Documentos de Académico
Documentos de Profesional
Documentos de Cultura
el coste de una
brecha de datos
2021
1
Resumen ejecutivo
Resumen ejecutivo
Metodología de la Investigación Con una investigación realizada de forma independiente por A través de casi 3.500 entrevistas, planteamos muchas
el Ponemon Institute, este informe, patrocinado, analizado preguntas para determinar cuál fue la inversión de las
Acerca de IBM Security y el
y publicado por IBM Security, estudió 537 brechas de datos empresas en relación con la detección y la resolución
Ponemon Institute
reales en 17 países y regiones y 17 sectores distintos. inmediata de brechas de datos.
1 Vectores de ataque inicial que fueron los principales responsables de causar las brechas
3
Los efectos de la inteligencia artificial (IA) y la automatización de la
seguridad y la respuesta a incidentes en el coste medio total
2
Resumen ejecutivo
Resumen ejecutivo
Cada año, nos proponemos renovar el informe para ofrecer un
Principales conclusiones
análisis que se base en la investigación de los años anteriores
y abra nuevas vías para estar al día de los cambios de la
Cómo calculamos el coste
tecnología y los acontecimientos y proporcione una imagen
más relevante de los riesgos y las estrategias para proteger
Conclusiones completas
los datos y responder a una brecha. La edición 2021 de este
informe cuenta con un nuevo análisis relacionado con el avance
Cuantificación del riesgo
del método “zero trust”, los riesgos que siguen haciendo
imprescindible la seguridad en la nube y la aceleración del
Recomendaciones de seguridad
teletrabajo como consecuencia de la pandemia.
Metodología de la Investigación
— Este resumen ejecutivo con las principales conclusiones
y comentarios sobre cómo se han calculado los costes
Acerca de IBM Security y el
de la brechas de datos
Ponemon Institute
— Un análisis detallado de todas las conclusiones del
Dar los pasos siguientes informe, con docenas de gráficos
3
Resumen ejecutivo
Resumen ejecutivo
Recomendaciones de seguridad
Los costes de las brechas de datos han aumentado de El coste medio fue 1,07 millones de dólares más alto en Los costes de las brechas de datos en el sector sanitario
3,86 a 4,24 millones de dólares, el mayor coste total las brechas de datos en las que el teletrabajo fue un factor han aumentado de un coste total medio de 7,13 millones
medio en la historia de este informe. Los costes han sido causante de la brecha, en comparación con aquellas donde de dólares en 2020 a 9,23 millones en 2021, un 29,5 %
considerablemente menores para algunas empresas con no lo fue. El porcentaje de empresas en las que el teletrabajo mayor. Los costes varían mucho según el sector y de
una postura de seguridad más afianzada, y mayores para fue un factor de la brecha de datos fue del 17,5 %. Además, un año a otro. Los costes en el sector energético se han
aquellas que se quedaron rezagadas en áreas como la las empresas que tenían más del 50 % de su plantilla reducido de 6,39 millones de dólares en 2020 a una
IA y la automatización de la seguridad, “zero trust” y la teletrabajando tardaron 58 días más en identificar y media de 4,65 millones en 2021. Los costes se han
seguridad en la nube. contener las brechas de datos que las que tenían un 50 % disparado en el sector público, que ha tenido un aumento
o menos. Los cambios de TI, como la migración a la nube del 78,7 % del coste total medio, pasando de 1,08
Nota: Los importes de los costes en este informe se miden y el teletrabajo, han aumentado los costes; sin embargo, a 1,93 millones de dólares.
en dólares estadounidenses.
las empresas que no han implementado cambios para la
transformación digital como resultado del COVID-19 han
tenido 750.000 dólares más de costes respecto al promedio
global, una diferencia del 16,6 %.
4
Resumen ejecutivo
Resumen ejecutivo
Principales conclusiones
Conclusiones completas
Recomendaciones de seguridad
La perdida de negocio ha representado el 38 % de la La información de identificación personal (PII) del La vulneración de correo electrónico de empresa (BEC, del
media global y ha aumentado ligeramente respecto a los cliente ha sido también el tipo de registro más costoso, inglés Business Email Compromise) ha sido responsable
1,52 millones de dólares del estudio de 2020. Entre los con 180 dólares por registro perdido o robado. El coste de solo el 4 % de las brechas de datos, pero ha tenido
costes asociados a la pérdida de negocio, se incluyeron medio global por registro en el estudio de 2021 ha sido de el mayor coste total medio de los 10 vectores de ataque
la rotación de clientes, la pérdida de negocio debida al 161 dólares, un aumento respecto a los 146 dólares por inicial en el estudio, con 5,01 millones de dólares. En
tiempo de inactividad del sistema y el aumento del coste registro perdido o robado en el informe del año 2020. segundo lugar se encuentra el phishing (4,65 millones de
de conseguir nuevas oportunidades comerciales debido al dólares), seguido de personas con información privilegiada
menoscabo de la reputación. malintencionadas (4,61 millones de dólares), la ingeniería
social (4,47 millones de dólares) y las credenciales
comprometidas (4,37 millones de dólares).
5
Resumen ejecutivo
Resumen ejecutivo
Principales conclusiones
Conclusiones completas
Recomendaciones de seguridad
Cuanto más se ha tardado en la El coste medio de una megabrecha fue de 401 millones de Una aproximación “zero trust” ha ayudado
identificación y contención, dólares para brechas de entre 50 y 65 millones de registros, a reducir el coste medio de una
más costosa ha sido la brecha. un aumento respecto a los 392 millones de dólares en 2020. brecha de datos.
