Informe mundial 2014 sobre el costo

del crimen cibernético

Patrocinado por HP Enterprise Security

Realizado en forma independiente por el Ponemon Institute LLC
Fecha de publicación: noviembre de 2014

©
Informe de investigación del Ponemon Institute
 Informe mundial 2014 sobre el costo del crimen cibernético
Estudio comparativo de empresas mundiales
Ponemon Institute Octubre de 2014

Parte 1. Resumen ejecutivo

Nos complace presentar el Informe mundial 2014 sobre el costo del crimen cibernético. Patrocinado por HP
Enterprise Security, el estudio de este año se basa en una muestra representativa de 257 organizaciones
en diversos sectores.
El estudio Costo del crimen cibernético fue realizado por primera vez por el Ponemon Institute en los
Estados Unidos hace cinco años. Este es el tercer año que realizamos el estudio en el Reino Unido,
Alemania, Australia y Japón. El año pasado ampliamos la investigación a Francia y este año agregamos la
Federación Rusa. Los hallazgos de los 7 países se presentan en informes separados.
Durante el período en el que realizamos
entrevistas y analizamos los hallazgos, Resumen del estudio mundial
tuvieron lugar megacrímenes cibernéticos. El
más destacado fue la violación cibernética 257 empresas en 7 países
de Target que, según se informó, originó el 2.081 entrevistas con personal de empresas en
robo de 40 millones de tarjetas de pago. EE. UU.
1.717 ataques totales utilizados para medir el
Más recientemente, hackers chinos lanzaron costo total
un ciberataque contra el Consejo Nacional
de Investigación de Canadá, así como USD 7,6 millones es el costo anualizado promedio
también contra entidades comerciales en 10,4 por ciento de aumento neto en el último año
Pensilvania, que incluyeron a Westinghouse 15 por ciento de ROI promedio para 7 tecnologías
Electric Company, U.S. Steel y el sindicato de seguridad
de trabajadores metalúrgicos. Hackers rusos
recientemente robaron la colección más
grande de credenciales de Internet de todos
los tiempos. 1,2 mil millones de nombres de usuario y contraseñas, además de 500 millones de direcciones
de correo electrónico. Si bien las empresas representadas en esta investigación no tuvieron ciberataques
tan devastadores como estos, sí experimentaron incidentes que fueron costosos de resolver e
interrumpieron sus operaciones.
A los fines de este estudio, definimos los ciberataques como actividades delictivas cometidas a través de
Internet. Estos ataques pueden incluir robar la propiedad intelectual de una organización, confiscar cuentas
bancarias en línea, crear y distribuir virus en otros equipos, publicar información comercial confidencial en
Internet y afectar la infraestructura nacional crítica de un país.
Nuestro objetivo consiste en cuantificar el impacto económico de los ciberataques y observar las tendencias
de costos en el transcurso del tiempo. Creemos que una mejor comprensión del costo de los crímenes
cibernéticos ayudará a las organizaciones a determinar el monto de inversión apropiado y los recursos
necesarios para evitar o mitigar las consecuencias de un ataque.
En nuestra experiencia, un enfoque de encuesta tradicional no captura los detalles necesarios requeridos
para extrapolar los costos de los crímenes cibernéticos. Por lo tanto, realizamos una investigación basada
en campo que involucra a personal de nivel superior sobre los incidentes de crímenes cibernéticos reales
en sus organizaciones. Se requieren aproximadamente 10 meses de esfuerzo para reclutar a las empresas,
crear un modelo de costo basado en la actividad para analizar los datos, reunir información fuente y
completar el análisis.
Por motivos de uniformidad, nuestra muestra comparativa consta solo de grandes empresas (es decir, con
1
más de 1000 puestos de trabajo ). El estudio examina los costos totales en los que incurren las
organizaciones cuando responden a los incidentes de crímenes cibernéticos. Estos incluyen los costos para
detectar, recuperar, investigar y administrar la respuesta al incidente. También se cubren los costos que
derivan en actividades y esfuerzos después del hecho para contener los costos adicionales de las
interrupciones en la empresa y la pérdida de clientes. Estos costos no incluyen los numerosos gastos e
inversiones efectuados para mantener la posición de seguridad o el cumplimiento de las normas, políticas y
regulaciones de una organización.

1
Los puestos de trabajo hacen referencia a la cantidad de conexiones directas a la red y los sistemas empresariales.

©
Informe de investigación del Ponemon Institute Página 1
Resumen mundial

El estudio de este año se llevó a cabo en los Estados Unidos, el Reino Unido, Alemania, Australia, Japón,
Francia y, por primera vez, la Federación Rusa, con una muestra comparativa total de 257 organizaciones.
Los resultados específicos de los países se presentan en siete informes separados.

La Figura 1 presenta el costo promedio estimado del crimen cibernético para siete muestras de países que
involucran a 257 empresas independientes, en comparación con los promedios de países del año pasado.
2
A los fines comparativos, las cifras de costos se convierten a dólares estadounidenses.

Como se muestra, existe una variación significativa en los costos totales de crímenes cibernéticos entre las
empresas participantes en las muestras comparativas. La muestra de los EE. UU. informa el costo
promedio total más alto, USD 12,7 millones, y la muestra rusa informa el costo promedio total más bajo en
USD 3,3 millones. También es interesante señalar que los seis países experimentaron un aumento neto en
el costo del crimen cibernético durante el año pasado, que osciló entre el 2,7 por ciento para Japón y el
22,7 por ciento para el Reino Unido. El cambio porcentual neto entre los años fiscales 2014 y 2013 (sin
incluir Rusia) es del 10,4 por ciento.

Figura 1. Costo total del crimen cibernético en siete países

Costo expresado en dólares estadounidenses (000.000), n = 257 empresas independientes

USD 11,56
United Unidos
Estados States
USD 12,69

USD 7,56
Alemania
Germany
USD 8,13

Japón USD 6,73

Japan
USD 6,91

Francia USD 5,19

France
USD 6,38

Reino Unido USD 4,72

United Kingdom
USD 5,93

Australia USD 3,67

Australia
USD 3,99

Rusia*
Russia*
USD 3,33

USD-
$- USD 2,00
$2,00 USD 4,00
$4,00 USD 6,00
$6,00 USD
$8,008,00 USD 10,00 $12,00
$10,00 USD 12,00 $14,00
USD 14,00

*No se reunieron los resultados del FY 2013 para Rusia

FY 2013 (n=235) FY 2014 (n=257)

2
Tasas de conversión cambiaria del 1 de agosto de 2014 de The Wall Street Journal.

©
Informe de investigación del Ponemon Institute Página 2
Resumen de hallazgos mundiales

A continuación se presentan los hallazgos más destacados de una muestra de 257 organizaciones, que
requirieron 2081 entrevistas independientes para reunir los resultados de los costos de los crímenes
cibernéticos. En varios lugares de este informe, comparamos los hallazgos actuales con el promedio de los
estudios comparativos del año pasado.

Los crímenes cibernéticos continúan aumentando para las organizaciones. Determinamos que el
costo anualizado medio para 257 organizaciones comparadas es de USD 7,6 millones por año, con un
rango de entre USD 0,5 millones y USD 61 millones por empresa cada año. El costo medio del año pasado
para 235 empresas comparadas fue de USD 7,2 millones. Observamos un cambio porcentual neto del 10,4
con respecto al año pasado (sin incluir la muestra rusa).

El costo del crimen cibernético varía según el tamaño de la organización. Los resultados revelan una
3
relación positiva entre el tamaño de la organización (medida por puestos de trabajo) y el costo anualizado.
Sin embargo, sobre la base de los puestos de trabajo, determinamos que las organizaciones pequeñas
incurren en un costo per cápita considerablemente más alto que las organizaciones más grandes (USD
1601 frente a USD 437).

Todos los sectores son víctimas del crimen cibernético, pero en diferentes medidas. El costo
anualizado promedio del crimen cibernético parece variar por segmento del sector: las organizaciones de
energía y servicios básicos y de servicios financieros experimentan costos de crímenes cibernéticos
sustancialmente más altos que las organizaciones de medios de comunicación, ciencias biológicas y el
sector salud.

Los crímenes cibernéticos más costosos son aquellos causados por personal interno
malintencionado, denegación de servicios y ataques basados en la Web. Estos crímenes representan
más del 55 por ciento de todos los costos de crímenes cibernéticos por organización en forma anual. La
mitigación de dichos ataques requiere la adopción de tecnologías como SIEM, sistemas de prevención de
intrusiones, soluciones de pruebas de seguridad de aplicaciones y soluciones GRC empresariales.

