8

Rating ? Cualidades clave ?

Científico
Ejemplos
concretos
Por expertos

Ver video

¿Cuál es el costo real de

una fuga de información?
David Breg y Rob Sloan, del WSJ, conversan sobre cómo la comprensión
de los costos de una fuga de información puede ayudar a las
empresas a organizar sus defensas y priorizar las inversiones
(What Is the Real Cost of a Breach?)
David Breg • WSJ Video © 2020

Gestión / Gestión de riesgos / Seguridad cibernética

Ideas fundamentales
• El robo de datos genera costos directos e indirectos.
• Los costos a largo plazo incluyen la pérdida de ingresos.
• El daño a la reputación de una empresa resulta ser uno de los costos más difíciles de determinar.
• Ponemon estima que el costo medio del robo de datos en 2020 sería de 3,86 millones de dólares.
• Target Corporation experimentó un robo masivo de datos a finales de 2013, lo que puso en riesgo 110
millones de conjuntos de datos de clientes y 40 millones de tarjetas de crédito.

1 de 4

LoginContext[cu=6552001,aff=1536,subs=1,free=0,lo=es,co=PE] 2021-11-23 01:41:38 CET

 Reseña
El robo de datos es cada vez más común, en todo tipo y tamaño de empresas. Los ataques pueden
resultar inevitables con el paso del tiempo, pero la investigación y la preparación de los expertos pueden
traducirse en un menor daño a las cuentas bancarias y a la reputación de las empresas. Este reportaje del
Wall Street Journal cita la investigación de Ponemon sobre la protección de datos y la seguridad de los
sistemas, junto con información de otras organizaciones que evalúan a profundidad los costos de los robos.

Resumen

El robo de datos genera costos directos e indirectos.

La prevención y la preparación ante las fugas de información implica encargar a los principales interesados
y al personal de gestión el diseño de defensas eficaces. Determinar los costos intangibles de las fugas de
información supone un reto, mientras que otros costos más directos resultan más fáciles de calcular. Hasta
la fecha, pocos estudios han detallado los costos de las fugas de información porque cada escenario tiene
diversos componentes.

“Cada vez es más probable que una empresa u organización tenga que hacer frente al
costo de una fuga de información, y es mejor estar preparado que sorprenderse cuando
ocurra una.”

Reaccionar antes de que una filtración de datos se intensifique podría mitigar los daños, pero muchas no se
detectan hasta pasados al menos 200 días, lo que permite a los atacantes contar con una sólida ventaja. Las
empresas suelen contratar a terceros, como especialistas forenses y de evaluación, para que las guíen en el
proceso. Aunque las empresas más grandes suelen emplear a especialistas con experiencia en ciberataques,
la mayoría se beneficia de la contratación de expertos en relaciones públicas, quienes se encargan de la
comunicación con las partes interesadas, la dirección, los miembros del consejo de administración y los
clientes afectados durante una crisis. Los reguladores e investigadores gubernamentales tendrán que
participar en el plan de respuesta. Las empresas pueden calcular el costo de estos servicios y prever los
costos cubiertos por el seguro.

Los costos a largo plazo incluyen la pérdida de ingresos.

La pérdida de ingresos puede resultar menos onerosa que en años anteriores, porque algunos socios y
clientes tienden a considerar estos incidentes como un costo empresarial inevitable. Una estrategia consiste
en transferir el negocio a un proveedor o competidor mientras se resuelve la fuga de información.

Los costos inmediatos incluyen el establecimiento de nuevas cuentas de clientes y la protección y el control
de la identidad. Estos costos pueden acumularse a lo largo de numerosos ciclos presupuestarios.

“Algunos estudios han demostrado que, a menudo, se tarda varios meses e incluso años
en determinar las multas reglamentarias y resolver las demandas.”

www.getabstract.com
2 de 4

LoginContext[cu=6552001,aff=1536,subs=1,free=0,lo=es,co=PE] 2021-11-23 01:41:38 CET

 Según el Consejo de Asesores Económicos de la Casa Blanca, las multas, los costos legales y los honorarios
de los proveedores pueden determinarse razonablemente, pero la pérdida de negocio representa un objetivo
más difícil. Los clientes a veces no se quejan de la fuga de información, por lo que las empresas deben
adivinar por qué dejaron de comprar servicios o productos. Determinar cuánto gastan los empleados en la
reparación de la fuga en lugar de en sus tareas normales, supone un reto único.

El daño a la reputación de una empresa resulta ser uno de los costos más difíciles de
determinar.

La cobertura mediática de una filtración causa daños, pero más allá de sumar al número de historias
publicadas en los medios tradicionales y sociales, resulta difícil estimar las pérdidas ocasionadas por
la información distribuida. Por ejemplo, si las acciones de una empresa se hunden después de una filtración,
¿cuál es la pérdida exacta que ha causado el ataque? ¿Cuál es el valor de la propiedad intelectual robada?