Las brechas de datos cuya identificación y contención requirió En una pequeña muestra de megabrechas de 1 millón El coste medio de una brecha de datos fue de 5,04 millones
más de 200 días costaron de media 4,87 millones de dólares, a 65 millones de registros, el coste de las brechas se de dólares para las empresas sin despliegue “zero trust”.
frente a los 3,61 millones de dólares de las brechas para las multiplicó respecto al coste medio de las brechas más Sin embargo, en la fase avanzada del despliegue “zero
que se requirieron menos de 200 días. En total, la identificación pequeñas. Las brechas de entre 50 y 65 millones de trust”, el coste medio de una brecha de datos fue de
y contención de una brecha de datos requirió de media 287 registros fueron casi 100 veces más caras que las brechas 3,28 millones de dólares, 1,76 millones menos que para las
días, siete días más respecto al informe anterior. Para poner de entre 1.000 y 100.000 registros. empresas sin “zero trust”, lo que representa una diferencia
esto en perspectiva, si la identificación y contención de una del 2,3 %.
brecha de datos ocurrida el 1 de enero requiriera 287 días, no
sería contenida hasta el 14 de octubre. El tiempo medio para la
identificación y contención varió considerablemente en función
del tipo de brecha de datos, el vector de ataque, factores como
la utilización de IA y automatización de la seguridad, y la fase
de modernización a la nube.
6
Resumen ejecutivo
Resumen ejecutivo
Principales conclusiones
Conclusiones completas
Recomendaciones de seguridad
La IA y la automatización de la La nube híbrida tuvo el menor coste total medio de una La complejidad del sistema y los incumplimientos
seguridad tuvieron el mayor impacto brecha de datos, en comparación con los modelos de normativos fueron los principales factores
positivo en los costes. nube pública, privada y entorno local. amplificadores de los costes de las brechas de datos.
Las empresas con un despliegue completo de IA Las brechas de datos en entornos de nube híbrida costaron El coste medio de una brecha de datos en las empresas
y automatización de la seguridad tuvieron unos costes de brecha de media 3,61 millones de dólares, 1,19 millones menos con un nivel alto de complejidad del sistema fue
de datos de 2,90 millones de dólares, frente a los 6,71 millones que las brechas de datos de nube pública, o una diferencia 2,15 millones de dólares mayor que en las que tenían
de dólares de las empresas sin IA y automatización de la del 28,3 %. Mientras que las empresas que tenían en niveles bajos de complejidad. La presencia de un alto nivel
seguridad. La diferencia de 3,81 millones de dólares, o casi curso una migración a la nube a gran escala tuvieron de incumplimientos normativos se asoció con costes de
el 80 %, representa la mayor discrepancia en el estudio si se mayores costes de brechas de datos, las que tenían brechas de datos que fueron 2,30 millones de dólares más
comparan las brechas de datos con y sin un factor de coste una modernización de la nube más avanzada pudieron altos que los costes de brechas de datos en las empresas
específico. Las empresas con un despliegue completo o parcial identificar y contener las brechas 77 días más rápido que que no presentaban este factor.
de IA y automatización de la seguridad representaban el 65 % las que estaban en las etapas iniciales de la modernización.
en 2021, frente al 59 % en 2020, con un aumento de 6 puntos
porcentuales y continuando una tendencia al alza. La IA y la
automatización de seguridad se asociaron con una identificación
y contención más rápidas de la brecha de datos.
7
Resumen ejecutivo
Resumen ejecutivo
Principales conclusiones
Conclusiones completas
Recomendaciones de seguridad
8
Resumen ejecutivo
Resumen ejecutivo
— Multas regulatorias
9
Conclusiones completas
Resumen ejecutivo
COVID-19 y el teletrabajo
4. Incumplimientos normativos
Coste de una megabrecha
Metodología de la Investigación
8. COVID-19 y el teletrabajo
Acerca de IBM Security y el
Ponemon Institute 9. Coste de una megabrecha
10
Conclusiones completas
Resumen ejecutivo
COVID-19 y el teletrabajo
4,24m $
Recomendaciones de seguridad
Metodología de la Investigación Coste total medio a nivel global de una brecha de datos
11
Conclusiones completas
4,40 USD
Vectores de ataque inicial
4,24 USD
4,00 USD
Incumplimientos normativos
4,00 USD 3,92 USD
3,86 USD 3,86 USD
Impacto de “zero trust” 3,79 USD
3,80 USD
IA y automatización de la seguridad 3,62 USD
3,60 USD
Brechas de datos y migración en la nube
Metodología de la Investigación
El coste total medio de una brecha de datos tuvo el El aumento de 0,38 millones de dólares (380.000 dólares)
Acerca de IBM Security y el
Ponemon Institute mayor aumento en siete años. representa un aumento del 9,8 %. En comparación, desde
el informe de 2019 al de 2020 hubo un descenso del 1,5 %.
Los costes de la brecha de datos aumentaron
Dar los pasos siguientes El coste de una brecha de datos ha aumentado en un
considerablemente de un año a otro, desde el informe
11,9 % desde 2015.
de 2020 al de 2021, pasando de 3,86 millones de dólares
en 2020 a 4,24 millones en 2021.
12
Conclusiones completas
180 USD
Vectores de ataque inicial
141 USD
Brechas de datos y migración en la nube
140 USD
COVID-19 y el teletrabajo
130 USD
Coste de una megabrecha
Metodología de la Investigación
El coste medio por registro (per cápita) de una brecha de *No es congruente con esta investigación el uso del coste por
Acerca de IBM Security y el registro para calcular el coste de una brecha de datos individual o de
Ponemon Institute datos aumentó en un 10,3 % de 2020 a 2021. varias brechas de datos de más de 100.000 registros. Para obtener
más información, consulte la sección Metodología del estudio.
En 2021 el coste por registro de una brecha fue de
Dar los pasos siguientes
161 dólares, frente a un coste medio de 146 dólares
en 2020. Esto supone un aumento del 14,2 % desde
el informe de 2017, cuando el coste medio por registro
era de 141 dólares.
13
Conclusiones completas
Conclusiones completas Coste total medio de una brecha de datos por país o región
Medido en millones de dólares
Conclusiones globales y puntos
destacados
Estados Unidos fue el país con el coste total Canadá Reino Unido Alemania Escandinavia Turquía Corea del Sur Japón
medio más alto de una brecha de datos por 2021 5,40 $ 2021 4,67 $ 2021 4,89 $ 2021 2,67 $ 2021 1,91 $ 2021 3,68 $ 2021 4,69 $
Vectores de ataque inicial
undécimo año consecutivo. 2020 4,50 $ 2020 3,90 $ 2020 4,45 $ 2020 2,51 $ 2020 1,77 $ 2020 3,12 $ 2020 4,19 $
14
Conclusiones completas
Conclusiones completas Coste total medio de una brecha de datos por sector
Medido en millones de dólares
Conclusiones globales y puntos
destacados
La sanidad fue el sector con el coste total medio más
Atención sanitaria USD 9,23
USD 7,13 alto por undécimo año consecutivo.
