBM?
El Informe de Costo de una Brecha de Datos de IBM es un informe anual que proporciona a las organizaciones información cuantificable sobre el impacto financiero de las brechas. Con estos datos, pueden tomar decisiones basadas en datos sobre cómo implementar la seguridad en su organización.
El informe es realizado por el Instituto Ponemon y patrocinado, analizado y publicado por IBM Security. En 2023, el año 18 en que se publica el informe, se analizaron 553 brechas en 16 países y 17 industrias.
Según Etay Maor, Director Senior de Estrategia de Seguridad en Cato Networks, «suele hablarse mucho sobre problemas y soluciones de seguridad. Este informe le pone números a las amenazas y soluciones y proporciona mucha información para respaldar las afirmaciones de cómo un actor de amenazas, una solución o un proceso lo afecta financieramente».
Hallazgo clave # 1: El costo promedio de una brecha de datos alcanzó un máximo histórico en 2023, pero las inversiones en seguridad en las organizaciones están divididas.
El costo promedio de las brechas de datos ha estado aumentando casi constantemente desde 2017. En 2017, el costo promedio fue «solo» de $ 3.62M. En 2023, alcanzó un máximo histórico de $ 4.45M. En los últimos tres años, los costos promedio de las brechas aumentaron un 15%.
Al profundizar en detalles específicos de la industria, se revela que las brechas más costosas ocurren en salud ($ 10.93M), finanzas ($ 5.9M), farmacéutica ($ 4.82M), energía ($ 4.78M) e industria ($ 4.73M).
El costo promedio de los ataques a la salud es casi el doble que el de la siguiente industria. Esto se debe probablemente a que la superficie de ataque en el sector de la salud es enorme: las organizaciones de salud están altamente enfocadas en los resultados operativos y los priorizan sobre la seguridad, los datos de PHI son muy valiosos para los actores de amenazas y, al estar altamente regulados, las multas regulatorias/punitivas podrían contribuir a costos más altos de los ataques.
Según Maor, «atacar a organizaciones de salud también puede ser un medio para un fin. Un atacante podría robar la información de salud de una víctima y usarla para el fraude de identidad, atacar a un banco o una compañía de seguros, o para otros fines».
Desde una perspectiva geográfica, las brechas más costosas ocurrieron en EE. UU. ($ 9.48M), Oriente Medio ($ 8.07M) y Canadá (($ 5.13M). En la mayoría de los casos, los actores de amenazas persiguen regiones ricas, por lo que la mayoría de los países objetivos tienen un alto PIB.
IBM Security también cruzó el costo promedio y la frecuencia de las brechas (por el vector de ataque inicial). Algunas ideas interesantes incluyen:
El phishing es la forma más común en que los actores de amenazas hackean organizaciones, y también es la segunda brecha más costosa para las organizaciones ($ 4.76M).
Las credenciales robadas o comprometidas también se usan comúnmente y son bastante costosas ($ 4.62M).
Los atacantes internos son un vector de ataque bastante menos común. Sin embargo, son la brecha más costosa ($ 4.9M).
Maor agrega: «Muchos de estos vectores de ataque pueden mitigarse fácilmente con un enfoque de confianza cero. La mayoría de los usuarios no necesitan permisos excesivos como acceso de administrador o acceso a datos de clientes».
Sin embargo, cuando se les preguntó si aumentarían su inversión en seguridad después de una violación, solo el 51% respondió que sí. Para resolver esta brecha, es importante que los profesionales de la seguridad aprovechen los datos, como el informe de IBM Security, para ayudar a cuantificar y comunicar los beneficios de la seguridad a los ejecutivos de alto nivel y al directorio.
De los 51% que dijeron que aumentarían sus gastos en seguridad, el 50% invertiría en planificación y pruebas de respuesta a incidentes, el 46% en capacitación de empleados y el 38% en tecnologías de detección y respuesta de amenazas.
Etay Maor agrega: «La planificación y prueba de respuesta a incidentes son un esfuerzo valioso de seguridad. Hay una gran diferencia entre cómo las empresas imaginan su respuesta en comparación con lo que sucede cuando realmente lo hacen. Tiene que ser practicado. Hacerlo ahorra tiempo y costos».
Hallazgo clave # 2: El uso de un enfoque DevSecOps, el despliegue de equipos de respuesta a incidentes y el uso de automatización de seguridad y IA produjeron grandes ahorros.
IBM Security encontró que el uso de IA y automatización de seguridad tiene un impacto directo en el costo promedio de una brecha de datos. Las organizaciones que invirtieron y desplegaron ampliamente IA y automatización en su ambiente y organizaciones ahorraron en promedio $ 1,76M por brecha en comparación con las organizaciones que no usaron IA y automatización en absoluto. También ahorraron 108 días en tiempo de respuesta a la violación.
Las organizaciones que utilizan altos niveles de un enfoque DevSecOps o planificación y prueba de respuesta a incidentes ahorraron millones de dólares en comparación con las que utilizaron bajo nivel o ninguna:
$ 1,68M ahorrado para organizaciones que usaron un enfoque DevSecOps
$ 1,49M ahorrado para organizaciones con un equipo de respuesta a incidentes y pruebas regulares
Hallazgo clave # 3: Los costos fueron más altos y las brechas tardaron más en contenerse cuando los datos violados se almacenaron en múltiples ambientes.
El 39% de los datos violados se almacenaron en múltiples tipos de ambientes: nubes públicas, privadas, híbridas o incluso locales. Los costos de la violación también fueron más altos para estos datos en $ 750,000.
Además, el tiempo para contener la brecha también fue el más alto para estos datos, alcanzando los 291 días. Esto es 15 días más que el promedio general.
Esto no significa que la nube sea más insegura. Pero es más complicado y es nuevo. Por eso es importante el enfoque DevSecOps y la construcción de seguridad en las primeras fases del desarrollo de la arquitectura.
Hallazgo clave # 4: Detectar la brecha con equipos de seguridad internos e involucrar a las autoridades policiales condujo a ahorros.
Las organizaciones que identificaron la violación por sí mismas pudieron contenerla más rápido que si un tercero benigno o el propio atacante la identificó, 241 días vs. 273 por un tercero y 320 por el atacante.
Los costos promedio también fueron más bajos, $ 4.3M cuando la organización identificó la violación vs. $ 4.68M por un tercero benigno y $ 5.23M por un atacante. Existe una correlación muy ajustada entre la cantidad de tiempo que lleva y la cantidad de dinero que va a costar a la organización.
Cuando las autoridades policiales estuvieron involucradas en la identificación y mitigación, el costo promedio y el tiempo para identificar y contener la brecha se redujeron significativamente. El costo fue de $ 4.64M cuando participaron, en comparación con $ 5.11M cuando no lo hicieron. Además, la violación se contuvo en 276 días en lugar de 306.
Hay otra razón por la que las organizaciones deben involucrar a las autoridades policiales cuando son atacadas. El FBI y otras organizaciones policiales de todo el mundo también tienen el poder de tomar medidas contra estos actores de amenazas, que las empresas y ciudadanos individuales no tienen.
Recomendaciones
En resumen, ¿cuáles son los próximos pasos que todas las organizaciones deben tomar en función de los resultados de este informe? Las principales recomendaciones son:
Construir seguridad en cada etapa del desarrollo de software y hardware y probar regularmente:
Emplear un enfoque DevSecOps
Adoptar principios de diseño seguro por defecto durante la fase de diseño inicial
Aplicar los mismos principios a los entornos de la nube
Realizar pruebas de aplicaciones o pruebas de penetración
Proteger los datos en entornos de nube híbridos:
Obtener visibilidad y control sobre los datos en entornos de nube híbridos
Proteger los datos a medida que se mueven entre bases de datos, aplicaciones y servicios
Utilizar soluciones de monitoreo de actividad de datos
Usar IA y automatización de seguridad para aumentar la velocidad y la precisión:
Insertar IA y automatización en todos los conjuntos de herramientas de seguridad para mejorar la detección, respuesta e investigación de amenazas.
Utilizar tecnologías de AI maduras
Integrar tecnologías de seguridad básicas para flujos de trabajo y conocimientos compartidos, utilizando informes de inteligencia de amenazas para el reconocimiento de patrones y visibilidad de amenazas.
Fortalecer la capacidad de recuperación mediante el conocimiento de su superficie de ataque y la práctica de la respuesta a incidentes:
Comprender la exposición de la industria y la organización a los ataques relevantes
Utilice herramientas ASM o técnicas de simulación de adversarios para una perspectiva informada por el atacante sobre el perfil de riesgo y vulnerabilidades
Establecer un equipo bien versado en los protocolos y herramientas de IR
Desarrollar planes de IR, realizar pruebas regulares y considerar tener un proveedor de IR en retener para una respuesta más rápida a la violación.
