Volver
Formación Ciberseguridad | Cyber security para Empresas | MetaCompliance

Productos

Descubra nuestro conjunto de soluciones personalizadas de formación en concienciación sobre seguridad, diseñadas para capacitar y educar a su equipo frente a las ciberamenazas modernas. Desde la gestión de políticas hasta simulaciones de phishing, nuestra plataforma dota a su plantilla de los conocimientos y habilidades necesarios para proteger su organización.

Cyber security eLearning

Ciberseguridad eLearning Explore nuestra galardonada biblioteca de eLearning, adaptada a cada departamento

Automatización de la concienciación sobre la seguridad

Programe su campaña anual de sensibilización en unos pocos clics

Simulación de suplantación de identidad

Detenga los ataques de phishing en seco con el galardonado software de phishing

Gestión de políticas

Centralice sus políticas en un solo lugar y gestione sin esfuerzo los ciclos de vida de las políticas

Gestión de la privacidad

Controle, supervise y gestione el cumplimiento con facilidad

Gestión de incidentes

Tome el control de los incidentes internos y corrija lo que importa

Volver
Industria

Industrias

Explore la versatilidad de nuestras soluciones en diversos sectores. Desde el dinámico sector tecnológico hasta la sanidad, descubra cómo nuestras soluciones están causando sensación en múltiples sectores. 


Servicios financieros

Crear una primera línea de defensa para las organizaciones de servicios financieros

Gobiernos

Una solución de concienciación sobre seguridad para las administraciones públicas

Empresas

Una solución de formación en sensibilización sobre seguridad para grandes empresas

Trabajadores a distancia

Implantar una cultura de concienciación sobre la seguridad, incluso en casa

Sector educativo

Formación en sensibilización sobre seguridad para el sector educativo

Personal sanitario

Vea nuestra concienciación sobre seguridad a medida para el personal sanitario

Industria tecnológica

Transformación de la formación en sensibilización sobre seguridad en el sector tecnológico

Conformidad con NIS2

Apoye sus requisitos de cumplimiento de Nis2 con iniciativas de concienciación sobre ciberseguridad

Volver
Recursos

Recursos

Desde carteles y políticas hasta guías definitivas y casos prácticos, nuestros recursos gratuitos de concienciación pueden utilizarse para ayudar a mejorar la concienciación sobre ciberseguridad dentro de su organización.

Concienciación sobre ciberseguridad para dummies

Un recurso indispensable para crear una cultura de concienciación cibernética

Guía Dummies de Ciberseguridad Elearning

La guía definitiva para implantar un aprendizaje electrónico eficaz sobre ciberseguridad

Guía definitiva del phishing

Educar a los empleados sobre cómo detectar y prevenir los ataques de phishing

Carteles de sensibilización gratuitos

Descargue estos carteles gratuitos para mejorar la vigilancia de los empleados

Política anti-phishing

Crear una cultura consciente de la seguridad y fomentar la concienciación sobre las amenazas a la ciberseguridad

Estudios de caso

Descubra cómo ayudamos a nuestros clientes a impulsar comportamientos positivos en sus organizaciones.

Terminología de ciberseguridad de la A a la Z

Glosario de términos de ciberseguridad

Modelo de madurez conductual en ciberseguridad

Audite su formación en sensibilización y compare su organización con las mejores prácticas

Cosas gratis

Descargue nuestros recursos de concienciación gratuitos para mejorar la concienciación sobre ciberseguridad en su organización

Volver
MetaCompliance | Formación Ciberseguridad para Empresas

Acerca de

Con más de 18 años de experiencia en el mercado de la Ciberseguridad y el Cumplimiento Normativo, MetaCompliance ofrece una solución innovadora para la concienciación del personal en materia de seguridad de la información y la automatización de la gestión de incidentes. La plataforma MetaCompliance fue creada para satisfacer las necesidades de los clientes de una solución única e integral para gestionar los riesgos de las personas en torno a la Ciberseguridad, la Protección de Datos y el Cumplimiento.