Vectores de ataque inicial
Finanzas USD 5,72
USD 5,85 Los cinco sectores con el coste total medio más alto fueron:
Ciclo de vida de una brecha de datos
USD 5,04
USD 5,06 1. Atención sanitaria
Incumplimientos normativos
Tecnología USD 4,88
USD 5,04 2. Finanzas
Impacto de “zero trust”
Energía $4.65
USD 6,39 3. Productos farmacéuticos
IA y automatización de la seguridad
Servicios USD 4,65 4. Tecnología
USD 4,23
Brechas de datos y migración en la nube
USD 4,24
Sector industrial 5. Energía
USD 4,99
COVID-19 y el teletrabajo
Promedio global USD 4,24
USD 3,86 El coste total medio para la sanidad aumentó de
Coste de una megabrecha
Entretenimiento USD 3,80 7,13 millones de dólares en 2020 a 9,23 millones en
$4.08
2021, lo que supone un aumento del 29,5 %. El sector
Cuantificación del riesgo USD 3,79
Educación energético bajó del segundo al quinto puesto de los
USD 3,90
Recomendaciones de seguridad USD 3,75 sectores con mayor coste, con una disminución del coste
Transporte
USD 3,58 de 6,39 millones de dólares en 2020 a 4,65 millones en
Características de las empresas Consumidor USD 3,70 2021 (una disminución del 27,2 %).
USD 2,59
Metodología de la Investigación Comunicaciones USD 3,62 Otros sectores que tuvieron importantes aumentos
USD 3,01
de costes fueron los de servicios (aumento del 7,8 %),
USD 3,60
Acerca de IBM Security y el Investigación comunicaciones (aumento del 20,3 %), consumo (aumento
USD 1,53
Ponemon Institute del 42,9 %), distribución (aumento del 62,7 %), audiovisual
Comercio Minorista USD 3,27
USD 2,01 (aumento del 92,1 %), hostelería (aumento del 76,2 %)
Dar los pasos siguientes USD 3,17 y sector público (aumento del 78,7 %).
Medios
USD 1,65
USD 0,00 USD 1,00 USD 2,00 USD 3,00 USD 4,00 USD 5,00 USD 6,00 USD 7,00 USD 8,00 USD 9,00 USD 10,00
2021 2020
15
Conclusiones completas
Conclusiones completas Coste total medio de una brecha de datos dividido en cuatro categorías
Medido en millones de dólares
Conclusiones globales y puntos
destacados
La pérdida de negocio siguió representando la mayor
parte de los costes de la brecha de datos por séptimo
Vectores de ataque inicial
año consecutivo.
Ciclo de vida de una brecha de datos
De las cuatro categorías de costes, con un coste total
Incumplimientos normativos medio de 1,59 millones de dólares, la pérdida de negocio
representó el 38 % del coste total medio de una brecha
Impacto de “zero trust” de datos. Los costes de pérdida de negocio incluyen:
interrupción del negocio y pérdidas de ingresos por tiempo
IA y automatización de la seguridad 1,24 USD de inactividad del sistema, coste de la pérdida de clientes
29 % y de la adquisición de nuevos clientes, pérdidas de
Brechas de datos y migración en la nube
reputación y disminución de fondos comerciales.
COVID-19 y el teletrabajo
1,59 USD
38 % La segunda categoría más costosa fue la de detección
Coste de una megabrecha
16
Conclusiones completas
Propiedad intelectual 27 %
IA y automatización de la seguridad
Recomendaciones de seguridad
Metodología de la Investigación
17
Conclusiones completas
Conclusiones completas Coste medio por registro por tipo de datos comprometidos
Medido en dólares
Conclusiones globales y puntos
destacados
IA y automatización de la seguridad
Otros datos confidenciales 165 USD
Brechas de datos y migración en la nube
Metodología de la Investigación
18
Conclusiones completas
Resumen ejecutivo
COVID-19 y el teletrabajo
Principal conclusión
Coste de una megabrecha
Recomendaciones de seguridad
19
Conclusiones completas
Recomendaciones de seguridad
3,00 USD
0% 2% 4% 6% 8% 10 % 12 % 14 % 16 % 18 % 20 % 22 %
Características de las empresas
Metodología de la Investigación
El vector de ataque inicial más habitual en 2021 fue el de coste total medio, con 5,01 millones de dólares. El segundo con un pequeño cambio de orden. El phishing subió del
Acerca de IBM Security y el
Ponemon Institute las credenciales comprometidas, responsable del 20 % vector de ataque inicial más costoso fue el phishing cuarto al segundo puesto, y la configuración incorrecta
de las brechas de datos. (4,65 millones de dólares), seguido de personas con de la nube descendió del segundo al tercer puesto. Las
Dar los pasos siguientes información privilegiada malintencionadas (4,61 millones vulnerabilidades de software de terceros (coste medio
En 2021, los vectores de ataque inicial más frecuentes
de dólares), la ingeniería social (4,47 millones de dólares) de 4,33 millones de dólares) cayeron del tercer al cuarto
fueron (1) credenciales comprometidas (el 20 % de las
y las credenciales comprometidas (4,37 millones de puesto en frecuencia, una categoría que fue el vector de
brechas de datos) (2) phishing (el 17 %) (3) configuración
dólares). Los cuatro principales vectores de ataque inicial ataque inicial en el 14 % de las brechas de datos en 2021,
incorrecta de la nube (el 15 %). El BEC fue responsable de
fueron los mismos en 2021 que en el estudio de 2020, frente al 16 % de las brechas de datos en 2020.
solo el 4 % de las brechas de datos, pero tuvo el mayor
20
Conclusiones completas
Resumen ejecutivo
COVID-19 y el teletrabajo
Recomendaciones de seguridad
21
Conclusiones completas
Conclusiones completas Tiempo medio necesario para identificar y contener una brecha de datos
Medido en días
Conclusiones globales y puntos
destacados
Incumplimientos normativos
2019 206 73 279
Impacto de “zero trust”
COVID-19 y el teletrabajo
2016 201 70 271
Metodología de la Investigación
22
Conclusiones completas
Conclusiones completas Tiempo medio para identificar y contener una brecha de datos
Conclusiones globales y puntos por vector de ataque inicial
destacados
Medido en días De media, una brecha de datos causada por credenciales
Credenciales comprometidas 250 91 341 robadas que tuviera lugar el 1 de enero no se contendría
Vectores de ataque inicial
hasta el 7 de diciembre.