Los ataques cibernéticos pueden ser costosos si no se resuelven con rapidez. Los resultados
muestran una relación positiva entre el tiempo para contener un ataque y el costo para la organización. Se
debe tener presente que la resolución no implica necesariamente que el ataque se haya detenido por
completo. Por ejemplo, algunos ataques permanecen silenciosos y no detectados (como los ataques típicos
de hoy en día).

El tiempo promedio para contener un ciberataque fue de 31 días, con un costo promedio para las
organizaciones participantes de USD 639.462 durante este período de 31 días. Esto representa un aumento
del 23 por ciento con respecto al costo promedio estimado del año pasado de USD 509.665, que se basó
en un período de corrección de 27 días. Los resultados demuestran que los ataques de personal interno
malintencionado pueden llevar más de 58 días en promedio para contenerse.

Las interrupciones para la empresa representan el costo externo más alto, seguido de los costos
4
asociados con la pérdida de información. En forma anualizada, las interrupciones para la empresa
representan el 38 por ciento de los costos externos totales, que incluyen costos asociados con fallas en los
procesos de negocios y pérdida de productividad de los empleados.

La detección es la actividad interna más costosa seguida de la recuperación. En forma anualizada, los
costos de detección y recuperación combinados representan el 53 por ciento del costo de la actividad total
interna con desembolsos de caja y mano de obra directa que representan la mayor parte de estos costos.

Las actividades relacionadas con la seguridad de TI en la capa de red reciben la asignación

presupuestaria más alta. Por el contrario, la capa de host recibe el nivel de financiación más bajo.

3
En este estudio, definimos un puesto de trabajo como una identidad/dispositivo de usuario final conectado a las redes
básicas o sistemas empresariales de una compañía.
4
En el contexto de este estudio, un costo externo es aquel creado por factores externos como multas, litigios,
comerciabilidad de propiedades intelectuales robadas y mucho más.

©
Informe de investigación del Ponemon Institute Página 3
La implementación de sistemas de inteligencia de seguridad marca la diferencia. El costo del crimen
cibernético se ve moderado por el uso de sistemas de inteligencia de seguridad (que incluyen SIEM). Los
hallazgos sugieren que las empresas que utilizan tecnologías de inteligencia de seguridad fueron más
eficientes en la detección y contención de ciberataques. En consecuencia, estas empresas disfrutaron de
un ahorro de costos promedio de USD 2,6 millones en comparación con empresas que no implementaron
tecnologías de inteligencia de seguridad.

Una posición de seguridad sólida modera el costo de los ciberataques. Utilizamos la métrica
patentada del Ponemon Institute, llamada índice Security Effectiveness Score (SES) para definir la
5
capacidad de una organización para lograr objetivos de seguridad razonables. Cuanto mayor es el SES,
más eficaz es la organización en el logro de sus objetivos de seguridad. El costo promedio para mitigar un
ciberataque para las organizaciones con un SES alto es sustancialmente menor que las organizaciones con
un puntaje SES bajo.

Las empresas que implementan sistemas de inteligencia de seguridad experimentaron un ROI

sustancialmente más alto (23 por ciento) que todas las demás categorías de tecnología presentadas.
También son significativos los resultados de ROI estimados para las empresas que implementaron
ampliamente tecnologías de cifrado (20 por ciento) y controles de perímetro avanzados, como UTM,
NGFW, IPS con información sobre reputación (19 por ciento).

La implementación de prácticas de administración de seguridad empresarial modera el costo del

crimen cibernético. Los hallazgos demuestran que las empresas que invierten en recursos adecuados,
designan a un líder de seguridad de alto nivel y emplean personal certificado o experto tienen costos de
crímenes cibernéticos más bajos que las empresas que no han implementado estas prácticas. Este llamado
"ahorro de costos" para las empresas que implementan buenas prácticas de administración de seguridad se
estima en USD 1,3 millones para emplear personal experto y USD 1,1 millones para lograr la certificación
con respecto a estándares líderes del sector.

5
El Security Effectiveness Score ha sido desarrollado por PGP Corporation y el Ponemon Institute en su encuesta anual
de tendencias de cifrado para definir la posición de seguridad de las organizaciones encuestadas. El SES se obtiene a
partir de la calificación de 24 recursos o prácticas de seguridad. Este método ha sido validado a partir de más de 30
estudios independientes realizados desde junio de 2005. El SES ofrece un rango de +2 (más favorable) a -2 (menos
favorable). Por lo tanto, un resultado mayor que cero se considera como un neto favorable.

©
Informe de investigación del Ponemon Institute Página 4
Parte 2. Hallazgos principales

En esta sección, brindamos un análisis de los hallazgos principales organizados de acuerdo con los
siguientes temas:

 El costo promedio del crimen cibernético por tamaño de la organización y sector

 El tipo de ataque influye en el costo del crimen cibernético
 Un análisis de los componentes del costo del crimen cibernético

El costo promedio del crimen cibernético por tamaño de la organización y sector

Para determinar el costo promedio del crimen cibernético, se solicitó a las 257 organizaciones del estudio
que informaran lo que gastaron para lidiar con los crímenes cibernéticos experimentados durante cuatro
semanas consecutivas. Una vez compilados y validados los costos durante el período de cuatro semanas,
6
estas cifras se redondearon para determinar el costo anualizado.

Como se muestra en la Figura 2, el costo anualizado total del crimen cibernético en 2014 oscila entre un
mínimo de USD 0,56 millones y un máximo de USD 60,5 millones. El costo anualizado medio del crimen
cibernético en la muestra comparativa es de USD 6,0 millones, es decir, un aumento con respecto al valor
promedio del año pasado de USD 5,5. El valor medio es de USD 7,6 millones. Este es un aumento de USD
357.761 desde el promedio del año pasado de USD 7,2 millones. Se debe tener en cuenta que el cambio
porcentual neto con relación al promedio del año pasado para seis países es del 10,4 por ciento.

Figura 2. El costo del crimen cibernético

Vista consolidada, n = 257 empresas independientes
Costo expresado en dólares estadounidenses

USD 58.095.571
Maximum
Máximo
USD 60.525.947

USD 7.217.030
Mean
Promedio
USD 7.574.791

USD 5.479.234
Mediana
Median
USD 6.021.893

USD 373.387
Mínimo
Minimum
USD 567.316

$-
USD- $15.000.000
USD 15.000.000 $30.000.000
USD 30.000.000 $45.000.000
USD 45.000.000 $60.000.000
USD 60.000.000 $75.000.000
USD 75.000.000

FY 2013 FY2014

6
A continuación se presenta la estadística redondeada: Ingreso anualizado = [estimación del costo]/[4/52 semanas].

©
Informe de investigación del Ponemon Institute Página 5
 La Figura 3 informa la distribución del costo total anualizado para 257 empresas. Como puede verse, 86
empresas en nuestra muestra incurrieron en costos totales por encima del valor medio de USD 7,6
millones, lo que indica una distribución sesgada. Se determinó que la estimación del costo más alto de
USD 61 millones no era un valor atípico según el análisis adicional. Un total de 171 organizaciones
experimentaron un costo total anualizado de crimen cibernético por debajo del valor medio.

Figura 3. Costo total anualizado del crimen cibernético para 257 empresas participantes
Costo expresado en dólares estadounidenses

USD$70.000.000
70.000.000
USD 60.525.947
USD$60.000.000
60.000.000

USD$50.000.000
50.000.000

USD$40.000.000
40.000.000

USD$30.000.000
30.000.000

USD$20.000.000
20.000.000

USD$10.000.000
10.000.000

$-
USD-

Total
Costo annualized cost
anualizado total Promedio
Average

Como parte de nuestro análisis calculamos un intervalo de precisión para el costo promedio de USD 7,6
millones. El objetivo de este intervalo es demostrar que nuestras estimaciones de costos deben
considerarse como un rango de resultados posibles en lugar de un punto o número único.

El rango de posibles estimaciones de costos se amplía a niveles cada vez más altos de confianza, como se
muestra en la Figura 4. Específicamente, a un nivel del 90 por ciento de confianza esperamos que el rango
del costo esté entre USD 7,2 millones y USD 7,9 millones.

