Informar de manera proactiva sobre brechas de seguridad reduce los daños para empresas en un 40%

Existe una relación entre la manera en la que se revela una brecha de seguridad y las pérdidas financieras ocasionadas a las empresas por estas incidencias. Según un nuevo informe de Kaspersky titulado, “Cómo las empresas pueden minimizar el costo de una fuga de datos personales”.

Las PyMES, que voluntariamente deciden informar a sus inversionistas y al público sobre una brecha de seguridad, pierden en promedio un 40% menos que las empresas que además del incidente, tienen que padecer que éste se haga público por una filtración a los medios. La tendencia es similar para las grandes empresas.

Regístrese ahora al CSO Conference+Awards 2021, evento producido por CIO y Computerworld México donde analizaremos los riesgos de la Nueva Normalidad. ¡Lugares limitados!

El hecho de no informar adecuadamente al público sobre una brecha de seguridad de datos en el momento oportuno puede hacer que las consecuencias financieras y de reputación para la empresa sean más graves. Algunos ejemplos destacados incluyen el de Yahoo!, que se enfrentó a críticas y a una multa por no advertir a sus inversionistas sobre la brecha de datos que había sufrido, o Uber, que fue multado por tratar de ocultar una incidencia similar.

El informe de Kaspersky, basado en una encuesta a más de 5,200 profesionales de la ciberseguridad y de TI de todo el mundo, revela que las empresas que asumen la responsabilidad desde el primer momento suelen conseguir mitigar los daños. Los costos para las PyMES que revelan una infracción se estiman en $93,000 dólares, mientras que en los casos en los que la incidencia llega a los medios a través de una filtración, los daños alcanzan los $155,000 de dólares. Ocurre lo mismo en las grandes empresas: las que informaron de manera proactiva sobre brechas de seguridad sufrieron un menor impacto financiero (28%) respecto a las que sufrieron una filtración posterior – $1,134,000 frente a $1,583,000 dólares.

De acuerdo con el informe, menos de la mitad (46%) de las empresas encuestadas revelaron una infracción de forma proactiva. El 30 % de las que había sufrido un hackeo de datos prefirió no revelarlo, mientras la cuarta parte (24%) de las empresas intentaron ocultar la incidencia, pero después se encontraron con que la información llegó a los medios a través de una filtración.

Aunque para las empresas que lograron ocultar la incidencia las pérdidas fueron relativamente pequeñas, este enfoque está lejos de ser idóneo. Estas empresas pueden enfrentarse a daños muy superiores en el caso de que la información llegue al conocimiento público a través de filtraciones, lo que es altamente probable cuando ocurre una fuga de datos.

La encuesta también revela que los riesgos son especialmente altos para las empresas que no son capaces de detectar el ataque con inmediatez. El 29 % de las PyMES que tardaron más de una semana en identificar una brecha de seguridad se encontraron con que la información fue filtrada a la prensa, prácticamente el doble de las que detectaron la brecha de forma inmediata (15 %). En el caso de las grandes empresas, las cifras fueron muy similares: el 32 % y el 19 % respectivamente.

“La revelación proactiva puede ayudar a transformar la situación a favor de la empresa y esto va más allá del impacto financiero. Si los clientes saben de primera mano qué ha ocurrido, es más probable que sigan confiando en la marca. Por otra parte, la empresa puede ofrecer a sus clientes recomendaciones sobre los próximos pasos a seguir para proteger sus activos. La compañía también puede dar su versión de los hechos, compartiendo información de confianza y veraz con los medios para que las publicaciones no tengan que basarse en datos procedentes de terceros, que podrían representar la situación de manera incorrecta”, comenta Yana Shevchenki, gerente senior de marketing de producto en Kaspersky.

Para mitigar el riesgo de sufrir daños debido a una brecha de seguridad, Kaspersky recomienda a las empresas anticiparse para evitar la fuga de datos.