Ataques a su Red: ¿Cuánto pueden costarle?

Todas las empresas son conscientes de que la seguridad de la red es un asunto prioritario. Pero, ¿cómo pueden cuantificar el valor de negocio que aporta una red segura?

PedroCAstro_DellSonicWALL1

Por: Pedro Castro

 Todas las empresas son conscientes de que la seguridad de la red es un asunto prioritario. Pero, ¿cómo pueden cuantificar el valor de negocio que aporta una red segura? ¿Y cómo pueden evaluar y justificar la inversión en productos de seguridad de red, como firewalls de próxima generación, sistemas de prevención de intrusiones y dispositivos de gestión unificada de amenazas?

No existe una fórmula exacta ni una herramienta para calcular el "coste de los ataques": Sin embargo, hay una serie de directrices y estudios de investigación muy útiles que pueden proporcionar a los administradores de TI las técnicas y los recursos necesarios para desarrollar su propio modelo de costes. A la hora de evaluar el impacto de los ataques basados en la red y el "valor preventivo" de las tecnologías de firewalls de próxima generación, deben tenerse en cuenta tres áreas principales:

  • La definición de los diferentes tipos de ataques basados en la red
  • La comprensión del modo en que esos ataques pueden afectar al negocio de su empresa
  • Los métodos para cuantificar el impacto de dichos ataques

Tipos de ataques basados en la red

Existen cientos de tipos de ataques basados en la red que pueden dañar su organización. Entre los más comunes se encuentran los siguientes:

  • Virus, troyanos, gusanos y otros tipos de malware que pueden poner fuera de servicio servidores y estaciones de trabajo o robar datos.
  • Amenazas avanzadas persistentes, diseñadas para penetrar las redes y robar propiedad intelectual e información confidencial de forma desapercibida.
  • Ataques distribuidos de denegación de servicio (DDoS) y flooding, que pueden sobrecargar los servidores y poner páginas Web fuera de servicio.

Cómo pueden afectar los ataques basados en la red al negocio de su empresa

Los daños causados por los ataques, independientemente de la fuente, se dividen en dos categorías principales: la filtración de datos y la pérdida de servicio.

La filtración de datos siempre da lugar a noticias sensacionalistas, ya que resulta en la extracción desapercibida de información corporativa confidencial que va a parar a manos de criminales o competidores.

Los daños causados por las filtraciones de datos son visibles y muy graves. Pueden ser daños de carácter financiero (pérdida de ingresos, costes legales y normativos, costes derivados de procesos judiciales y multas), costes "blandos" (pérdida de la confianza y fidelidad de los clientes) y pérdida de competitividad (como resultado de la pérdida de propiedad intelectual). Después de sufrir filtraciones de información, las empresas se gastan cantidades enormes de tiempo y dinero en tareas de detección y corrección técnica, en la identificación y el bloqueo de ataques, así como en la valoración de los daños causados y en la aplicación de medidas correctivas. Además, los casos de filtración de datos generan una publicidad negativa que dura mucho más que el ataque en sí.

Los ataques por denegación de servicio resultan en la degradación o en la total deshabilitación de los sistemas informáticos –  tanto estaciones de trabajo como servidores Web, de aplicaciones o de bases de datos. A continuación se describen los efectos financieros de este tipo de ataques:

En estos casos los daños también pueden ser catastróficos. El comercio se ralentiza o se detiene por completo, lo cual repercute directamente en los ingresos. Los procesos cotidianos se interrumpen o los empleados no pueden desempeñar sus tareas porque la red está fuera de servicio.  Al igual que ocurre con las filtraciones de datos, se produce un coste real relacionado con el departamento de TI y el personal de soporte, que tienen que diagnosticar los problemas, ayudar a los empleados, reiniciar los servicios y restablecer la imagen inicial de los PCs.

¿Cómo se estiman los costes?

Tal y como se ha indicado anteriormente, no existe un modelo de costes universal aplicable a todos los casos.