Figura 4. Intervalo de precisión para el valor promedio del costo total anualizado
Costo expresado en dólares estadounidenses

USD$8.500.000
8.500.000 USD 8.234.791
USD 8.114.791
USD 8.014.791
USD 7.914.791
USD$8.000.000
8.000.000

USD$7.500.000
7.500.000

USD$7.000.000
7.000.000 USD 7.234.791
USD 7.134.791
USD 7.034.791
USD 6.914.791
USD$6.500.000
6.500.000

USD$6.000.000
6.000.000
90%
90%deprecision
intervalO 95%
95%deprecision
intervalo 97,5%
97.5%de interval
precision 99%
99%deprecision
intervalo
deinterval
precisión deinterval
precisión de interval
precisión de interval
precisión

Minimum
Mínimo Average
Promedio Maximum
Máximo

©
Informe de investigación del Ponemon Institute Página 6
El costo del crimen cibernético varía según el tamaño de la organización. Como se muestra en la
Figura 5, el tamaño de la organización, medido por la cantidad de puestos de trabajo o nodos, se
correlaciona positivamente con el costo anualizado del crimen cibernético. Esta correlación positiva está
indicada por la línea de regresión con inclinación ascendente.

Figura 5. Costo anualizado en orden ascendente por la cantidad de puestos de trabajo

Costo expresado en dólares estadounidenses
$70.000.000
USD 70.000.000

$60.000.000
USD 60.000.000

$50.000.000
USD 50.000.000

$40.000.000
USD 40.000.000

USD 30.000.000
$30.000.000

USD 20.000.000
$20.000.000

USD 10.000.000
$10.000.000

$-
USD-
Orden ascendente por cantidad de puestos de trabajo

Total annualized
Costo cost
anualizado total Regression
Regresión

Las organizaciones se colocan en uno de cuatro cuartiles según su cantidad total de puestos de trabajo
(que utilizamos como sustituto del tamaño). Lo hacemos para crear una compresión más precisa de la
relación entre el tamaño de la organización y el costo del crimen cibernético. La Tabla 1 muestra el costo
promedio del cuartil del crimen cibernético durante dos años. En cada cuartil se incluyen aproximadamente
64 empresas.

Tabla 1: Análisis del cuartil

Costo expresado en dólares Año fiscal 2014 Año fiscal 2013
estadounidenses (n=257) (n=234)
Cuartil 1 (más pequeño) USD 2.967.723 USD 2.965.464
Cuartil 2 USD 5.107.532 USD 4.453.688
Cuartil 3 USD 8.321.024 USD 6.659.478
Cuartil 4 (el más grande) USD 13.805.529 USD 14.707.980

La Tabla 2 informa el costo promedio por puesto de trabajo (también conocido como costo per cápita)
compilado para los cuatro cuartiles, que oscilan entre el más pequeño (Cuartil 1) y el más grande (Cuartil
4). De modo similar a los años anteriores, el costo promedio per cápita de 2014 para las organizaciones con
menos puestos de trabajo es cuatro veces más alto que el costo per cápita promedio para las
organizaciones con más puestos de trabajo.

Tabla 2: Análisis del cuartil

Costo expresado en dólares Costo por puesto Costo por puesto en
estadounidenses en 2014 2013
Cuartil 1 (más pequeño) USD 1.601 USD 1.388
Cuartil 2 USD 962 USD 710
Cuartil 3 USD 726 USD 532
Cuartil 4 (más grande) USD 437 USD 431

©
Informe de investigación del Ponemon Institute Página 7
Determinados ataques son más costosos según el tamaño de la organización. El estudio se enfoca en
9 diferentes vectores de ataque como origen del crimen cibernético. En la Figura 6 comparamos
organizaciones más pequeñas y más grandes según la media de la muestra de 8509 puestos. Las
organizaciones más pequeñas (debajo de la mediana) experimentan una mayor proporción de costos de
crímenes cibernéticos relacionados con ataques basados en la Web, virus, gusanos, troyanos y otro
malware.
En contraste con esto, las organizaciones más grandes (por encima de la media) experimentan una
proporción mayor de costos relacionados con la denegación de servicios, código malintencionado y
personal interno malintencionado. En el contexto de esta investigación, el personal interno malintencionado
incluye empleados, empleados temporarios, contratistas y, posiblemente otros socios comerciales.
También distinguimos virus de malware. Los virus residen en el punto final y, sin embargo, no se han
infiltrado en la red, pero el malware se ha infiltrado en la red. El código malintencionado ataca la capa de la
aplicación e incluye el ataque de SQL.
Figura 6. El tamaño de la organización afecta el costo de lidiar con nueve tipos de ataques.
Tamaño medido de acuerdo con la cantidad de puestos de trabajo dentro de las organizaciones participantes.
Vista consolidada, n = 257 empresas independientes

Ataques basados enattacks

Web-based la Web 15% 17%

Denial of
Denegación deservices
servicios 18% 12%

Personal interno malintencionado

Malicious insiders 13% 11%

CódigoMalicious
malintencionado
code 13% 11%

Dispositivos robados
Stolen devices 11% 11%

Virus, gusanos,
Viruses, worms, troyanos
trojans 7% 15%

Phishing & social

Phishing engineering
e ingeniería social 10% 9%

Malware
Malware 7% 11%

Botnets
Botnets 4% 6%

0% 5% 10% 15% 20% 25% 30% 35%

Cantidad
Above de puestos
median de trabajo
number por encima
of enterprise seats Cantidad
Below de puestos
median de trabajo
number por debajo
of enterprise seats
de la mediana de la mediana

©
Informe de investigación del Ponemon Institute Página 8
El costo del crimen cibernético afecta a todos los sectores. El costo anualizado promedio del
costo cibernético parece variar según el segmento del sector. En el estudio de este año
comparamos los promedios de costos para 17 sectores diferentes. Como se muestra en la
Figura 7, el costo del crimen cibernético para las empresas de energía y servicios básicos,
servicios financieros y tecnología experimentaron el costo anualizado más alto. Por el contrario,
las empresas de medios de comunicación, ciencias de la vida y salud incurrieron en un costo
7
mucho más bajo, en promedio.

Figura 7. Costo anualizado promedio por sector

Costo expresado en dólares estadounidenses, USD 1.000.000 omitidos
Vista consolidada, n = 257 empresas independientes

Energía &
Energy y servicios
Utilities USD 13,18
básicos
Financialfinancieros
Servicios services USD 12,97

Technology
Tecnología USD 8,51

Industrial
Industrial USD 6,85

Servicios
Services USD 6,52

Transportation
Transporte USD 5,79

Comunicaciones
Communications USD 5,53

Public sector
Sector público USD 5,22

Defense
Defensa USD 5,02

Productos
Consumer para el
products USD 4,60
consumidor
Education
Educación & research
e investigación USD 4,52

Hospitality
Hospedaje y alimentación USD 3,34

Retail
Venta minorista USD 3,33

Automotriz
Automotive USD 2,25

Media
Medios USD 2,14

Ciencias
Life biológicas
sciences USD 1,47

Salud
Healthcare USD 1,38

$0,000,00
USD $2,00
USD 2,00 $4,00
USD 4,00 $6,00
USD 6,00 $8,00
USD 8,00 $10,00
USD 10,00$12,00
USD 12,00$14,00
USD 14,00

7
Este análisis tiene solo fines ilustrativos. Los tamaños de la muestra en varios sectores son demasiado pequeños para
formular conclusiones definitivas sobre las diferencias entre los sectores.

©
Informe de investigación del Ponemon Institute Página 9
 El tipo de ataque cibernético influye en el costo del cibercrimen

En nuestros estudios, observamos 9 diferentes vectores de ataque como origen del crimen cibernético. Este
año, la muestra comparativa de 257 empresas experimentó 429 ciberataques discernibles o 1,6 ataques por
empresa cada semana. La lista a continuación muestra la cantidad de ataques exitosos durante los últimos
tres años, que han aumentado constantemente.

 Año fiscal 2014, 429 ataques en 257 organizaciones o 1,7 ataques exitosos por empresa cada semana
 Año fiscal 2013, 343 ataques en 234 organizaciones o 1,4 ataques exitosos por empresa cada semana
 Año fiscal 2012, 262 ataques en 199 organizaciones o 1,3 ataques exitosos por empresa cada semana

La Figura 8 resume en porcentajes los tipos de métodos de ataque sufridos por las empresas participantes.
Prácticamente todas las organizaciones tuvieron ataques relacionados con virus, gusanos o troyanos y
malware durante el período comparativo de cuatro semanas. Los ataques de malware y los ataques de
código malintencionado están indisolublemente vinculados. Clasificamos los ataques de malware que se
infiltraron con éxito en las redes de las organizaciones o sistemas empresariales como un ataque de código
malintencionado.