Por qué elegirnos

Sepa por qué Metacompliance es el socio de confianza para la formación en concienciación sobre seguridad

Especialistas en compromiso de los empleados

Facilitamos la participación de los empleados y creamos una cultura de concienciación cibernética

Automatización de la concienciación sobre la seguridad

Automatice fácilmente la formación sobre concienciación en materia de seguridad, phishing y políticas en cuestión de minutos

Liderazgo

Conozca al equipo directivo de MetaCompliance

MetaBlog

Manténgase informado sobre los temas de formación en materia de concienciación cibernética y mitigue el riesgo en su organización.

Cálculo del elevado coste de las violaciones de datos en 2021

Coste de una filtración de datos

sobre el autor

Compartir esta entrada

Cuando hablamos de filtraciones de datos, es habitual referirse únicamente a los "registros" que han quedado expuestos. El problema es que si no se tiene en cuenta el coste de las filtraciones de datos, nos falta contexto. Al fin y al cabo, hay pocas ilustraciones más claras del impacto en el negocio que el impacto en la cuenta de resultados.

En este artículo veremos:

  • Por qué se producen las violaciones de datos.
  • Principales factores que impulsan los costes de las violaciones de datos.
  • Coste medio de una violación de datos.
  • Ejemplos de violaciones de datos en 2020 y 2021.
  • Cuánto han podido costar estas violaciones de datos.
  • Qué puede hacer su organización para mitigar el impacto.

(Si tiene poco tiempo, hay un resumen al final del artículo)

¿Por qué se producen las filtraciones de datos?

Tenemos tres categorías principales de causas de violación de datos: error humano, ataque malicioso y fallos del sistema.

Pero, gracias a un informe de IBM Security sobre los costes de las filtraciones de datos, podemos ver que rara vez la parte tecnológica tiene toda la culpa. No, el 75% de las veces, es la parte física que utiliza la tecnología la que tiene la culpa. Ya sea por un error humano o por algún tipo de ataque malicioso. 

Causas de la violación de datos

Fuente: Informe sobre el coste de las filtraciones de datos en 2020, IBM Security

Si analizamos la categoría de ataques maliciosos con más detenimiento, podemos ver que las configuraciones de la nube poco fiables y las contraseñas débiles pueden llevarse una buena parte de la culpa. Ambas cosas pueden mitigarse con una formación periódica sobre seguridad y una política de seguridad eficaz.

vectores de amenaza de violación de datos

Fuente: Informe sobre el coste de las filtraciones de datos en 2020, IBM Security

La complejidad de los sistemas de seguridad modernos ha provocado sin duda el aumento de los retos a los que se enfrentan los equipos de seguridad. A medida que las diferentes partes de la organización tienen que acceder a más software externo, se abre otro vector de amenazas contra el que hay que protegerse. También es difícil ignorar los ataques de phishing como un vector de amenaza potencial, ya que representan el 14% de las violaciones de datos maliciosas.

Cálculo del coste de las filtraciones de datos

Hay muchos factores a tener en cuenta si queremos intentar calcular cuánto puede costar una violación de datos, pero fundamentalmente podemos desglosarlo en cuatro centros de costes clave:

  • Detección y escalada: es todo lo que una empresa hace para detectar una infracción, como los servicios de auditoría, por ejemplo.
  • Notificación: una vez que una organización se ha dado cuenta de que hay un problema, tiene que comunicarse no sólo con los interesados, sino también con los reguladores, los expertos jurídicos y los asesores normativos.
  • Pérdida de negocio: dependiendo de la naturaleza de la brecha, una organización puede experimentar un tiempo de inactividad que afecte a los ingresos y, a largo plazo, tendrá que hacer frente a los daños de la marca.
  • Respuesta a posteriori: una vez que se ha producido la filtración y se ha notificado a los usuarios afectados, llega la afluencia de consultas, los posibles costes legales, las multas y, tal vez, las ofertas y descuentos para restaurar un poco esa buena voluntad empañada.