Ciclo de vida de una brecha de datos 238 79 317 Las brechas de datos causadas por credenciales robadas
Incumplimientos normativos o comprometidas fueron las que requirieron el mayor
231 75 306 número medio de días para su identificación (250)
Impacto de “zero trust” y contención (91), para un promedio total de 341 días de
Phishing 213 80 293 media. El BEC tuvo el segundo ciclo de vida de brecha de
IA y automatización de la seguridad
datos más largo, de 317 días, y las brechas de datos debido
Brechas de datos y migración en la nube Riesgo para la seguridad física 223 69 292 a personas con información privilegiada malintencionadas
necesitaron el tercer número más alto de días para su
COVID-19 y el teletrabajo Ingeniería social 215 75 identificación y contención, con 306 días.
290
23
Conclusiones completas
Incumplimientos normativos 4,87 USD Una brecha de datos con un ciclo de vida superior a 200
5,00 USD
4,56 USD días costó de media 4,87 millones de dólares en 2021,
Impacto de “zero trust” 4,33 USD
4,15 USD frente a los 3,61 millones de dólares de un brecha de datos
4,00 USD 3,75 USD con un ciclo de vida inferior a 200 días. La diferencia de
IA y automatización de la seguridad 3,61 USD 3,61 USD
1,26 millones de dólares representa una diferencia del
3,32 USD 3,34 USD
3,21 USD 3,21 USD
Brechas de datos y migración en la nube 29,7 %. Esta diferencia entre brechas de datos con un ciclo
3,00 USD 2,79 USD de vida inferior/superior a 200 días fue de 1,12 millones de
2,65 USD 2,54 USD
COVID-19 y el teletrabajo dólares en 2020. Esto significa que el coste beneficioso de
la contención en menos de 200 días creció de 2020 a 2021.
Coste de una megabrecha 2,00 USD
Tweet
Cuantificación del riesgo
1,00 USD
Recomendaciones de seguridad
24
Conclusiones completas
Conclusiones completas Coste total medio de una brecha de datos con equipo
Conclusiones globales y puntos de IR (respuesta a incidentes) y pruebas de plan de IR
destacados
Medido en millones de dólares Los equipos de respuesta a incidentes y las pruebas del
plan de respuesta a incidentes continuaron mitigando
Vectores de ataque inicial
los costes en 2021.
6,00 USD 5,71 USD
Ciclo de vida de una brecha de datos
La discrepancia en el coste total medio entre las brechas
5,09 USD
Incumplimientos normativos de datos en empresas con equipos de IR y pruebas
5,00 USD 4,74 USD
de plan de IR (funciones de IR) y empresas sin equipo de
Impacto de “zero trust” IR ni pruebas de plan de IR continuaron aumentado. Las
3,88 USD 4,01 USD
4,00 USD
brechas de datos en empresas con funciones de IR costó
IA y automatización de la seguridad 3,63 USD 3,62 USD 3,51 USD
3,56 USD 3,60 USD 3,32 USD
de media 3,25 millones de dólares en 2021, frente a los
Brechas de datos y migración en la nube
3,25 USD 3,32 millones de dólares de 2020. El coste total medio de
3,00 USD una brecha de datos en empresas sin funciones de IR fue
COVID-19 y el teletrabajo de 5,71 millones de dólares en 2021, un aumento respecto
a los 5,09 millones de dólares de 2020. La diferencia en
Coste de una megabrecha 2,00 USD el coste total medio entre empresas con funciones de IR
frente a aquellas que no tienen funciones de IR fue de
Cuantificación del riesgo
2,46 millones de dólares en 2021, lo que representa una
1,00 USD
diferencia del 54,9 %.
Recomendaciones de seguridad
La diferencia media de coste entre brechas de datos en
Características de las empresas 0,00 USD
empresas con funciones de IR y empresas sin funciones
Equipo de IR formado Pruebas del plan de IR
de IR fue del 42,1 % en 2020. Esto indica una efectividad
Metodología de la Investigación
2019 2020 2021 creciente en la diferencia de coste de las funciones de IR
de 2020 a 2021 (una diferencia de 2,46 millones de dólares
Acerca de IBM Security y el
Ponemon Institute en 2021 frente a 1,77 millones de dólares en 2020). El
coste total medio de una brecha de datos en empresas
Dar los pasos siguientes con funciones de IR tuvo una diferencia del 26,4 % en
comparación con el coste total medio de 4,24 millones de
dólares en 2021.
25
Conclusiones completas
Resumen ejecutivo
Brechas de datos y migración en la nube A continuación, decidimos analizar la diferencia relativa a los empresas del sector del comercio minorista, el industrial, el
costes a largo plazo derivados de brechas sucedidas en del ocio, el de los medios de comunicación, el de servicios
COVID-19 y el teletrabajo sectores con regulaciones muy estrictas frente a aquellas de investigación y el de la hostelería se encuentran en
que se produjeron en sectores con regulaciones de entornos menos regulados. En el análisis de los sectores
Coste de una megabrecha
protección de datos menos restrictivas. Entre los primeros, de categorías con regulación estricta frente a sectores de
incluimos el sector público, el energético, el sanitario, el de categorías con regulación laxa, concluimos que los costes
Cuantificación del riesgo
consumo, el financiero, el tecnológico, el farmacéutico, el de regulativos y legales pueden haber contribuido a que los
Recomendaciones de seguridad las comunicaciones y el educativo. Consideramos que las costes sean mayores en los años posteriores a una brecha.