El 59 por ciento experimentó botnets y el 58 por ciento experimentó ataques basados en la Web. El 49 por
ciento de las empresas experimentaron ataques de denegación de servicio y dispositivos robados. Solo el
35 por ciento de las empresas dice que el personal interno malintencionado fue el origen del crimen
cibernético.

Figura 8. Tipos de ciberataques experimentados por 257 empresas comparadas

Vista consolidada, n = 257 empresas independientes

Virus, gusanos,
Viruses, worms,troyanos
trojans 98%

Malware 97%

Botnets 59%

Ataques Web-based
basados en attacks
la Web 58%

Phishing e ingeniería
Phishing social
& SE 52%

Malicious code
Código malintencionado 51%

Denegación
Denialde
of servicio
service 49%

Stolen robados
Dispositivos devices 49%

Personalinsiders
Malicious interno 35%
malintencionado
0% 20% 40% 60% 80%
80% 100%
100% 120%
120%

©
Informe de investigación del Ponemon Institute Página 10
Los costos varían considerablemente por tipo de ciberataque. La Figura 9 coteja los resultados
comparativos para siete países, lo que muestra la proporción del costo anualizado del crimen cibernético
asignado a 9 tipos de ataques compilados de todas las organizaciones comparadas.

Con respecto a los ataques basados en la Web, el porcentaje de los costos anualizados parece ser
bastante uniforme, con un rango de solo el 13 por ciento para Australia hasta un 19 por ciento de Japón y
Rusia. Para la denegación de servicios, vemos solo un 8 por ciento para Francia y un máximo del 25 por
ciento para el Reino Unido.
En el caso de personal malintencionado, vemos solo un 6 por ciento para Alemania y un máximo del 21 por
ciento para Japón. Finalmente, el costo del malware tiene solo un 6 por ciento para los EE. UU. y Japón y
un máximo del 17 por ciento de la Federación Rusa.

Figura 9. Porcentaje de costo anualizado de crimen cibernético por tipo de ataque

Vista consolidada, n = 257 empresas independientes

Ataques Web-based
basados enattacks
la Web 14% 15% 19% 15% 13% 14% 19%

Denialde
Denegación of services
servicios 18% 14% 11% 25% 8% 23% 10%

Personal interno
Malicious insiders
malintencionado 8% 6% 21% 10% 11% 13% 13%

Virus, gusanos,
Viruses, worms,troyanos
trojans 4% 14% 16% 8% 17% 7% 16%

Código malintencionado
Malicious code 23% 7% 6% 11% 10% 12% 9%

Phishing
Phishing e ingeniería
& social social
engineering 13% 20% 6% 5% 12% 11% 7%

Malware
Malware 6% 7% 6% 6% 15% 9% 17%

Dispositivos robados
Stolen devices 10% 13% 5% 15% 9% 8% 6%

Botnets
Botnets 4% 4% 10% 6% 5% 4% 3%

United States
Estados Unidos Germany
Alemania Japan
Japón United Kingdom
Reino Unido France
Francia Australia
Australia Russian Federation
Federación Rusa

©
Informe de investigación del Ponemon Institute Página 11
El costo del crimen cibernético también se ve influenciado por la frecuencia de los ataques. La
Figura 10 revela del más costoso al menos costoso de los ciberataques cuando se analizan por la
frecuencia de los incidentes. Los ataques más costosos son el personal interno malintencionado,
denegación de servicio, ataques basados en la Web y código malintencionado. Los ataques de malware
son los que se encuentran con mayor frecuencia y, por lo tanto, representan un costo unitario relativamente
bajo.

Figura 10. Porcentaje de costo promedio de crimen cibernético por frecuencia de ataque
Vista consolidada, n = 257 empresas independientes

Malicious
Personalinsiders
interno USD 213.542
malintencionado
Denegación
Denialde
of servicio
service USD 166.545

Ataques Web-based
basados en attacks
la Web USD 116.424

Código malintencionado
Malicious code USD 91.500

Phishing
Phishing e ingeniería
& social social
engineering USD 45.959

Dispositivos
Stolen robados
devices USD 43.565

Virus, gusanos,
Viruses, worms,troyanos
trojans USD 16.522

Malware
Malware USD 8.378

Botnets
Botnets USD 1.075

$-
USD- $50.000
USD 50.000 $100.000
USD 100.000 $150.000
USD 150.000 $200.000
USD $250.000
200.000 USD 250.000

©
Informe de investigación del Ponemon Institute Página 12
 El tiempo para resolver o contener los crímenes cibernéticos aumenta el costo. La cantidad media de
días para resolver los ciberataques es 31, con un costo promedio de USD 20.758 por día, o un costo total
de USD 639.462 durante el período de corrección de 31 días. Esto representa un aumento del 23 por ciento
con respecto al costo estimado del año pasado de USD 509.665, durante un período de corrección de 27
días. Se debe tener presente que la resolución no implica necesariamente que el ataque se haya detenido
por completo. Por ejemplo, algunos ataques permanecen silenciosos y no detectados (como los ataques
típicos de hoy en día).

La Figura 11 muestra el costo anualizado del crimen cibernético en orden ascendente por la cantidad
promedio de días para resolver los ataques. La línea de regresión muestra una inclinación ascendente, lo
que sugiere que las variables de costo y tiempo están relacionadas positivamente.

Figura 11. Costo anualizado total por la cantidad de días para contener el ataque
USD 70.000.000
$70.000.000

USD 60.000.000
$60.000.000

USD 50.000.000
$50.000.000

USD 40.000.000
$40.000.000

USD 30.000.000
$30.000.000

USD 20.000.000
$20.000.000

USD 10.000.000
$10.000.000

USD$-
-
Orden ascendente por la cantidad de días para contener el ataque

Total
Costo annualized cost
anualizado total Regresión
Regression

©
Informe de investigación del Ponemon Institute Página 13
Algunos ataques llevan más tiempo de resolución y, en consecuencia, son más costosos. Como se
muestra en la Figura 11, el tiempo que lleva resolver las consecuencias del ataque aumenta el costo de un
crimen cibernético.

La Figura 12 informa los días promedio para resolver los ciberataques para los 9 tipos diferentes de
ataques estudiados en este informe. A partir de este gráfico, queda claro que lleva la mayor cantidad de
tiempo, en promedio, resolver ataques de personal interno malintencionado, código malintencionado y
atacantes basados en la Web (hackers). El malware, los botnets y virus, en promedio, se resuelven
relativamente rápido (es decir, en unos pocos días o menos).

Figura 12. Algunos ataques llevan más tiempo de resolución

El tiempo promedio estimado se mide para cada tipo de ataque en días
Vista consolidada, n = 257 empresas independientes

Malicious
Personal interno insiders
malintencionado 58,5

CódigoMalicious
malintencionado
code 46,2

Ataques basados enattacks

Web-based la Web
31,9

Phishing & social

Phishing engineering
e ingeniería social 20,5

Denegación deservice
Denial of servicio 19,9

Dispositivos robados
Stolen devices 14,0

Malware
Malware 5,0

Botnets
Botnets 2,7

Virus, gusanos,
Viruses, worms, troyanos
trojans 2,6

0,0 10,0 20,0 30,0

30,0 40,0
40,0 50,0
50,0 60,0
60,0 70,0
70,0

©
Informe de investigación del Ponemon Institute Página 14
Un análisis de los componentes del costo del crimen cibernético

El robo de información continúa siendo la consecuencia más costosa de un crimen cibernético. En

esta investigación, observamos cuatro consecuencias principales de un ciberataque: interrupciones de los
negocios, pérdida de información, pérdida de ingresos y daños a los equipos. Como se muestra en la
Figura 13, entre las organizaciones representadas en este estudio la interrupción de los negocios
representa el componente más grande del costo (38 por ciento). El costo de la interrupción de los negocios
incluye menor productividad de los empleados y fallas en los procesos de negocios que se producen
después de un ciberataque. Le siguen la pérdida de información e ingresos, con un 35 por ciento y 22 por
ciento, respectivamente.

