Calculando el costo: El precio de ignorar la seguridad


Dado que, según se informa, el tráfico de Internet ha aumentado un 25% año tras año, el mundo está más conectado que nunca. Sin embargo, en este entorno digital, las filtraciones de datos y las amenazas cibernéticas se han convertido en una máxima prioridad para las empresas con el objetivo de garantizar la confidencialidad de los datos personales y la seguridad de los recursos de la empresa. Sin embargo, lograr esto requiere invertir en equipos y herramientas de seguridad, y una inversión fallida puede generar millones de dólares en riesgos y costos. Los líderes en seguridad y privacidad han tenido que evolucionar hasta convertirse en socios poderosos que puedan convencer a las organizaciones de por qué invertir en seguridad es tan importante. Cuando los líderes de seguridad y privacidad trabajan juntos, puede encontrar las herramientas de seguridad adecuadas para proteger su organización del riesgo de filtraciones de datos y tomar decisiones informadas sobre la solución adecuada para su negocio.

¿Dónde está el verdadero daño?

No hace falta decir que un programa de seguridad de datos eficaz es la mejor manera de garantizar la privacidad de los datos de los clientes y de la empresa, pero es más fácil decirlo que hacerlo. Puede resultar difícil para los líderes de seguridad convencer a los líderes de privacidad de los beneficios de una tecnología de seguridad en particular. Y sin una comprensión clara de cómo funciona una solución de seguridad, su propósito y sus beneficios, puede verse como un riesgo para la privacidad de los datos. Por ejemplo, los líderes de privacidad cuestionan la implementación de herramientas de seguridad de correo electrónico que analizan todos los correos electrónicos de la empresa o puertas de enlace web seguras que permiten a los equipos de TI monitorear la actividad web de los empleados y bloquear sitios web que albergan malware.

El primer paso es considerar cuál es el daño real a la privacidad que su organización está tratando de proteger. Los líderes de privacidad corporativa deben equilibrar el impacto potencial de las herramientas de escaneo de correo electrónico en la privacidad de los empleados con los riesgos de no implementar dichas medidas de seguridad. Sin la protección adecuada, los empleados pueden convertirse en víctimas de ataques de phishing que pueden provocar acceso no autorizado a sistemas internos y robo de datos confidenciales de los clientes.

Los beneficios de las inversiones en seguridad a menudo superan los costos potenciales. En el ejemplo anterior, vale la pena señalar que en la mayoría de las jurisdicciones del mundo, existen muy pocas protecciones de privacidad para los correos electrónicos enviados por los empleados a los sistemas de la empresa. Si los datos personales de los clientes de una empresa se ven comprometidos, la empresa podría enfrentar requisitos de notificación de violación de datos, sanciones regulatorias y daños contractuales.

Calcule el coste de invertir poco en seguridad

Las soluciones de ciberseguridad empresarial están diseñadas para abordar una variedad de amenazas específicas de su organización. Una de las amenazas más comunes y apremiantes es la posibilidad de una violación de datos. Esto saltó a un costo promedio de 4,45 millones de dólares en 2023. Esta cifra no tiene en cuenta el daño a la reputación de la empresa comprometida ni el impacto en los clientes cuyos datos se han visto comprometidos.

Aunque no podemos saber cuántas violaciones de datos es probable que sufra una organización desprotegida en un año determinado, podemos estimarlas. Por ejemplo, el 85% de las empresas ha experimentado al menos un ataque de ransomware el año pasado y el 24% de las filtraciones de datos son causadas por ransomware. Esto significa que es probable que las empresas experimenten un ataque de ransomware y una filtración de datos sin ransomware durante el próximo año.

Aunque esto es sólo una estimación, el costo anual para las empresas mal protegidas podría ser de decenas de millones de dólares o más. El impacto potencial de un incidente de seguridad cibernética en sus clientes es enorme. La mayoría de las violaciones de datos a gran escala fueron causadas por algunos problemas de seguridad básicos, como contraseñas débiles, certificados caducados y otras fallas de seguridad básicas. Las soluciones de seguridad cibernética que ayudan a reducir estos riesgos y proteger contra los tipos más comunes de infracciones, como antimalware, escaneo de correo electrónico y controles de acceso de confianza cero, ofrecen importantes beneficios potenciales para las empresas y sus clientes.

Invertir en un sistema de seguridad por capas reduce el riesgo

En un escenario ideal, los beneficios de una nueva solución de seguridad reducirán el riesgo de un ciberataque. Sin embargo, es importante invertir en el proveedor de seguridad adecuado. Siempre que un proveedor accede a los sistemas o datos de una empresa, la empresa debe evaluar la idoneidad de las medidas de seguridad del proveedor. La reciente violación de Okta resalta el impacto significativo que las violaciones de seguridad de los proveedores pueden tener en los clientes. Okta actúa como proveedor de identidad para muchas organizaciones, permitiendo el inicio de sesión único (SSO). Si un atacante obtiene acceso a su entorno Okta, las cuentas de usuario de sus clientes de Okta podrían verse comprometidas. Sin una capa adicional de protección de acceso, los clientes pueden ser vulnerables a los piratas informáticos que buscan robar datos, implementar malware o realizar otras actividades maliciosas.

Al evaluar los riesgos de privacidad de las inversiones en seguridad, es importante considerar el historial de seguridad y certificación de una organización. Por ejemplo, solo el 43,4% de las empresas cumplían totalmente con PCI-DSS en su evaluación intermedia de 2020, y se demostró que los controles de seguridad se vieron comprometidos durante la auditoría. Por otro lado, las empresas que buscan de manera proactiva certificaciones opcionales como ISO 27001, 27018 y SOC 2 tienen menos probabilidades de tener brechas de seguridad que las pongan a ellas o a sus clientes en riesgo.

Sopesar los riesgos y beneficios

Calcular el ROI de una inversión en seguridad puede resultar complicado, pero los riesgos y beneficios son claros. Con prácticas de ciberseguridad débiles, es casi seguro que una empresa sufrirá una violación de datos. La única pregunta es cuánto se perderá, el daño a la reputación y el consiguiente daño a las personas que confiaron sus datos a la empresa.

Los líderes de seguridad y privacidad pueden fortalecer los argumentos a favor de inversiones adicionales al resaltar las costosas violaciones de datos y obtener una ventaja al buscar soluciones con sólidos antecedentes de seguridad, privacidad y cumplimiento.



Fuente: https://www.cpomagazine.com/cyber-security/counting-the-cost-the-price-of-security-neglect/