5,65m $
Acerca de IBM Security y el
Ponemon Institute
26
Conclusiones completas
COVID-19 y el teletrabajo
2,00 USD
Coste de una megabrecha
1,00 USD
Cuantificación del riesgo
Metodología de la Investigación
27
Conclusiones completas
Conclusiones completas Distribución media de los costes de la brecha de datos a lo largo del
Conclusiones globales y puntos tiempo en entornos estrictamente regulados vs. menos restrictivos
destacados
Porcentaje de los costes totales acumulados en intervalos de tres meses
Vectores de ataque inicial
Incumplimientos normativos
IA y automatización de la seguridad
COVID-19 y el teletrabajo
Recomendaciones de seguridad
Metodología de la Investigación
Acerca de IBM Security y el Las brechas de datos en entornos normativos más Los promedios globales revelaron que el 16 % de los costes
Ponemon Institute estrictos tendieron a ver más costes acumulados en de la brecha de datos se produjeron al cabo de dos años.
los años posteriores a la brecha de datos. En los sectores menos restrictivos, el 68 % de los costes se
Dar los pasos siguientes produjeron en los primeros 12 meses, frente al 46 % de los
La diferencia entre entornos estrictamente regulados
costes en los sectores estrictcamente regulados. Nota:
y entornos menos restrictivos fue más pronunciada en
Esta investigación ha examinado un muestra de brechas
los costes de la brecha de datos incurridos al cabo de dos
de datos a lo largo de más de dos años: 83 brechas de
años. En los sectores estrictamente regulados, el 20 %
datos en un entorno estrictamente regulado y 101 en un
de los costes se produjeron después de dos años, frente
entorno menos restrictivo.
al 11 % de los costes en los sectores menos restrictivos.
28
Conclusiones completas
Resumen ejecutivo
IA y automatización de la seguridad
COVID-19 y el teletrabajo
Principal conclusión
Coste de una megabrecha
5,04m $
Cuantificación del riesgo
Recomendaciones de seguridad
29
Conclusiones completas
IA y automatización de la seguridad
COVID-19 y el teletrabajo
Metodología de la Investigación
30
Conclusiones completas
IA y automatización de la seguridad
COVID-19 y el teletrabajo
Recomendaciones de seguridad
Metodología de la Investigación
31
Conclusiones completas
COVID-19 y el teletrabajo
Recomendaciones de seguridad
Metodología de la Investigación
Fase intermedia
Dar los pasos siguientes
Fase avanzada
32
Conclusiones completas
Metodología de la Investigación
33
Conclusiones completas
Conclusiones completas Impacto del cifrado en el coste medio de una brecha de datos
Medido en millones de dólares
Conclusiones globales y puntos
destacados
El uso del cifrado de alta seguridad, un componente
clave de “zero trust”, fue uno de los principales factores
Vectores de ataque inicial
atenuantes del coste.
Ciclo de vida de una brecha de datos
En un análisis de 25 factores de coste que amplían
Incumplimientos normativos o mitigan el coste total medio de una brecha de datos,
utilizar cifrado de alto nivel ocupó el tercer puesto entre los
Impacto de “zero trust” factores de mitigación de costes, tras la madurez en el uso
de plataformas de IA y la madurez en el uso de análisis.
IA y automatización de la seguridad
Las empresas que utilizaron el cifrado de alto nivel
Brechas de datos y migración en la nube
(utilizando al menos cifrado AES 256, en reposo y en
movimiento), tuvieron un coste total medio de una brecha
COVID-19 y el teletrabajo
de datos de 3,62 millones de dólares, en comparación con
Coste de una megabrecha los 4,87 millones de dólares de las empresas que utilizaron
el cifrado de bajo nivel o no utilizaron ningún cifrado, una
Cuantificación del riesgo diferencia de 1,25 millones de dólares, o el 29,4 %.
Recomendaciones de seguridad
Metodología de la Investigación
34
Conclusiones completas
Resumen ejecutivo
COVID-19 y el teletrabajo En el extremo opuesto del espectro están los procesos impulsados por entradas manuales, a menudo mediante muchas
herramientas y sistemas complejos, no integrados, sin datos compartidos entre ellos. De media, las empresas del estudio
Coste de una megabrecha tenían 34 herramientas de seguridad.
2,90m $
Características de las empresas
Metodología de la Investigación
35
Conclusiones completas
COVID-19 y el teletrabajo
60
2019 20 60
2020 20 60
2021 20
30 30 30
Recomendaciones de seguridad
50 50 50
Las organizaciones con automatización de la seguridad había desplegado parcialmente y el 41 % que no la había
Acerca de IBM Security y el
Ponemon Institute total o parcialmente desplegada aumentaron en seis desplegado. Las organizaciones con automatización de la
puntos porcentuales. seguridad total o parcialmente desplegada representaron
Dar los pasos siguientes el 65 % en 2021 frente al 59 % en 2020. Esto representa
En 2021, el 25 % de los encuestados había desplegado
un aumento de seis puntos porcentuales de las empresas
completamente la automatización de la seguridad,
con automatización total o parcialmente desplegada de
frente al 40 % que la había desplegado parcialmente
2020 a 2021, y una disminución de 6 puntos porcentuales
y el 35 % que no la había desplegado. En 2020, el 21 %
de las organizaciones sin automatización de la
de los encuestados había desplegado completamente
seguridad desplegada.
la automatización de la seguridad, frente al 38 % que la
36
Conclusiones completas
Incumplimientos normativos
3,81m $
Impacto de “zero trust”
IA y automatización de la seguridad
COVID-19 y el teletrabajo
Recomendaciones de seguridad
Metodología de la Investigación
El mayor ahorro de costes en el estudio fue para las En 2020, las empresas sin IA/automatización de la
Acerca de IBM Security y el
Ponemon Institute organizaciones con niveles altos de IA y automatización seguridad tuvieron unos costes de brecha de datos de
de la seguridad. 6,03 millones de dólares, frente a 2,45 millones de dólares
Dar los pasos siguientes con automatización de la seguridad totalmente desplegada,
Las empresas sin automatización de la seguridad tuvieron
una diferencia de 3,58 millones de dólares, o el 84,4 %.
unos costes de brecha de datos de 6,71 millones de dólares
Entre 2019 y 2021 aumentó el coste de una brecha de
de media en 2021, frente a 2,90 millones de dólares de
datos en empresas con automatización de la seguridad
media en las empresas con automatización de la seguridad
totalmente desplegada.
totalmente desplegada.
