Existe una relación entre la manera en la que se revela una brecha de seguridad y las pérdidas financieras ocasionadas a las empresas por estas incidencias. Según un nuevo informe de Kaspersky titulado, “Cómo las empresas pueden minimizar el coste de una brecha de seguridad de datos personales”, las pymes que deciden informar a sus stakeholders y al público sobre una infracción pierden de promedio un 40 % menos que las empresas que ven como la incidencia se hace pública mediante una filtración a los medios. La tendencia es similar para las grandes empresas.
El hecho de no informar adecuadamente al público sobre una brecha de seguridad de datos en el momento oportuno puede hacer que las consecuencias financieras y de reputación para la empresa sean más graves. Algunos ejemplos destacados incluyen el de Yahoo!, que se enfrentó a críticas y a una multa por no advertir a sus inversores sobre la brecha de datos que había sufrido, o Uber, que fue multado por intentar ocultar una incidencia similar.
El informe de Kaspersky, basado en una encuesta a más de 5.200 profesionales de la ciberseguridad y de TI de todo el mundo, revela que las empresas que asumen la responsabilidad desde el primer momento suelen conseguir mitigar los daños. Los costes para las pymes que revelan una infracción se estiman en 93.000 dólares, mientras que en los casos en los que la incidencia llega a los medios a través de una filtración los daños alcanzan los 155.000 de dólares. Ocurre lo mismo en las grandes empresas: las que informaron de manera proactiva sobre brechas de seguridad sufrieron un menor impacto financiero (28%) respecto a las que sufrieron una filtración posterior – 1.134.000 frente a 1.583.000 dólares.
De acuerdo con el informe, menos de la mitad (46 %) de las empresas encuestadas revelaron una infracción de forma proactiva. El 30 % de las que habían sufrido un hackeo de datos prefirió no revelarlo, mientras la cuarta parte (24 %) de las empresas intentaron ocultar la incidencia, pero después se encontraron con que la información llegaba a los medios a través de una filtración.
Aunque para las empresas que lograron ocultar la incidencia las pérdidas fueron relativamente pequeñas, este enfoque está lejos de ser idóneo. Estas empresas pueden enfrentarse a daños muy superiores en el más que probable caso de que la información llegue al conocimiento público a través de filtraciones.
La encuesta también revela que los riesgos son especialmente altos para las empresas que no son capaces de detectar el ataque con inmediatez. El 29 % de las pymes que tardaron más de una semana en identificar una brecha de seguridad se encontraron con que la información fue filtrada a la prensa, prácticamente el doble de las que detectaron la brecha de forma inmediata (15 %). En el caso de las grandes empresas, las cifras fueron muy similares: el 32 % y el 19 % respectivamente.
“La revelación proactiva puede ayudar a transformar la situación a favor de la empresa -y esto va más allá del impacto financiero. Si los clientes saben de primera mano qué ha ocurrido, es más probable que sigan confiando en la marca. Por otra parte, la empresa puede ofrecer a sus clientes recomendaciones sobre los próximos pasos a seguir para proteger sus activos. La compañía también puede dar su versión de los hechos, compartiendo información de confianza y veraz con los medios para que las publicaciones no tengan que basarse en datos procedentes de terceros, que podrían representar la situación de manera incorrecta”, comenta Yana Shevchenki, responsable senior de marketing de producto en Kaspersky.
Para mitigar el riesgo de sufrir daños debido a una brecha de seguridad, Kaspersky recomienda a las empresas adoptar las siguientes medidas por adelantado:
- Implementar soluciones EDR tales como Kaspersky Endpoint Detection and Response para la detección, investigación, caza proactiva de amenazas y respuesta rápida ante amenazas empresariales avanzadas en el endpoint. Las empresas más pequeñas con experiencia limitada en ciberseguridad pueden beneficiarse de Kaspersky EDR Optimum, que ofrece capacidades EDR básicas, entre ellas mayor visibilidad de los endpoint, análisis de causa raíz simplificado y una opción de respuesta automatizada.
- Además de protección a nivel de endpoint, las empresas deben implementar una solución de seguridad corporativa que detecte amenazas avanzadas en la red, enriquecida con inteligencia sobre amenazas, tal como Kaspersky Anti Targeted Attack Platform, que ayuda a protegerse de los cibercriminales profesionales que utilizan un enfoque multi-vector y combinan diferentes técnicas en un único ataque planificado.
- Para poder responder en el momento oportuno a un ciberataque, combinar un equipo interno de respuesta a incidencias como primera línea de defensa y escalar las incidencias más complejas a expertos externos.
- Implementar formación sobre ciberseguridad para los empleados para que sepan cómo detectar y qué hacer ante una incidencia de seguridad, para que puedan informar de forma inmediata al departamento de seguridad TI de su empresa.
- Valorar la posibilidad de ofrecer formación específica, tal como Kaspersky Incident Communications. para todos aquellos que tengan la responsabilidad de responder ante una brecha de seguridad, entre ellos los responsables de comunicación y de seguridad de TI.