Además de estos centros de coste principales, hay algunos factores más que podemos tener en cuenta. Por ejemplo, el coste por registro varía según el país y el sector, siendo los registros sanitarios estadounidenses los más costosos.

Luego está el tipo de datos en sí. La información de identificación personal de los clientes es la más costosa y, con diferencia, el tipo de datos más comprometido. Pero en general, podemos ver que el coste medio por registro de las violaciones de datos pequeñas y grandes asciende a unos desconcertantes 146 dólares.

Coste de las violaciones de datos por tipo

Fuente: Informe sobre el coste de las filtraciones de datos en 2020, IBM Security

Decimos "de pequeño a grande" porque hay otro factor de coste basado en la escala:

La temida "mega brecha".

Cualquier infracción que afecte a más de un millón de registros se define como una megainfracción; representa el peor escenario posible para las organizaciones implicadas. Estas son también las violaciones de las que más se habla, simplemente porque son muy grandes. 

Coste total medio de la violación de datos

Fuente: Informe sobre el coste de las filtraciones de datos en 2020, IBM Security

Al ser tan amplias, también deben analizarse por separado de las infracciones pequeñas y grandes, ya que de lo contrario acabarían sesgando las cifras.

Las recientes violaciones de datos y su coste

Basándonos en las cifras anteriores, podemos estimar el coste de algunas de las violaciones de datos más conocidas para estas empresas.

Sin ningún orden en particular, he aquí un vistazo a algunas de las mayores violaciones de datos que hemos visto en los últimos 12 meses o más, y cuánto han costado.

533 millones - Facebook, 03 de abril de 2021

Coste estimado: 3.700 millones de dólares

Tipo de datos expuestos: números de teléfono, fecha de nacimiento, lugares (incluidos los datos históricos), nombre completo, algunas direcciones de correo electrónico.

A principios de abril de 2021, se supo que se había filtrado la información personal de más de 500 millones de usuarios de Facebook. Facebook se negó a notificar a los usuarios afectados (tal vez como un ejercicio de ahorro de costes, ya que sabemos que la notificación y la respuesta a posteriori son dos de los principales centros de coste) después de que sus datos fueran escarbados mediante la explotación de una vulnerabilidad en una función que ya ha desaparecido. 

250 millones - Microsoft, 22 de enero de 2020

Coste estimado: 1.800 millones de dólares

Tipo de datos expuestos: direcciones de correo electrónico, direcciones IP, registros de chat.

El año 2020 apenas se puso las botas antes de que Microsoft anunciara una importante brecha. Aunque no han dado cifras, se estima que el número de registros expuestos asciende a 250 millones. Esos registros contenían direcciones de correo electrónico y de IP, así como registros de chat entre el personal de soporte y los clientes. Microsoft admitió que esta brecha fue el resultado de una "configuración errónea de una base de datos interna de soporte al cliente".

9 millones - EasyJet, 12 de mayo de 2020

Coste estimado: 50 millones de dólares

Tipo de datos expuestos: tarjetas de crédito y débito

En mayo de 2020, EasyJet anunció que se había "accedido" a 9 millones de registros de clientes en lo que describieron como un "ciberataque altamente sofisticado". Este ataque se produjo en un mal momento para EasyJet, ya que el impacto de la pandemia estaba empezando a hacerse notar y afectaba a los datos de las tarjetas de crédito. Además, hizo que 10.000 personas se unieran a una demanda contra EasyJet. Dependiendo del resultado de este caso, la estimación de 50 millones de dólares puede pasar a los miles de millones, ya que cada una de las víctimas puede tener derecho a 2.500 dólares.

5,2 millones - Marriott, 31 de marzo de 2020

Coste estimado: 50 millones de dólares

Tipo de datos expuestos: nombres, dirección, algunos teléfonos y correos electrónicos

El leviatán hotelero, Marriott, reveló que 5,2 millones de huéspedes habían tenido sus datos expuestos después de que los hackers obtuvieran los datos de acceso de dos empleados. Esto se sumó a una brecha anterior en 2018, cuando una de las filiales de Marriott fue hackeada, revelando millones de números de pasaporte y registros de tarjetas de crédito sin encriptar.  