Figura 13. Porcentaje del costo por las consecuencias externas

Vista consolidada, n = 257 empresas independientes
40% 38%
35%
35%

30%

25%
22%
20%

15%

10%

5% 4%
2%
0%
Interrupción
Business en Information loss
Pérdida de Pérdida de
Revenue loss Daños en los
Equipment Other costos
Otros costs
los negocios
disruption información ingresos equipos
damages

©
Informe de investigación del Ponemon Institute Página 15
Las empresas gastan más en detección y recuperación Las actividades de detección y recuperación de
crímenes cibernéticos representan el 53 por ciento del costo total de la actividad interna, como se muestra
en la Figura 14. Le sigue el costo de contención e investigación (ambos en un 15 por ciento).

Los elementos del costo de detección y recuperación destacan una oportunidad significativa de reducción
del costo para las organizaciones que pueden administrar sistemáticamente la recuperación e implementar
tecnologías de seguridad habilitadoras para ayudar a facilitar el proceso de detección.

Figura 14. Porcentaje del costo por actividades realizadas para resolver un ciberataque
Vista consolidada, n = 257 empresas independientes
35%
30%
30%

25% 23%

20%
15% 15%
15%
10%
10% 7%

5%

0%
Detección Recuperación Contención Investigación Administración Respuesta
Detection Recovery Containment Investigation Incident mgmt Ex-poste
de incidentes después del
response
hecho
El porcentaje de costos anualizados puede detallarse aún más en seis componentes específicos del gasto,
que incluyen: pérdida de productividad (30 por ciento), mano de obra directa (24 por ciento), desembolsos
de caja (19 por ciento), mano de obra indirecta (14 por ciento) y gastos generales (11 por ciento).

Figura 15. Porcentaje del costo de actividad por 6 componentes específicos del costo
Vista consolidada, n = 257 empresas independientes
35%
30%
30%
24%
25%

20% 19%

14%
15%
11%
10%

5% 2%

0%
Pérdida de
Productivity Mano de labor
Direct obra Desembolso
Cash outlay Mano de labor
Indirect obra Gastos
Overhead Otros
Other
productividad directa de caja indirecta generales
loss

©
Informe de investigación del Ponemon Institute Página 16
La porción más grande del presupuesto de seguridad se asigna a la capa de red. La Figura 16 resume
6 capas en una infraestructura de seguridad de TI típica de varias capas para todas las empresas
comparadas. Cada barra refleja el porcentaje de gasto dedicado de acuerdo con la capa presentada. La
capa de red recibe la asignación más alta, con un 33 por ciento de la financiación total de seguridad de TI
dedicada. Con solo un siete por ciento, la capa de host recibe el nivel de fondos más bajo.

Figura 16. Gasto presupuestado o reservado de acuerdo con seis capas de seguridad de TI
Vista consolidada, n = 257 empresas independientes
40%

35% 33%

30%

25%
20%
20% 16%
15% 13%
10%
10% 7%

5%

0%
Capa de layer
Network red Capa
Datadelayer
datos Capa de la
Application Capa
Humanhumana
layer Capa física
Physical layer Capa
Hostdel host
layer
aplicación
layer

©
Informe de investigación del Ponemon Institute Página 17
 La postura de seguridad de la organización influye en el costo del crimen cibernético. Medimos la
postura de seguridad de las organizaciones participantes como parte del proceso de comparación. La
Figura 17 informa el costo anualizado y la regresión de las empresas en orden descendente por su eficacia
de seguridad medida por el SES (ver la nota al pie de página 6).

La figura muestra una regresión con una inclinación ascendente, lo que sugiere que las empresas con una
postura de seguridad más sólida experimentan un costo general más bajo. El rango del SES de puntajes
posibles es de +2 (más favorable) a -2 (menos favorable). Los resultados compilados para la muestra de
comparación actual varían de un máximo de +1,90 a un mínimo de -1,7 con un valor medio de SES de 0,31.

Figura 17. Costo anualizado en orden descendiente por SES

Regresión realizada en SES que oscila entre -1,7 y +1,90
Costo expresado en dólares estadounidenses, n = 257 empresas independientes
$70.000.000
USD 70.000.000

$60.000.000
USD 60.000.000

$50.000.000
USD 50.000.000

$40.000.000
USD 40.000.000

$30.000.000
USD 30.000.000

$20.000.000
USD 20.000.000

$10.000.000
USD 10.000.000

$-
USD-
Orden descendente por índice SES

Total
Costoannualized cost
anualizado total Regression
Regresión

Una comparación de organizaciones agrupadas en cuatro cuartiles basada en SES revela diferencias de
costos. De acuerdo con la Tabla 3 el costo promedio para las empresas en el cuartil 1 de SES es de USD
3,62 millones, en tanto que el costo promedio para el cuartil 4 de SES es sustancialmente más alto, USD
12,34 millones. Este análisis está respaldado por la ecuación de regresión anterior, que muestra que la
postura de seguridad de una empresa tiene un efecto favorable neto sobre los costos de los crímenes
cibernéticos.

Tabla 3: Análisis por cuartil Año fiscal Año fiscal

Costo expresado en dólares 2014 SES de 2013 SES de
estadounidenses (000.000) (n = 257) 2014 (n = 235) 2013
Cuartil 1 (menor) USD 3,62 1,46 USD 2,53 1,57
Cuartil 2 USD 5,58 0,73 USD 4,82 0,81
Cuartil 3 USD 8,82 (0,04) USD 6,84 0,00
Cuartil 4 (mayor) USD 12,34 (0,92) USD 14,59 (0,92)

©
Informe de investigación del Ponemon Institute Página 18
 Las organizaciones que implementan tecnologías de inteligencia de seguridad logran un costo
anualizado más bajo del crimen cibernético La Figura 18 revela el monto de dinero promedio que
pueden ahorrar las empresas con SIEM en las 6 actividades realizadas para resolver el crimen cibernético.
La figura compara las empresas que implementan y no implementan sistemas de inteligencia de seguridad.
En total, 124 empresas (48 por ciento) implementan herramientas de inteligencia de seguridad, como SIEM,
IPS con fuentes de reputación, sistemas de inteligencia de red, análisis de big data y otras.

Con dos excepciones (costos investigativos y de administración de incidentes), las empresas que utilizan
sistemas de inteligencia de seguridad tienen costos de actividad más bajos que las empresas que no
utilizan estas tecnologías. Las diferencias de costos más grandes en millones corresponden a actividades
de detección (USD 2,84 vs. USD 1,63), recuperación (USD 1,77 vs. USD 1,13) y contención (USD 1,59 vs.
USD 0,94), respectivamente.
Figura 18. Comparación del costo de actividad y el uso de tecnologías de inteligencia de seguridad
Costo expresado en dólares estadounidenses (000.000), n = 257 empresas independientes

USD$3,00
3,00 USD 2,83

USD$2,50
2,50

USD$2,00
2,00 USD 1,77
USD 1,63 USD 1,59
USD$1,50
1,50 USD 1,24
USD 1,13
USD 0,94 USD 0,94 USD 0,94
USD$1,00
1,00
USD 0,80 USD 0,73
USD 0,61
USD$0,50
0,50

USD-
$-
Detección
Detection Recuperación
Recovery Contención
Containment Respuesta
Ex-post Investigación
Investigation Administración
Incident mgmt
después del de incidentes
response
hecho
Implementan
Deploys tecnologías
security de inteligencia
intel technologies No implementan
Does not deploytecnologías de inteligencia
security intel de
technologies
de seguridad seguridad

©
Informe de investigación del Ponemon Institute Página 19
La Figura 19 muestra 7 categorías de tecnología de seguridad habilitadoras por un subconjunto de
empresas comparadas. Cada barra representa el porcentaje de empresas que implementan completamente
cada tecnología de seguridad dada. Las tres categorías de tecnología más importantes incluyen: control
avanzado del perímetro y tecnologías de firewall (57 por ciento), tecnologías de cifrado empresarial (53 por
ciento) y sistemas de inteligencia de seguridad (48 por ciento).