37
Conclusiones completas
Resumen ejecutivo
38
Conclusiones completas
Incumplimientos normativos
184
Mes 1
días necesarios para la identificación
2 3 4 5 6 7
63
8
días necesarios para la contención
9 Total de días
63
Impacto de “zero trust”
247
IA y automatización de la seguridad 184
Parcialmente desplegado
COVID-19 y el teletrabajo
Metodología de la Investigación
239 días necesarios para la identificación 85 días necesarios para la contención
Mes 1 2 3 4 5 6 7 8 9 10 11
Acerca de IBM Security y el
Ponemon Institute
85 324
239
Dar los pasos siguientes
39
Conclusiones completas
Recomendaciones de seguridad
Metodología de la Investigación
40
Conclusiones completas
2,50 USD
COVID-19 y el teletrabajo
2,00 USD
Coste de una megabrecha
1,50 USD
Cuantificación del riesgo
1,00 USD
Recomendaciones de seguridad
0,50 USD
Características de las empresas
-USD
Metodología de la Investigación Madurez en el uso de análisis Menos madurez en el uso de análisis
41
Conclusiones completas
COVID-19 y el teletrabajo
Recomendaciones de seguridad
Metodología de la Investigación
42
Conclusiones completas
Resumen ejecutivo
Incumplimientos normativos
252 días
Brechas de datos y migración en la nube
COVID-19 y el teletrabajo
Metodología de la Investigación
43
Conclusiones completas
Conclusiones completas Coste total medio de una brecha en la nube por tipo de nube
Medido en millones de dólares
Conclusiones globales y puntos
destacados
El modelo de nube híbrida tuvo el menor coste total
medio de una brecha de datos.
Vectores de ataque inicial
COVID-19 y el teletrabajo
Nube pública = al menos el 80 % obedece al entorno de nube pública
y no más del 20 % a la nube híbrida. Nube privada = al menos el 80 %
Coste de una megabrecha conforme al entorno de nube privada y no más del 20 % a la nube híbrida.
Recomendaciones de seguridad
Metodología de la Investigación
44
Conclusiones completas
3,00 USD
COVID-19 y el teletrabajo
45
Conclusiones completas
Conclusiones completas Días necesarios para la identificación y contención de una brecha de datos en la nube
Conclusiones globales y puntos según la etapa en la que se encuentre la organización en su modernización hacia la nube
destacados
Medido en días
Vectores de ataque inicial
Incumplimientos normativos
IA y automatización de la seguridad
COVID-19 y el teletrabajo
Recomendaciones de seguridad
Metodología de la Investigación
La identificación y contención de las brechas de datos de la nube (329 días en total), en comparación con 193 días
Acerca de IBM Security y el
Ponemon Institute requirió de media más tiempo en las empresas que se para la identificación y 59 días para la contención de una
encontraban en las primeras etapas de su transición brecha de datos en la nube en la fase avanzada de la
Dar los pasos siguientes general de modernización a la nube que en aquellas que modernización de la nube (252 días en total). En la fase
se encontraban en etapas intermedias o avanzadas. inicial de la modernización de la nube, se requirieron de
media 42 días más respecto al tiempo medio global, para
Las empresas requirieron de media 231 días para la
la identificación y contención de una brecha de datos
identificación y 98 días para la contención de una brecha
(329 días frente a 287 días).
de datos en la nube en la fase inicial de la modernización
46
Conclusiones completas
Resumen ejecutivo
COVID-19 y el teletrabajo
Recomendaciones de seguridad
Metodología de la Investigación
5,54m $
Coste medio de una brecha de datos en empresas donde
Acerca de IBM Security y el
entre el 81 y el 100 % de empleados teletrabajaban
Ponemon Institute
47
Conclusiones completas
Recomendaciones de seguridad
Metodología de la Investigación
48
Conclusiones completas
Recomendaciones de seguridad
Metodología de la Investigación
49
Conclusiones completas
COVID-19 y el teletrabajo
5,01m $
Coste de una megabrecha
Ninguna transformación
Cuantificación del riesgo
3,78m $
Características de las empresas
Transformación moderada
Metodología de la Investigación
50
Conclusiones completas
Incumplimientos normativos
IA y automatización de la seguridad
COVID-19 y el teletrabajo
Recomendaciones de seguridad
Metodología de la Investigación
Las empresas que habían implantado el teletrabajo con de una brecha de datos (316 días en total), en comparación
Acerca de IBM Security y el
Ponemon Institute un nivel superior al 50 % requirieron un tiempo superior con el promedio general de 212 días para la identificación
a la media para la identificación y contención de una y 75 días para la contención (287 días en total), lo que
Dar los pasos siguientes brecha de datos. supone una diferencia del 9,6 %. Con menos del 50 % de
adopción de teletrabajo, una brecha de datos requirió de
En las empresas en las que el teletrabajo tenía una
media 189 días para su identificación y 69 días para su
adopción superior al 50 %, se requirieron de media
contención (258 días en total), una diferencia del 10,6 %.
235 días para la identificación y 81 días para la contención
51
Conclusiones completas
Resumen ejecutivo
IA y automatización de la seguridad La investigación de este año se basa en el análisis de 14 empresas que sufrieron una brecha de datos que implicó la pérdida
o el robo de un millón de registros o más. Si quiere conocer todos los detalles de nuestra metodología, consulte la sección
Brechas de datos y migración en la nube preguntas y respuestas (FAQ) sobre el coste de una brecha de datos al final de este informe.
COVID-19 y el teletrabajo
401m $
Recomendaciones de seguridad
52
Conclusiones completas
Conclusiones completas Coste total medio de una megabrecha de datos por número de registros perdidos
Medido en millones de dólares
Conclusiones globales y puntos
destacados
El coste medio de una megabrecha fue de 401 millones
de dólares para las brechas más grandes (de entre
Vectores de ataque inicial
50 y 65 millones de registros), un aumento respecto
Ciclo de vida de una brecha de datos a los 392 millones de dólares en 2020.
