Análisis de costos de brechas permite obtener mejores métricas

Los conceptos erróneos sobre los costos de la violación de datos y los efectos dominó de esas violaciones pueden tener impactos de gran alcance. Para aclarar estos conceptos erróneos, dos investigadores de seguridad se propusieron determinar las falsedades más comunes sobre el costo de las brechas y encontrar métricas de costos más precisas.

David Severski y Wade Baker, científico sénior de seguridad de datos y cofundador, respectivamente, de la firma de investigación y ciencia de datos Cyentia Institute, descubrieron que las suposiciones sobre los costos promedio por registro en las violaciones de datos a menudo son erróneas y que más datos disponibles públicamente pueden ayudar a las organizaciones a tomar decisiones. mejores decisiones de seguridad basadas en datos.

Al estudiar los datos de infracciones disponibles públicamente, el equipo también descubrió que las suposiciones acerca de que los contratistas externos son los eslabones débiles en una cadena de suministro eclipsaron el impacto significativo que una infracción en una organización más grande puede tener en esos mismos contratistas y proveedores. Estos eventos dominó —definidos por Severski y Baker como "pérdidas directas o indirectas sufridas por partes más allá de la organización víctima central en un ciberincidente"— significan que las filtraciones de datos con múltiples partes afectadas pueden costar hasta 13 veces más que si solo la víctima original es tomado en cuenta.

Severski y Baker publicaron sus hallazgos sobre el costo de las infracciones de datos en el Estudio de información sobre riesgos de la información de Cyentia (IRIS 20/20) y los efectos dominó de las infracciones en Ripples Across the Risk Surface (en colaboración con la empresa de evaluación de riesgos automatizada RiskRecon). Discutieron el tema en Black Hat 2020.

¿Cuáles son algunos de los conceptos erróneos más grandes sobre los costos de la violación de datos?

David Severski

David Severski: Ahora estamos en una era en la que tenemos acceso a información que puede ayudarnos a tomar decisiones basadas en datos sobre el tamaño de las pérdidas por violación de datos. Podemos mostrar cuáles son estas pérdidas por brechas a lo largo del tiempo, y podemos validar o refutar algunas métricas comunes para estimar el tamaño de las pérdidas. Estas métricas, que se usan comúnmente, tienen graves ramificaciones en la forma en que los encargados de formular políticas y tomar decisiones orientan sus programas de riesgo.

Wade Baker: Algunas de las cosas que empiezan a tener tracción y conciencia compartida son datos totalmente erróneos, absurdos o un completo mito. Es un poco loco.

Existe este 'hecho' —y estoy poniendo la palabra 'hecho' entre comillas— que ha estado circulando durante años de que el 60% de las pequeñas empresas fallan después de una brecha de seguridad. He visto esto repetido en varios artículos, pero no hay ninguna base para ello. La Alianza Nacional de Seguridad Cibernética ha sido atribuida como el origen, pero ésta emitió una declaración que decía: 'No es de nosotros'.

Severski: Otro informe a principios de este año analizó alrededor de 115 infracciones de seguridad relacionadas con la nube y comenzó con el titular de que resultaron en $5 billones de dólares en pérdidas. Pero, cuando empiezas a pensar en ello, te das cuenta de que $5 billones es el 25% del producto interno bruto de los EE.UU.

¿De dónde viene ese número? Este informe en particular tomó varias cifras aleatorias de registros potencialmente expuestos en estas violaciones y los multiplicó por una métrica común, que es un costo estático de $150 dólares por registro.

Ese costo por registro simplemente no es correcto. Era un punto de partida bastante decente dada la falta de información que teníamos hace años, pero ahora tenemos acceso a información mucho mejor, ya sea a través de un socio científico o registros de brechas públicas.

¿Cuál sería una mejor estimación basada en su investigación?

Severski: Si desea dar una mejor estimación, la infracción típica divulgada públicamente cuesta alrededor de $200,000 dólares. Tiene eventos realmente grandes que tienen costos elevados, y luego tiene un evento en el que se puede exponer una pequeña cantidad de registros o una gran cantidad de registros con un costo total muy pequeño. Usar una métrica contra todas estas pérdidas diferentes simplemente no es apropiado.

Cuando decimos que una métrica de aproximadamente $200,000 dólares es el costo de una infracción típica, eso es en toda la población de organizaciones. Pero, para una compañía Fortune 1000, el costo tiende a ser de alrededor de $400,000 a $500,000 dólares. Esos costos son ciertamente reales y no deben descartarse. Pero, para una organización cuyos ingresos se miden en miles de millones, eso no es materialmente significativo.

Por el contrario, si observa las pequeñas y medianas empresas donde los ingresos anuales son de $100,000 dólares por año y experimentan una brecha de $200,000, eso es significativo.

Los costos de incumplimiento no se sienten de manera uniforme en todos los sectores de la economía, lo que tiene implicaciones en la política cuando se mira esto desde una perspectiva regulatoria y se trata de considerar: ¿Cuánto debo preocuparme por la divulgación de información, ya sea PII [información de identificación personal], PHI [información de salud protegida] o información financiera?

¿Es mejor tener en cuenta el tamaño de una empresa o el tipo de datos en una violación?

Wade Baker

Baker: Vimos algunas diferencias según la industria, pero el tamaño fue un gran diferenciador cuando se trata de pérdidas esperadas. Si observa la forma en que se escriben muchas pólizas de seguro cibernético, toman en cuenta la industria y el tamaño, y le devuelven su prima o su evaluación de riesgo. Ahora podemos comenzar a comprender cuáles son los factores reales, y creo que eso tendrá un impacto positivo a medida que buscamos administrar el riesgo y establecer políticas en el futuro.

¿Por qué cree que el efecto dominó de una brecha en los contratistas o proveedores externos de una organización no se han cubierto en otros informes?

Severski: Es difícil obtener información sobre esto. No hay informes unificados para este tipo de cosas. Esta es una de las cosas de las que hablamos, esta necesidad de cambiar de un modelo punitivo de divulgación de violaciones —en el que tiene que responder, y es potencialmente multado, y recibe mala prensa, etc.— a más de un modelo proactivo y beneficioso donde una organización dice: 'Estamos respondiendo a esto y estamos compartiendo lo que aprendimos sobre estas infracciones para ayudar a otras organizaciones a responder en el futuro'. Podemos obtener una fuente de datos mucho mejor.

Baker: El centro de atención está en la organización central que experimenta la brecha. Esas ondas más amplias en realidad no salen a la luz, y es posible que las empresas afectadas por ellas no quieran estar expuestas.

Nuestra investigación muestra una diferencia entre las organizaciones que tienden a generar estos eventos dominó y las organizaciones que tienden a recibirlos. Las organizaciones centrales en estos eventos dominó son las grandes empresas, y los receptores tienden a ser las PyMEs —y esos son los proveedores.

La forma en que hacemos seguridad y establecemos políticas de seguridad cuando se trata de terceros es desde la perspectiva de una organización central que intenta protegerse de esos proveedores. Si podemos cambiar nuestra comprensión del hecho de que las grandes organizaciones pueden afectar a los proveedores, tal vez pueda haber una mentalidad más colectiva de 'estamos juntos en esto'.