Figura 19. Siete tecnologías de seguridad implementadas

Vista consolidada, n = 257 empresas independientes

Controles
Advanced avanzados
perimeter controlsdel
andperímetro
firewall
y tecnologías de firewall 57%
technologies
Implementación empresarial de
Enterprise deployment of encryption technologies 53%
tecnologías de cifrado

SistemasSecurity
de inteligencia de seguridad
intelligence systems 48%

Uso
Extensive use extensivo
of data de herramientas
loss prevention tools 46%
de prevención de pérdida de datos

Herramientas de Access governance

administración tools
de acceso 45%

Implementación
Enterprise deployment of empresarial
GRC tools 37%
de herramientas de GRC
Herramientas
Automated automatizadas
policy management tools 28%
de administración de políticas
0% 10% 20% 30% 40% 50% 60%

La Figura 20 muestra el dinero que pueden ahorrar las empresas al implementar cada una de las siete
tecnologías de seguridad. Por ejemplo, las empresas que implementan sistemas de inteligencia de
seguridad, en promedio, experimentan un ahorro de costo sustancial de USD 2,6 millones. De manera
similar, las empresas que implementan herramientas de administración de acceso experimentan ahorros de
costos de USD 1,4 millones en promedio. Debe tenerse en cuenta que estos ahorros de costos
extrapolados son independientes entre sí y no pueden sumarse juntos.

Figura 20. Ahorros de costos cuando se implementan siete tecnologías de seguridad

Costo expresado en dólares estadounidenses. Vista consolidada, n = 257 empresas independientes

SistemasSecurity
de inteligencia de seguridad
intelligence systems USD 2.575.405

Access governance
Herramientas de administración tools
de acceso USD 1.403.261

Controles
Advanced avanzados
perimeter del and
controls perímetro
firewally
tecnologías de firewall USD 1.397.186
technologies
Implementación amplia de tecnologías
Extensive deployment de
of encryption
cifrado USD 1.376.514
technologies

Implementación
Enterprise empresarial
deployment de
of GRC tools USD 1.335.730
herramientas de GRC
Uso
Extensive useextensivo de herramientas
of data loss de
prevention tools USD 1.134.374
prevención de pérdida de datos
Herramientas
Automated automatizadas
policy management de
tools USD 429.173
administración de políticas

$0 0
USD $1.000.000
USD 1.000.000 $2.000.000
USD 2.000.000 $3.000.000
USD 3.000.000

©
Informe de investigación del Ponemon Institute Página 20
Los sistemas de inteligencia de seguridad tienen el mayor retorno de la inversión. La Figura 21
resume el retorno de la inversión (ROI) estimado que obtienen las empresas para cada una de las 7
8
categorías de tecnologías de seguridad antes indicadas. Al 23 por ciento, las empresas que implementan
sistemas de inteligencia de seguridad, en promedio, experimentan un ROI sustancialmente más alto que
todas las demás categorías de tecnología en este estudio.

También son significativos los resultados de ROI estimados para las empresas que implementaron
ampliamente tecnologías de cifrado (20 por ciento) y controles de perímetro avanzados, como UTM,
NGFW, IPS con información de reputación y más (19 por ciento). El ROI promedio estimado para las 7
categorías de tecnologías de seguridad es del 15 por ciento.

Figura 21. ROI estimado para siete categorías de tecnologías de seguridad

Vista consolidada, n = 257 empresas independientes

SistemasSecurity intelligence
de inteligencia systems
de seguridad 23%

Extensive deployment
Implementación ampliaofde
encryption technologies
tecnologías de cifrado 20%

Controles
Advanced avanzados
perimeter controlsdel
andperímetro
firewall
y tecnologías de firewall 19%
technologies

Herramientas de Access
administración de acceso
governance tools 13%

Implementación
Enterprise deployment ofempresarial
GRC tools 13%
de herramientas de GRC
Uso
Extensive use of extensivo de herramientas
data loss prevention tools 13%
de prevención de pérdida de datos
Herramientas
Automated automatizadas
policy management tools 6%
de administración de políticas
0% 5% 10% 15% 20% 25%

8
El retorno de la inversión calculado para cada categoría de tecnología de seguridad se define como: (1) ganancias de la
inversión divididas por (2) costo de la inversión (menos cualquier valor residual). Estimamos una vida útil de tres años
para todas las categorías de tecnología presentadas. Por lo tanto, las inversiones se amortizan simplemente durante tres
años. Las ganancias son el valor neto presente del ahorro de costo esperado durante la vida útil de la inversión. De este
monto, restamos estimaciones conservadoras para operaciones y costos de mantenimiento cada año. El valor neto
presente utilizó el neto más una tasa de descuento del 2 por ciento por año. No asumimos ningún (cero) valor residual.

©
Informe de investigación del Ponemon Institute Página 21
Determinadas actividades de administración pueden reducir el costo del crimen cibernético. La
Figura 22 muestra 7 actividades de administración empresarial experimentadas por un subconjunto de
empresas comparadas. Cada barra representa el porcentaje de empresas que ejecutan completamente
cada actividad de administración indicada. Las tres actividades de administración más importantes son:
certificación con respecto a estándares líderes del sector, designación de un líder de seguridad de alto nivel
(CISO) y empleo de personal de seguridad experto.

Figura 22. Siete actividades de administración de seguridad empresarial implementadas

Vista consolidada, n = 257 empresas independientes

Certification against Certificación

industry-leading
con standards
respecto a 57%
estándares líderes del sector
Designación de un líder
Appointment de seguridad
of a high-level de alto
security nivel
leader 52%

Empleo de personal de seguridad

Employment of certified/expert security personnel 51%
certificado/experto

ObtenciónObtaining sufficient
de recursos budgeted resources
presupuestados suficientes 50%

Formación de
Formation of a senior-level un consejo
security de
council 46%
seguridad de nivel superior
Actividades sustanciales
Substantial training and awareness activities 42%
de capacitación y concientización

Extensivede
Uso extensivo use of security
métrica metrics
de seguridad 36%

0% 10% 20% 30% 40% 50% 60%

La Figura 23 muestra el ahorro de costo incremental para cada una de las siete actividades de
administración empresarial. Como se muestra, las empresas que invierten en recursos adecuados,
designan a un líder de seguridad de alto nivel y emplean personal experto tienen costos de crímenes
cibernéticos más bajos que las empresas que no han implementado estas prácticas. Este llamado "ahorro
de costos" para las empresas que implementan buenas prácticas de administración de seguridad se estima
en USD 1,3 millones para emplear personal experto y USD 1,1 millones para lograr la certificación con
respecto a estándares líderes del sector.

©
Informe de investigación del Ponemon Institute Página 22
Figura 23. Ahorro de costo cuando se ejecutan siete actividades de administración de seguridad
empresarial
Costo expresado en dólares estadounidenses. Vista consolidada, n = 257 empresas independientes

Empleoofdecertified/expert
Employment personal de seguridad
security
certificado/experto USD 1.267.619
personnel
Certificación con respecto a
Certification against industry-leading standards USD 1.131.997
estándares líderes del sector
Designación de un líder de
Appointment of a high-level security leader USD 1.118.942
seguridad de alto nivel
Obtención
Obtaining sufficient budgetedde recursos
resources USD 1.061.809
presupuestados suficientes
Actividades
Substantial training and sustanciales
awareness activities USD 712.603
de capacitación y concientización

Extensivede
Uso extensivo use of security
métrica metrics
de seguridad USD 652.112

Formation of a Formación
senior-levelde un consejo
security de
council USD 436.630
seguridad de nivel superior
$0 0
USD $400.000
USD 400.000 $800.000
USD $1.200.000
800.000 USD 1.200.000

Parte 3. Marco

El objetivo de esta investigación es proporcionar orientación sobre cuánto puede costar a una organización
un ciberataque exitoso. Nuestro estudio del costo del crimen cibernético es único al abordar los sistemas
básicos y las actividades relacionadas con los procesos de negocios que impulsan un rango de gastos
asociados con la respuesta a una empresa al crimen cibernético. En este estudio, definimos un ataque
exitoso como el que origina la infiltración de las redes básicas o sistemas empresariales de una compañía.
No incluye los numerosos ataques evitados por las defensas de firewall de una empresa.

La Figura 24 representa el marco de costos basados en la actividad utilizado para calcular el costo
promedio del crimen cibernético. Nuestros métodos de comparación intentan obtener las experiencias y
consecuencias reales de los ciberataques. De acuerdo con entrevistas con diversas personas de nivel
superior en cada organización clasificamos los costos según dos flujos de costos diferentes:

 Los costos relacionados con lidiar con el crimen cibernético o lo que conocemos como los centros de
actividades de costos internos.
 Los costos relacionados con las consecuencias del ciberataque o lo que conocemos como las
consecuencias externas del ciberataque.