Un estudio de Ponemon Institute realizado en marzo de 2012 y el estudio de NetDiligence® titulado "Cyber Liability & Data Breach Insurance Claims" (Reclamaciones de seguros por responsabilidad cibernética y filtración de datos), publicado en octubre de 2012, proporcionan dos fuentes independientes que pueden ayudar a los responsables de TI a cuantificar el impacto de los ataques basados en la red.

El Ponemon Institute realizó entrevistas detalladas a finales de 2011 a 49 empresas, pertenecientes a 14 industrias diferentes, que habían sufrido casos de pérdida o robo de datos personales de clientes. Principales conclusiones:

  • Costo total medio de la filtración de datos: US$ 5,5 millones.
  • Ingresos perdidos por la filtración: US$ 3 millones.
  • Costes posteriores a la filtración: US$ 1,5 millones (asistencia técnica, medidas correctivas, descuentos a clientes, etc.)

Las cifras por registro —basadas en cantidades considerablemente grandes (normalmente 100.000+ registros)— pueden proporcionar a los administradores de TI por lo menos una idea del coste asociado a la filtración de datos, en función del tamaño de la empresa y de la cantidad de amenazas a las que suele hacer frente.

En el estudio de NetDiligence se analizan 137 eventos sucedidos entre 2009 y 2011, que llevaron a las compañías de seguros a realizar pagos por reclamaciones de responsabilidad cibernética. Pagos medios:

  • Acuerdo legal por evento:  $2.100.000
  • Defensa legal por filtración $582.000
  • Pago total medio del seguro por evento: $3,7 millones

Aunque estos dos estudios miden diferentes elementos de los costes relacionados con los ataques basados en la red, ambos ilustran lo costosos que resultan estos ataques para los resultados, la reputación y la competitividad de las empresas.

Además de estas cifras, existen una serie de cálculos rápidos y aproximados que pueden ayudar a justificar la inversión requerida para las tecnologías de firewalls de red de próxima generación:

  • La pérdida de ingresos por cada hora que su página Web está fuera de servicio o seriamente impedida a causa de un ataque DDoS.
  • La pérdida de productividad por cada hora que un proceso de negocio crítico está fuera de servicio debido a un malware que inhabilita el servidor.
  • El precio por hora del personal del servicio técnico para diagnosticar infecciones de malware en los PCs y del grupo de soporte para restablecer los PCs infectados.
  • El coste por registro para informar a los clientes o empleados en caso de filtración de datos y proporcionarles servicios de monitorización crediticia durante un año.

Existen asimismo dos técnicas adicionales que pueden resultar de utilidad a la hora de calcular los costes de los ataques. Algunas organizaciones han hecho estimaciones detalladas de posibles repercusiones futuras mediante la realización de simulaciones. Para ello, reúnen a un grupo de empleados de diferentes departamentos —TI, marketing, RRHH, legal, etc.— y simulan un ataque. Estos ejercicios no solo ayudan a cuantificar los costes, sino que a menudo además desvelan efectos inesperados, como p.ej. obligaciones contractuales o el impacto de las filtraciones de datos asociado a las normas.

Tomar medidas

¿Cuáles son las consecuencias para los administradores de TI? La mala noticia es que los ataques basados en la red son costosos, interrumpen la actividad del negocio y pueden resultar catastróficos a muchos niveles, por lo que deben evitarse a toda costa. La buena noticia es que hay disponible una amplia variedad de herramientas y servicios que le ayudarán a comprender exactamente cómo la filtración de datos y la pérdida de servicio pueden repercutir en el negocio de su empresa. Si compara estos costes con los costes preventivos de las tecnologías de protección de próxima generación, estará mejor preparado para entender y articular el valor financiero y estratégico de incrementar la inversión en la seguridad de su red corporativa. No se trata simplemente de un ejercicio académico, sino de una necesidad de negocio.

 

Sin etiquetas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *