El costo promedio en el que incurre una compañía grande luego de un ciberataque es de 640.000 dólares, según la encuesta de 2013 de riesgos de seguridad de la TI corporativa internacional realizada por B2B International en conjunto con Kaspersky Lab.
Los costos varían ampliamente dependiendo de dónde ocurra el incidente
Sunrise, FL - noviembre de 2013 - El costo promedio en el que incurre una compañía grande luego de un ciberataque es de 640.000 dólares, según la encuesta de 2013 de riesgos de seguridad de la TI corporativa internacional realizada por B2B International en conjunto con Kaspersky Lab.
Cualquier ciberataque puede causar daños a una compañía, pero ¿cómo se pueden cuantificar esos daños en términos financieros? En 2013, los expertos de B2B International calcularon los daños provocados por ciberataques tomando como base los resultados de una encuesta realizada a compañías de todo el mundo.
Para obtener el panorama más preciso de los costos, B2B incluyó solo incidentes que hubieran ocurrido en los 12 meses previos. La evaluación se basó en información sobre las pérdidas sufridas como resultado directo de los incidentes de seguridad. Esta constó de dos componentes principales:
Los daños resultantes del propio incidente, a saber, las pérdidas derivadas de la fuga de datos críticos, la continuidad del negocio y los costos asociados con la contratación de especialistas para la reparación del incidente;
Los costos de "respuesta" no planeados requeridos para prevenir futuros ataques similares, que incluyen la contratación y capacitación de personal y la actualización de la infraestructura de hardware, software y de otro tipo.
Los investigadores no incorporaron datos sobre algunas pérdidas y gastos en los que incurrieron un número comparativamente pequeño de compañías encuestadas, como los costos derivados de la necesidad de divulgar una declaración pública sobre el incidente.
Estructura de los costos
Tras reducir las cifras, parecería que la parte del león en las pérdidas es producto del incidente en sí: las oportunidades y ganancias perdidas, así como los pagos a terceros especialistas en reparación, ascienden promedialmente a 566.000 dólares. Los gastos de "respuesta" por contratar y capacitar personal, así como por actualizar la infraestructura de hardware y software, representan un agregado promedio de 83.000 dólares. Por otro lado, los daños pueden variar según la región en que opere la compañía atacada. Por ejemplo, los daños mayores estuvieron asociados con incidentes que involucraron a compañías que operan en América del Norte: un promedio de 818.000 dólares. La suma fue ligeramente más baja en América del Sur, donde se situó en 813.000 dólares. En Europa occidental, las pérdidas generadas por ciberataques ascendieron a 627.000 dólares, cifra menor, pero igualmente importante.
Costos de pequeñas y medianas empresas
Los costos de un ciberataque contra pequeñas y medianas empresas (PYMES) son más bajos que los de las grandes empresas. No obstante, teniendo en cuenta el tamaño más pequeño de estas compañías, las sumas igual representan un golpe significativo. En promedio, las pérdidas generadas por incidentes de seguridad de TI en empresas medianas fueron de aproximadamente 50.000 dólares, de los cuales aproximadamente 36.000 corresponden al incidente en sí, mientras que los restantes 14.000 corresponden a otros gastos asociados. Las mayores pérdidas promedio por ciberataques en las pequeñas y medianas empresas fueron de 96.000 dólares en compañías de la región de Asia-Pacífico. El segundo lugar fue ocupado por las compañías de América del Norte, con un promedio de pérdidas de 82.000 dólares. Las pérdidas más bajas generadas por ciberataques se registraron en Rusia, con un promedio de 21.000 dólares.
La encuesta también reveló que en algunos casos, las pérdidas financieras en las que incurrieron pequeñas empresas estuvieron acompañadas de otras pérdidas que equivalen aproximadamente al 5 % de los ingresos anuales. Hubo una compañía que perdió todo su negocio en una región donde había sido exitosa antes del incidente.
Protección adecuada
Una importante lección que hay que sacar de este estudio es que incluso el más destructivo y costoso de los ataques podría haberse prevenido. Los ataques aprovecharon agujeros en la seguridad corporativa que se podrían haber corregido si solo las empresas atacadas hubieran usado soluciones de seguridad de TI de calidad y hubieran administrado la infraestructura de TI adecuadamente.
Kaspersky Endpoint Security for Business ofrece protección eficaz contra todo tipo de amenazas cibernéticas, incluidos los ataques selectivos. También permite controles claves, como la gestión automática de correcciones y el escaneo de vulnerabilidades, capaces de asegurar actualizaciones periódicas y consistentes en los endpoints corporativos, además de la integración segura de los dispositivos móviles a la red empresarial.
En forma característica, las compañías que han sido presa de ciberataques solo llegan a entender la importancia y valor de estas soluciones luego de que ocurre un incidente, con los costos adicionales y evitables que este supone. Una simple comparación de la magnitud de los gastos con respecto a los costos y daños causados por un ciberataque muestra que, en la abrumadora mayoría de los casos, la inversión en seguridad de TI eficaz y de calidad hubiera sido considerablemente menor que los costos generados tras una violación de seguridad.
Acerca de Kaspersky Lab
Kaspersky Lab es el proveedor privado más grande del mundo de soluciones de protección para endpoints. La compañía está clasificada entre los cuatro principales proveedores de soluciones de seguridad para los usuarios de endpoints*. Durante sus ya más de 16 años de historia, Kaspersky Lab continúa siendo una compañía innovadora en la seguridad informática y ofrece soluciones efectivas en seguridad digital para las grandes compañías, pequeñas y medianas empresas y consumidores. Kaspersky Lab, a través de su compañía de holding registrada en el Reino Unido, opera actualmente en casi 200 países y territorios en todo el mundo, ofreciendo protección para más de 300 millones de usuarios a nivel global. Para obtener mayor información, visite http://latam.kaspersky.com.
*La compañía logró el cuarto lugar en la clasificación IDC de los Ingresos por Seguridad de Endpoints en el Mundo por Proveedor, 2012. La clasificación fue publicada en el reporte IDC del "Pronóstico Mundial de Endpoint Security 2013-2017 y Acciones de Proveedores 2012" - (IDC #242618, agosto de 2013). El reporte calificó a los proveedores de software según sus ganancias por las ventas de soluciones de seguridad de endpoint en 2012.