Recomendaciones de seguridad
Metodología de la Investigación
53
Cuantificación del riesgo
Resumen ejecutivo
Acerca de IBM Security y el La cuantificación del riesgo puede ayudar a las empresas A continuación explicamos cómo el Análisis de Factores de
Ponemon Institute a identificar y priorizar el riesgo de seguridad para Riesgo de la información (FAIR), un estándar internacional
fundamentar decisiones como el despliegue de nuevas abierto para el modelado de ciberriesgos, combinado con
Dar los pasos siguientes
tecnologías, la realización de inversiones en la empresa la información de amenazas, puede ayudar a las empresas
y el cambio de procesos. Los CISO, los gestores de riesgos a evaluar el impacto potencial de los ciberriesgos mediante
y los equipos de seguridad pueden utilizar la investigación probabilidades y proyecciones financieras.
comparativa como el Informe sobre el coste de una brecha
de datos para inferir las tendencias generales y las medias
de costes en su sector o geografía.
54
Cuantificación del riesgo
Resumen ejecutivo
55
Cuantificación del riesgo
Resumen ejecutivo
Ámbito
Conclusiones completas Caso de ejemplo
Amenaza Tipo de amenaza Categoría del método Activo Efecto de la pérdida
Cuantificación del riesgo
Brecha de datos confidenciales
Actor(es) externo(s) Malicioso Ransomware Base de datos que contiene información Pérdida de
Escenario de servicios financieros
de servicios financieros de identificación personal (PII) y datos confidencialidad
de la industria de tarjetas de crédito (PCI)
Recomendaciones de seguridad
Este escenario hipotético analiza el riesgo asociado Asunciones
Características de las empresas a que un actor externo malicioso acceda a una base de
datos confidencial y utilice ransomware para detener las
Metodología de la Investigación operaciones y extorsionar a la empresa amenazando con Frecuencia de suceso de amenaza
exponer públicamente los datos robados.
Acerca de IBM Security y el 2-4 veces al año Según la frecuencia de contacto real,
Ponemon Institute los intentos de phishing y correo no deseado y los controles aplicados.
Implicando a los clientes del mundo real, nuestras
hipótesis, que sirven como datos de entrada para nuestro
Dar los pasos siguientes Vulnerabilidad
análisis, se han recopilado mediante talleres consultivos. En
este escenario, utilizamos promedios del sector financiero
5 % - 15 % Según la fortaleza de los controles de seguridad y la capacidad del actor de amenaza.
y lo aprendido de compromisos anteriores con los clientes
Se presume que los controles son fuertes frente a este tipo específico de amenaza.
como entrada para ejecutar el análisis estadístico.
Coste directo
Los salarios de los empleados se basan en el nivel de habilidad necesario para la reparación y restauración
75 - 150 dólares por hora Según el nivel de habilidad necesario para la respuesta específica
Registros confidenciales
56
Cuantificación del riesgo
18,9 USD
20 USD
10 USD
3,6 USD
0 USD
Pérdida máxima Pérdida media Pérdida mínima
57
Cuantificación del riesgo
Metodología de la Investigación
Sucesos más graves
Acerca de IBM Security y el
18,19m $
Ponemon Institute
18,9m $
30 %
5,7m $
58
Recomendaciones de seguridad
Resumen ejecutivo
59
Recomendaciones de seguridad
Resumen ejecutivo
Invierta en programas de conformidad, gobierno Proteja los datos confidenciales en los entornos de nube
Conclusiones completas
y gestión de riesgos. mediante políticas y cifrado.
Cuantificación del riesgo Disponer de un marco interno para las auditorías, que A medida que aumenta la cantidad y el valor de los datos
permita evaluar los riesgos en toda la empresa y realizar que se alojan en entornos de cloud, las empresas deben
Recomendaciones de seguridad
un seguimiento del cumplimiento de los requisitos de encontrar la manera de proteger las bases de datos
gobierno, puede mejorar la capacidad de la empresa para alojadas en el cloud. Utilice programas de retención
Características de las empresas
detectar una brecha de datos y escalar los esfuerzos de y esquemas de clasificación de datos como ayuda para
Metodología de la Investigación contención en cada caso. La metodología de cuantificación ampliar la visibilidad de la información confidencial
del riesgo FAIR puede ayudar a determinar la probabilidad vulnerable a una brecha de datos y reducir su volumen,
Acerca de IBM Security y el de incidentes de seguridad y calcular los costes asociados así como para protegerla mediante cifrado de datos
Ponemon Institute en valor de negocio. Cuantificar el coste de una posible y cifrado totalmente homomórfico. Utilice la exploración
brecha de datos puede ayudar en el proceso de toma de de vulnerabilidades, las pruebas de intrusión y las pruebas
Dar los pasos siguientes decisiones para la asignación de recursos. “red team” como ayuda para identificar las exposiciones
de vulnerabilidades y configuraciones incorrectas de bases
de datos alojadas en la nube.
Adopte una arquitectura de seguridad abierta y minimice
la complejidad de TI y de los entornos de seguridad.
Las recomendaciones relativas a prácticas de seguridad tienen una
En el estudio de este año, la complejidad de TI y de los finalidad formativa y no garantizan los resultados.