¿Qué puede hacer su organización para mitigar el impacto?

Es evidente que las organizaciones de todas las formas y tamaños no son completamente inmunes. Ya sea por descuido o con mala intención, cuando hay personas que interactúan con máquinas, siempre habrá puntos débiles.

También tendrás gente dispuesta y capaz de explotar esos puntos débiles. 

Sin embargo, no todo es pesimismo, porque hay muchas cosas que su organización puede empezar a hacer de inmediato para reducir la probabilidad de una violación de datos.

Factores de coste de la violación de datos

Fuente: Informe sobre el coste de las filtraciones de datos en 2020, IBM Security

  • Pruebas de respuesta a incidentes: Saber qué hacer cuando ocurre lo peor puede ahorrarle a su organización más de 230.000 dólares. Las herramientas de gestión de incid entes le ayudan a reunir todas las piezas en movimiento, ofreciéndole una visión general del ciclo de vida de un incidente cuando éste se produce. Pero también es vital que ponga todo eso a prueba con ataques simulados. No sólo el equipo de TI debe participar en las pruebas. Todo el mundo, desde el personal de ventas hasta el de soporte, debe participar. Especialmente con la naturaleza en constante evolución de amenazas como el phishing y el ransomware. El 96% de las violaciones de datos se originan en el correo electrónico, pero la realización de ataques de phishing sim ulados para preparar a su equipo no tiene por qué ser costosa ni requerir mucho tiempo.

  • Formación en materia de seguridad: El aumento del trabajo a distancia ha añadido otra capa de vulnerabilidad, ya que los empleados utilizan dispositivos y conexiones potencialmente inseguros para acceder a datos sensibles. Por eso, ahora más que nunca, la formación en ciberseguridad de los empleados tiene el potencial de reducir los riesgos (y los costes potenciales) de las violaciones de datos.

  • Encriptación exhaustiva: Muchas filtraciones de datos de alto perfil han implicado casos en los que los datos sensibles se han almacenado en archivos sin cifrar, con contraseñas y datos de tarjetas de crédito a veces simplemente sentados allí, sin esconder, en texto plano. El despliegue de la encriptación en toda la empresa puede tener un gran impacto, pero sigue dependiendo de que sus empleados estén al día. Lo que nos lleva a la siguiente solución.

  • Gestión de políticas: Para que soluciones como la encriptación funcionen, es necesario contar con una política de ciberseguridad eficaz y, lo que es aún más importante, asegurarse de que todo el mundo sabe lo que debe hacer. Los enfoques tradicionales de la gestión de políticas suelen implicar que RRHH tenga que perseguir a los miembros del equipo, enviando correos electrónicos cada vez más airados preguntando si han leído y entendido la nueva política de ciberseguridad. Y, si dicho miembro del equipo la ha leído, ¿puede firmarla y devolverla? ¿Por favor? En lugar de ello, al desplegar una plataforma de gestión de políticas de ciberseguridad, su organización puede detectar lagunas en los conocimientos del personal y deficiencias en las políticas, y mantener los costes de las violaciones de datos al mínimo.

TL;DR

  • Pueden ser muy costosas: en todo el mundo, las violaciones de datos cuestan a las organizaciones una media de 2,8 millones de libras esterlinas por violación.
  • Lamayoría de las violaciones de datos son maliciosas: más de la mitad de las violaciones de datos son el resultado de algún tipo de actividad maliciosa.
  • Como siempre ha dicho mamá, "la preparación y la planificación previas evitan un mal funcionamiento": Contar con un equipo de respuesta a incidentes, poner a prueba el plan de respuesta a incidentes, utilizar la encriptación y educar a los usuarios son algunos de los aspectos que más influyen.

Cyber Security Awareness para Dummies

Cyber Security Awareness Training – Otros artículos que podría encontrar interesantes