Fallos cibernéticos de terceros ponen en peligro a empresas
Aunque más empresas latinoamericanas están invirtiendo en ciberseguridad, independientemente del ROI (65% en 2017 comparado con 61% en 2016), un nuevo estudio ha descubierto que el costo promedio de un incidente de ciberseguridad sigue en aumento. Según el informe, las brechas de seguridad más costosas para las empresas de todos los tamaños son el resultado de fallos de terceros, lo que significa que las empresas no solo deben invertir en su propia protección, sino también prestar atención a la protección de sus socios comerciales.
El estudio de este año revela un crecimiento prometedor respecto a la importancia que se otorga a la seguridad de TI. Las empresas a nivel mundial están comenzando a ver esto como una inversión estratégica y la parte de los presupuestos que se emplea en seguridad está creciendo, pues representa un cuarto (23%) de los presupuestos de TI en las grandes corporaciones. Este patrón es consistente en empresas de todos los tamaños, incluso en negocios muy pequeños donde los recursos son generalmente escasos. Sin embargo, aunque la seguridad parece estar recibiendo una mayor proporción del presupuesto de TI, este es en sí cada vez más pequeño. Por ejemplo, el presupuesto promedio de seguridad de TI para las empresas en América Latina se redujo de 25% el año pasado a 23% ($5.7 millones de dólares en 2017). No obstante, en las empresas muy pequeñas, donde los recursos son escasos, el porcentaje del presupuesto dirigido a la seguridad ha aumentado de 12% en 2016 a 17%.
Esto se ha convertido en una preocupación para las empresas de América Latina, teniendo en cuenta que, a diferencia de los presupuestos de seguridad de TI, la recuperación después de un fallo de seguridad es cada vez más cara. Este año, las PyMEs pagaron un promedio de $64 mil dólares por incidente de seguridad (en comparación con $61 mil dólares en 2016), mientras que las grandes empresas enfrentaron una disminución en 2017, pasando de $558 mil dólares, en comparación con $695 mil dólares en 2016.
Aun así, el aumento de los presupuestos de seguridad de TI es solo parte de la solución, ya que las pérdidas más sorprendentes provienen de los incidentes que involucran a terceros y sus fallos cibernéticos. Las PyMEs en América Latina tuvieron que pagar hasta $71 mil dólares por incidentes que afectaron la infraestructura proporcionada por un tercero, mientras que las grandes empresas perdieron $463 mil dólares como resultado de brechas que afectaron a proveedores con los cuales comparten datos.
En el momento en el cual una empresa le da a otra organización acceso a sus datos o infraestructura, las debilidades en una pueden afectar a ambas. Este problema trasciende cada vez más, al grado que los gobiernos de todo el mundo están apresurándose a introducir nuevas legislaciones para exigir a las organizaciones que proporcionen información sobre cómo comparten y protegen sus datos personales.
“Si bien los incidentes de ciberseguridad que involucran a terceros resultan perjudiciales para empresas de todos los tamaños, su impacto financiero en una empresa tiene el potencial de causar el doble de daño. Esto se debe a un desafío global más amplio, en el que las amenazas se mueven rápidamente, pero las empresas y la legislación cambian lentamente. Cuando regulaciones como la GDPR se vuelven obligatorias antes de que las empresas logren actualizar sus normativas, las multas por incumplimiento terminan sumándose a la factura", dice Alessio Aceti, director de la división de Enterprise Business de Kaspersky Lab.