Ponemon estima que el costo medio del robo de datos en 2020 sería de 3,86
millones de dólares.

Esta cifra solo ha aumentado un 10 % a nivel mundial desde 2014, frente al rápido incremento de los costos
del ransomware. Estados Unidos ha experimentado un crecimiento del costo en un 46 % en seis años. La
pérdida de negocio, el mayor factor de pérdida por fugas de información, comprende el 40 % del costo, con
una media de 1,52 millones de dólares. El sector sanitario representa el mayor costo promedio, con 7,13
millones de dólares, mostrando un incremento del 10 % desde 2019. Las empresas con 25.000 empleados
o más perdieron una media de 5,5 millones de dólares, mientras que las que tienen menos de 500 personas
perdieron unos 2,6 millones. Las fugas de información suelen perjudicar más a las empresas pequeñas que a
las grandes.

No cabe duda de que las infracciones resultarán más caras con el tiempo. Las multas gubernamentales
contribuyen al costo de las filtraciones. Por ejemplo, la Ley de Privacidad del Consumidor de California
impone multas de 1.000 a 2.500 dólares por registros comprometidos involuntariamente, y de 7.500 dólares
por registros comprometidos intencionalmente. El número promedio de registros perdidos en una filtración
de datos típica (32.000) podría costar a una empresa californiana 80 millones de dólares más en multas,
con la tasa más baja. British Airways tuvo sanciones de 183 millones de libras, o unos 200 millones de
dólares, por una fuga de información de 2018 en las que perdió datos de 500.000 clientes. La multa se
rebajó recientemente a 20 millones de libras, lo que sigue siendo una cantidad importante.

Target Corporation experimentó un robo masivo de datos a finales de 2013, lo que

puso en riesgo 110 millones de conjuntos de datos de clientes y 40 millones de
tarjetas de crédito.

Tras la fuga de información de Target, se produjeron varios años de costos, incluyendo reembolsos a
los clientes, actualizaciones de software, honorarios legales y gastos para gestionar la reparación de la
reputación de la empresa.

Las débiles ventas navideñas contribuyeron a una pérdida del 46 % de las ganancias en el cuarto trimestre
de 2013. Poco después, Target gastó 100 millones de dólares para mejorar sus cajas registradoras. También

www.getabstract.com
3 de 4

LoginContext[cu=6552001,aff=1536,subs=1,free=0,lo=es,co=PE] 2021-11-23 01:41:38 CET

 hubo gastos bancarios y legales relacionados con la escalada de fugas de información. El informe anual
de 2016 de la compañía reporta los acuerdos con bancos, compañías de tarjetas de crédito, sindicatos y
una demanda colectiva de consumidores. La cantidad total ascendió a más de 160 millones de dólares,
excluyendo los honorarios de los abogados. Target pagó millones más en años posteriores, lo que elevó el
costo total de la fuga de información a 300 millones de dólares, compensados por 90 millones de dólares en
pagos de seguros. Las actividades de recuperación de los empleados, la pérdida de negocio y los daños a la
reputación, probablemente costaron a la empresa cientos de millones más. Al parecer, un negocio pequeño
en su cadena de suministro desencadenó la fuga de información.

“Sabemos que los atacantes a veces consiguen atravesar incluso las defensas más fuertes.
Por ello, debe planificar su presupuesto en consecuencia con ello.”

Para evitar los costos de los robos de datos, las empresas deberían solicitar de antemano la investigación de
expertos en estos casos, y contratarlos si es posible. Estos expertos conocen los pasos específicos que hay que
dar tras una filtración, incluyendo cuándo y cómo notificar a las autoridades. La dirección debe desarrollar
un plan de acción con el personal de seguridad que estime el costo razonable de una fuga de datos para la
empresa.

Acerca del orador

David Breg es gerente sénior de investigación de Wall Street Journal Pro, donde Rob Sloan es director
de investigación.

¿Le gustó este resumen?

Ver video
http://getab.li/42890

Este resumen solo puede ser leído por Edson Rodriguez (erodriguez@cajadelsanta.pe)
getAbstract asume completa responsabilidad editorial por todos los aspectos de este resumen. getAbstract reconoce los derechos de autor de
autores y editoriales. Todos los derechos reservados. Ninguna parte de este resumen puede ser reproducida ni transmitida de ninguna forma y por
ningún medio, ya sea electrónico, fotocopiado o de cualquier otro tipo, sin previa autorización por escrito de getAbstract AG (Suiza).

4 de 4
LoginContext[cu=6552001,aff=1536,subs=1,free=0,lo=es,co=PE] 2021-11-23 01:41:38 CET