©
Informe de investigación del Ponemon Institute Página 23
 Figura 24
Marco de costo por crimen cibernético

Centros de actividades de Consecuencias y costos

costos internos externos

Detección Pérdida o robo de información

Investigación y escalamiento

Costos directos, Interrupción de los negocios

indirectos y de
oportunidad
Contención asociados con los
crímenes
cibernéticos

Daños en los equipos

Recuperación

Respuesta después del hecho Pérdida de ingresos

Como se mostró antes, analizamos los centros de costos internos secuencialmente, a partir de la detección
del incidente y hasta la respuesta al incidente posterior al hecho o final, que implica lidiar con oportunidades
de negocios perdidas y la interrupción del negocio. En cada uno de los centros de actividades de costos
solicitamos a los encuestados que estimaran los costos directos, los costos indirectos y los costos de
oportunidad. Estos se definen de la siguiente manera:
 Costo directo: el desembolso de gasto directo para lograr una actividad dada.
 Costo indirecto: la cantidad de tiempo, esfuerzo y otros recursos organizativos gastados, pero no como
un desembolso de efectivo directo.
 Costo de oportunidad: el costo resultante de oportunidades de negocios perdidas como consecuencia
de la disminución de la reputación después del incidente.
Los costos externos, incluida la pérdida de activos de información, interrupción en el negocio, daños en los
equipos y pérdida de ingresos, se capturaron con métodos de costos estimados de forma aproximada
(shadow-costing). Los costos totales se asignaron a nueve vectores de ataque discernibles: virus, gusanos,
troyanos; malware; botnets; ataques basados en la Web; phishing e ingeniería social; personal interno
malintencionados (incluidos dispositivos robados); código malintencionado (incluida inyección de SQL); y
9
denegación de servicios.

9
Reconocemos que estas siete categorías de ataques no son mutuamente independientes y no representan una lista
exhaustiva. La clasificación de un ataque dado fue realizada por el investigador y se obtuvo de los hechos recopilados
durante el proceso de comparación.

©
Informe de investigación del Ponemon Institute Página 24
Este estudio considera las actividades relacionadas con el proceso básico que impulsan un rango de gastos
asociados con el ciberataque de una empresa. Los cinco centros de actividad de costos internos en nuestro
10
marco incluyen:

 Detección: actividades que permiten que una organización detecte de forma razonable y posiblemente
disuada los ciberataques o las amenazas avanzadas. Esto incluye los costos (gastos generales)
asignados de determinadas tecnologías habilitadoras que mejoran la mitigación o la detección
temprana.
 Investigación y escalamiento: actividades necesarias para descubrir minuciosamente el origen, alcance
y magnitud de uno o más incidentes. La actividad de escalamiento también incluye los pasos tomados
para organizar una respuesta de administración inicial.
 Contención: actividades que se concentran en detener o disminuir la gravedad de los ciberataques o
amenazas avanzadas. Incluyen apagar los vectores de ataque de alto riesgo como aplicaciones o
puntos finales inseguros.
 Recuperación: actividades relacionadas con la reparación y corrección de los sistemas y procesos de
negocios básicos de la organización. Incluye la restauración de activos de información dañados y otros
activos de TI (data center).
 Respuesta después del hecho: actividades para ayudar a la organización a minimizar los potenciales
ataques futuros. Incluyen la contención de costos de la interrupción del negocio y la pérdida de
información así como el agregado de nuevas tecnologías habilitadoras y sistemas de control.
Además de las actividades anteriores relacionadas con el proceso, las organizaciones a menudo
experimentan consecuencias externas o costos asociados con la secuela de los ataques exitosos, que se
definen como ataques que se infiltran en la red o los sistemas empresariales de la organización. En
consecuencia, nuestra investigación muestra que cuatro actividades de costo generales asociadas con
estas consecuencias externas son las siguientes:

 Costo de la pérdida o robo de información Pérdida o robo de información sensible y confidencial como
consecuencia del ciberataque. Dicha información incluye secretos comerciales, propiedades
intelectuales (incluye código fuente), información del cliente y registros de los empleados. Esta
categoría de costo también incluye el costo de la notificación de violación de los datos en caso de que
la información personal se adquiera ilícitamente.

 Costo de la interrupción del negocio: el impacto económico del tiempo de inactividad o interrupciones
no planificadas que impiden que la organización cumpla con sus requisitos de procesamiento de datos.

 Costo de daños en los equipos: el costo de corregir equipos y otros activos de TI como consecuencia
de ciberataques a los recursos de información y la infraestructura crítica.

 Pérdida de ingresos: la pérdida de clientes (rotación) y otras partes interesadas debido a demoras o
paradas del sistema como consecuencia de un ciberataque. Para extrapolar este costo, utilizamos un
método de costo estimado aproximado (shadow costing) que considera el "valor de la vida útil" de un
cliente promedio, según se define para cada organización participante.

Parte 4. Análisis comparativo

El instrumento de comparación del costo del crimen cibernético está diseñado para reunir información
descriptiva de TI, seguridad de la información y otras personas clave sobre los costos reales incurridos, ya
sea directa o indirectamente, como consecuencia de los ciberataques efectivamente detectados. Nuestro
método de costo no requiere que las personas proporcionen resultados contables reales, sino que
considera la estimación y extrapolación de los datos de entrevistas durante un período de cuatro semanas.

10
Los costos internos se extrapolan con la mano de obra (tiempo) como sustitutos de los costos directos e indirectos.
Esto también se utiliza para asignar un componente de gastos generales para los costos fijos como las inversiones en
tecnologías en varios años.

©
Informe de investigación del Ponemon Institute Página 25
La estimación del costo se basa en entrevistas de diagnóstico confidenciales con encuestados clave dentro
de cada organización comparada. La Tabla 5 informa la frecuencia de las personas por su disciplina
funcional aproximada que participaron en el estudio mundial de este año. Como puede verse, el estudio de
11
este año en siete países involucró 2081 entrevistas para 257 empresas comparadas.

Tabla 4: Áreas funcionales de participantes de la entrevista Frec. Porc. (%)

Operaciones de TI 357 17%
Seguridad de TI 347 17%
Cumplimiento 216 10%
Administración del data center 187 9%
Operaciones de red 143 7%
Legal 131 6%
Contabilidad y finanzas 105 5%
Administración de riesgos de TI 100 5%
Auditoría interna o de TI 87 4%
Seguridad física/admin. instalaciones 80 4%
Recursos humanos 76 4%
Administración de riesgos empresariales 60 3%
Desarrollo de aplicaciones 57 3%
Adquisiciones/admin. proveedores 51 2%
Sistemas de control industrial 45 2%
Garantía de calidad 39 2%
Total 2.081
Entrevistas por compañía 8,10

Los métodos de recolección de datos no incluyeron información contable real, sino que en cambio
consideraron estimaciones numéricas basadas en los conocimientos y la experiencia de cada participante.
Dentro de cada categoría, la estimación del costo fue un proceso de dos etapas. Primero, el instrumento de
comparación requirió que las personas calificaran las estimaciones de costo directo para cada categoría de
costo al marcar una variable de rango definido en el siguiente formato de línea numérica.

Cómo utilizar la línea numérica: La línea numérica provista debajo de cada categoría de costo de violación
de datos es una forma de obtener su mejor estimación para la suma de desembolsos de caja, mano de
obra y gastos generales incurridos. Marque solo un punto en alguna parte entre los limites inferior y superior
antes indicados. Puede restablecer los limites inferior y superior de la línea numérica en cualquier
momento durante el proceso de entrevista.
Publique su estimación de costos directos aquí para [categoría de costo presentada]

LI ______________________________________|___________________________________ LS

El valor numérico obtenido en la línea numérica en lugar de la estimación de un punto para cada categoría
de costo presentada preservó la confidencialidad y garantizó una tasa de respuesta más alta. El
instrumento de comparación también requirió que los profesionales brindaran una segunda estimación para
los costos indirectos y de oportunidad, por separado.

Las estimaciones de costos se compilaron entone para cada organización según la magnitud relativa de
estos costos en comparación con un costo directo en una categoría dada. Finalmente, administramos
preguntas de entrevista generales para obtener datos adicionales, que incluyeron pérdidas de ingresos
estimadas como consecuencia del crimen cibernético.