60
Características de las empresas
Resumen ejecutivo
61
Características de las empresas
17
5 %
Impacto del tamaño de la empresa Países
537
Acerca de IBM Security y el
Ponemon Institute Empresas
11 % 6 % 4 % 4 %
7 %
5 %
Dar los pasos siguientes
6 % 9 %
%
Contribución al estudio
7 % 5 %
4 %
5 %
4 %
Medio
Estados Unidos Latinoamérica Brasil Francia Italia Sudáfrica Oriente India ASEAN Australia
62
Características de las empresas
Consumo 5%
Metodología de la Investigación
Comunicación 5%
Acerca de IBM Security y el
Transporte 4%
Ponemon Institute
Hostelería 3%
Dar los pasos siguientes Farmacéutico 2%
Educación 2%
Multimedia 2%
Entretenimiento 2%
Sanidad 1%
Investigación 1%
0% 2% 4% 6% 8% 10 % 12 % 14 % 16 % 18 %
63
Características de las empresas
Resumen ejecutivo
Dar los pasos siguientes Empresas de procesos químicos, ingeniería y fabricación Televisión, satélite, redes sociales, Internet
Tecnológico Hostelería
Empresas de software y hardware Hoteles, cadenas de restaurantes, líneas de cruceros
Educativo Distribución
Universidades y otros centros de formación superior Tiendas físicas y comercio electrónico
públicos y privados, empresas de formación y desarrollo
Investigación
Servicios Investigación de mercado, grupos de reflexión, I+D
Servicios profesionales, como empresas legales, contables
y de consultoría Público
Agencias federales, estatales y gubernamentales, además
de ONG
64
Características de las empresas
Resumen ejecutivo
Definiciones de sector
Metodología de la Investigación
Principal conclusión
Acerca de IBM Security y el
Ponemon Institute
65
Características de las empresas
Conclusiones completas Coste medio de una brecha de datos por número de empleados
Medido en millones de dólares
Cuantificación del riesgo
Recomendaciones de seguridad
Definiciones de sector
Metodología de la Investigación
Las empresas más grandes tuvieron los mayores costes de 2,35 millones en 2020 a 2,98 millones en 2021, un
de brecha de datos. 26,8 % más. El estudio representó a empresas de distinto
tamaño: el 25 % de las empresas tenía menos de 1000
Por tamaño de empresa, el tamaño con mayor coste fue
empleados; el 20 % de 1001 a 5000 empleados; el 22 %
el de 10.000 a 25.000 empleados, con un coste total
de 5001 a 10.000 empleados; el 15 % de 10.001 a 25.000
medio de 5,52 millones de dólares, seguido por el de más
empleados; y el 18 % tenía más de 25.000 empleados.
de 25.000 empleados, con 5,33 millones. Las empresas
pequeñas (menos de 500 empleados) vieron un aumento
66
Metodología de la Investigación
Resumen ejecutivo
El hecho de utilizar el valor numérico obtenido a partir El alcance de los elementos de costes que forman parte
Acerca de IBM Security y el
de la línea numérica, en lugar de la estimación puntual de una brecha de datos contenidos en la herramienta de
Ponemon Institute
para cada categoría de costes presentada, permitió benchmark se limitó a categorías de costes conocidas que se
mantener la confidencialidad y garantizar un índice de aplicaron a un amplio conjunto de operaciones comerciales
Dar los pasos siguientes
respuesta superior. El instrumento de benchmark también en las que se gestionaba la información personal.
requiere que los profesionales proporcionen una segunda
estimación para los costes indirectos y de oportunidad, Pensamos que un estudio enfocado en el proceso
por separado. comercial, y no en las actividades de protección de datos
o conformidad de privacidad, produciría resultados
Para garantizar un tamaño manejable para el proceso de mejor calidad.
de benchmarking, limitamos cuidadosamente los
elementos solo a aquellos centros de actividad de coste
que considerábamos cruciales para la medición del coste
de la brecha de datos. Tras analizarlo con expertos en la
materia, el conjunto final de elementos incluía un conjunto
fijo de actividades de costes. En el momento de recopilar la
información, cada instrumento fue nuevamente examinado
con cuidado para verificar su consistencia e integridad.
67
Metodología de la Investigación
Resumen ejecutivo
68
Metodología de la Investigación
Resumen ejecutivo
69
Acerca de Ponemon Institute e IBM Security
Resumen ejecutivo
70
Dar los pasos siguientes
Resumen ejecutivo
Recomendaciones de seguridad
Metodología de la Investigación
Dar los pasos siguientes Mitigue los riesgos con los servicios de Conecte todos los usuarios, API y dispositivos
consultoría, cloud y seguridad gestionada con todas las apps de forma segura
Más información Más información
71
Dar los pasos siguientes
Resumen ejecutivo
Conclusiones completas
Recomendaciones de seguridad
Metodología de la Investigación
Dar los pasos siguientes Acelere la respuesta a incidentes Integre la seguridad en su proceso de adopción
con orquestación y automatización hacia un entorno multicloud híbrido
Más información Más información
Zero Trust
Proteja cada usuario, dispositivo y conexión
con la seguridad
Más información
72
Resumen ejecutivo
Conclusiones completas
© Copyright IBM Corporation 2021
Cuantificación del riesgo
IBM España, S.A
Tel.: +34-91-397-6611
Recomendaciones de seguridad Santa Hortensia, 26-28
28002 Madrid
Spain
Características de las empresas
Producido en los Estados Unidos de América
Julio de 2021
Metodología de la Investigación
IBM, el logotipo de IBM e ibm.com son marcas registradas de LA INFORMACIÓN PRESENTADA EN ESTE DOCUMENTO SE
International Business Machines Corp., registradas en muchas PROVEE “TAL CUAL” SIN GARANTÍA DE NINGÚN TIPO, NI
jurisdicciones en el mundo. Otros nombres de productos y servicios EXPRESA NI IMPLÍCITA, INCLUYENDO, PERO NO LIMITADO A, LAS
pueden ser marcas registradas de IBM o de otras empresas. Hay GARANTÍAS IMPLÍCITAS DE COMERCIO, CONVENIENCIA PARA UN
una lista actualizada de las marcas registradas de IBM disponible PROPÓSITO PARTICULAR, O NO INFRACCIÓN.
en “Información de marca registrada y copyright” en
ibm.com/legal/copytrade.shtml Los productos de IBM están garantizados según los términos
y condiciones de los acuerdos bajo los que se proporcionan. El cliente
Este documento es vigente en la fecha de publicación inicial es responsable por garantizar el cumplimiento de las leyes y las
y puede ser modificado en cualquier momento por IBM. No regulaciones correspondientes. IBM no proporciona asesoramiento
todas las ofertas están disponibles en todos los países en los que jurídico, ni manifiesta o garantiza que sus productos o servicios
IBM opera. Los ejemplos de clientes y los datos de rendimiento asegurarán el cumplimiento de cualquier normativa o legislación
citados se presentan solo para fines ilustrativos. Los resultados de por parte del cliente. Todas las declaraciones relativas a la dirección
rendimiento real pueden variar en función de las configuraciones o a la intención futura de IBM están sujetas a cambios o anulación sin
específicas y las condiciones de funcionamiento. previo aviso y representan únicamente metas y objetivos.
73