11
El estudio del año pasado involucró 1935 personas o un promedio de 8,27 entrevistas para cada empresa comparada.

©
Informe de investigación del Ponemon Institute Página 26
El tamaño y el alcance de los puntos de la encuesta se limitaron a categorías de costos conocidas que
cortaron diferentes sectores de la industria. En nuestra experiencia, una encuesta concentrada en procesos
produce una tasa de respuesta más alta y resultados de mejor calidad. También utilizamos un instrumento
en papel, en lugar de una encuesta electrónica, para brindar mayores garantías de confidencialidad.

Para mantener total confidencialidad, el instrumento de la encuesta no capturó ningún tipo de información
específica de la empresa. Los materiales del tema no contenían ningún código de rastreo ni otro método
que pudiera vincular las respuestas a las empresas participantes.

Limitamos cuidadosamente los elementos solo a aquellas actividades de costos que consideramos
fundamentales para la medición del costo del crimen cibernético para mantener el instrumento de
comparación en un tamaño manejable. Según conversaciones con expertos entendidos, el conjunto final de
elementos se concentró en un conjunto finito de actividades de costo directo o indirecto. Después de
recopilar la información de comparación, se examinó cuidadosamente cada instrumento para determinar su
uniformidad e integridad. En este estudio se rechazaron unas pocas empresas debido a respuestas
incompletas, incongruentes o en blanco.

La investigación de campo se llevó a cabo durante varios meses y finalizó en julio de 2014. Para mantener
la uniformidad para todas las empresas de la comparación, la información recopilada sobre la experiencia
de crímenes cibernéticos de las organizaciones se limitó a cuatro semanas consecutivas. Este plazo no fue
necesariamente el mismo período de tiempo que las demás organizaciones de este estudio. Los costos
directos, indirectos y de oportunidad extrapolados del crimen cibernético se anualizaron dividendo el costo
total recopilado durante cuatro semanas (relación = 4/52 semanas).

Parte 5. Muestra de la comparación

El reclutamiento del estudio anual comenzó con una carta personalizada y una llamada telefónica de
seguimiento a 1469 contactos para su posible participación y 257 organizaciones permitieron que Ponemon
12
Institute realizara el análisis comparativo.

El gráfico de torta 1 resume la muestra actual (año fiscal 2014) de las empresas participantes según 17
clasificaciones principales del sector. Como puede verse, los servicios financieros (16 por ciento)
representan el segmento más grande. Esto incluye compañías de banca minorista, seguros, intermediación
y tarjetas de crédito. El segundo y el tercer segmento más grandes incluyen el sector industrial (14 por
ciento) y tecnológico (12 por ciento), respectivamente.

12
Aproximadamente la mitad de las organizaciones contactadas para su posible participación en el estudio
de este año son miembros de la comunidad de comparación del Ponemon Institute.

©
Informe de investigación del Ponemon Institute Página 27
Gráfico de torta 1. Sectores de las organizaciones participantes
Vista consolidada, n = 257 empresas independientes

1%
2%2% Financialfinancieros
Servicios services
3% 16%
3% Industrial
Industrial
Technology
Tecnología
4%
Public público
Sector sector
Retailminorista
Venta
5%
Services
Servicios
Utilities &básicos
Servicios energyy energía
14% Consumerpara
Productos products
el consumidor
6%
Transportation
Transporte
Media
Medios
Hospitalityy alimentación
Hospedaje
9% Educatione&investigación
Educación research
Communications
Comunicaciones
12% Healthcare
Salud
Automotive
Automotriz
9%
Life sciences
Ciencias biológicas
11%
Defense
Defensa

El gráfico de torta 2 informa el porcentaje de frecuencia de empresas según la cantidad de puestos de

trabajo conectados a redes o sistemas. Nuestro análisis del costo del crimen cibernético solo corresponde a
organizaciones con un mínimo de 500 puestos. La mayor cantidad de puestos de trabajo fue 125.000.

Gráfico de torta 2. Distribución de organizaciones participantes por puestos de trabajo (tamaño)

Vista consolidada, n = 257 empresas independientes

11% 13%

< 2.000
2,000

13% 2,000 a
2.000 to5.000
5,000

18% 5.001
5,001 a
to10.000
10,000

10.001
10,001 a
to15.000
15,000

15.001
15,001 a
to25.000
25,000

20%
25,000
> 25.000

25%

©
Informe de investigación del Ponemon Institute Página 28
Parte 6. Limitaciones y conclusiones

Este estudio utiliza un método de comparación confidencial y exclusivo que se ha implementado con éxito
en investigaciones anteriores del Ponemon Institute. Sin embargo, existen limitaciones inherentes en la
investigación comparativa que deben considerarse cuidadosamente antes de formular conclusiones a partir
de los hallazgos.

 Resultados no estadísticos: el objetivo de este estudio es descriptivo, en lugar de inferencia normativa.

El estudio actual hace uso de una muestra representativa, no estadística, de organizaciones de
entidades de mayor tamaño que experimentaron uno o más ciberataques durante un periodo de
estudio de campo de cuatro semanas. Las inferencias estadísticas, márgenes de error e intervalos de
confianza no pueden aplicarse a estos datos dada la naturaleza de nuestro plan de muestreo.

 Sin respuesta: los hallazgos actuales se basan en una pequeña muestra representativa de estudios de
casos completos. Las encuestas de comparación se enviaron inicialmente por correo a un grupo
focalizado de organizaciones, que se consideraba habían experimentado uno o más ciberataques. Un
total de 257 empresas proporcionaron encuestas de comparación útiles. No se probó el sesgo sin
respuesta por lo que no siempre es posible que empresas que no participaron sean sustancialmente
diferentes en términos de los métodos utilizados para administrar la contención de crimen cibernético y
el proceso de recuperación, así como también los costos subyacentes involucrados.

 Sesgo de marco de muestreo: debido a que nuestro marco de muestreo es crítico, la cantidad de los
resultados se ve influenciada por el alcance con el cual el marco es representativo de la población de
empresas que se estudiaron. Tenemos la convicción de que el marco de muestreo actual está sesgado
hacia empresas con programas de seguridad de información más maduros.

 Información específica de la empresa: la información comparativa es sensible y confidencial. Por lo

tanto, el instrumento actual no captura información que identifica a la empresa. También permite a las
personas utilizar las variables de respuestas categóricas para revelar información demográfica sobre la
empresa y la categoría del sector. La clasificación del sector depende de resultados autoinformados.

 Factores no medidos: para mantener la encuesta concisa y focalizada, decidimos omitir otras variables
importantes de nuestros análisis como tendencias líderes y características organizativas. El alcance
con el que las variables omitidas podrían explicar los resultados comparativos no pueden estimarse en
este momento.

 Resultados del costo estimado. La calidad de la investigación de la encuesta se basa en la integridad

de las respuestas confidenciales recibidas de las empresas. Si bien pueden incorporarse ciertas
verificaciones y ajustes en el proceso de la encuesta, siempre existe la posibilidad de que los
encuestados no brinden respuestas veraces. Además, el uso de una técnica de estimación de costo
(denominado métodos de "shadow costing") en lugar de los datos de costo reales podría crear un
sesgo significativo en los resultados presentados.

©
Informe de investigación del Ponemon Institute Página 29
Si tiene preguntas o comentarios sobre este informe de investigación o desea obtener copias adicionales
del documento (incluido el permito para citar o reutilizar este informe), comuníquese por carta, una llamada
telefónica o correo electrónico:

Ponemon Institute LLC

Atención: Research Department
2308 US 31 North
Traverse City, Michigan 49629 EE.UU.
1.800.887.3118
research@ponemon.org

Ponemon Institute
Avances en la administración responsable de información

El Ponemon Institute se dedica a la investigación y educación independientes que ofrecen avances en las
prácticas de administración responsable de la información y la privacidad en la empresa y el gobierno.
Nuestra misión es llevar a cabo estudios empíricos de alta calidad sobre temas críticos que afectan la
administración y seguridad de información sensible sobre personas y organizaciones.

Como miembro del Council of American Survey Research Organizations (CASRO), cumplimos con
estándares estrictos de confidencialidad, privacidad e investigación ética. No reunimos ninguna información
de identificación personal de individuos (ni información identificable de empresas) en nuestra investigación
empresarial. Asimismo, tenemos estándares estrictos de calidad para asegurar que no se formulen a las
personas preguntas superfluas, irrelevantes o inadecuadas.

©
Informe de investigación del Ponemon Institute Página 30