A diario se publican noticias de empresas privadas y organismos públicos que han sufrido una fuga de información derivada de un ataque externo, errores humanos o acciones negligentes por parte de empleados o exempleados. Vemos que alrededor de estas noticias aparecen datos de que la organización que ha sufrido la fuga de datos se expone a pérdidas de X cientos de miles de dólares. Pero ¿Cómo se obtiene esta estimación del coste de las pérdidas por fuga de datos?
Tabla de contenidos
- Introducción – El coste de una fuga de datos
- Diferentes estrategias para cuantificar el coste
- Cuantificación basada en el coste de actividad
- La metodología FAIR para cuantificar el coste
- Un caso práctico con la metodología FAIR
- Análisis utilizando la herramienta de Open FAIR
- El ROI aplicando seguridad centrada en los datos
El coste de una fuga de datos
Cada año, IBM publica su Cost of a Data Breach Report, donde en base a datos analizados de empresas y organizaciones de diferentes sectores estima el coste de una fuga de datos por registro. También analiza las tendencias de fugas de información y los factores que mitigan o incrementan el coste de una fuga de datos.
Otro de los análisis interesantes sobre fugas de información que se publican cada año es el “DBIR-Data Breach Investigations Report” de Verizon, donde se analizan para diferentes sectores el origen y actores principales en una fuga de datos además de otros puntos.
A través de los datos de estos informes se extraen entre otras las siguientes conclusiones interesantes:
- El coste de una fuga de datos tuvo la mayor subida en 2021 pasando de 3,86M$ en 2020 a 4,24M$ en 2021.
- El coste por registro perdido se incrementó un 10,3% de 2020 (146$ por registro) a 2021 (161$ por registro), incrementándose desde el 14,2% en 2017.
- El Top 5 de países/regiones con más coste por fuga son: USA, Oriente Medio, Canadá, Alemania y Japón.
- Por sectores, el de Salud es el más afectado durante los últimos 11 años incrementándose en un 29,5% del 2020 al 2021. En el Top 5, le siguen el Financiero, Farmacéutico, Tecnológico y Energía.
- Los tipos de datos más buscados son las credenciales, seguidos por los datos personales, especialmente los de clientes, que se encuentran en el 44% de las fugas de datos, seguidos por la propiedad intelectual y datos personales de empleados.
- El tipo de dato más costoso en una fuga es el de los datos personales de clientes que se ha incrementado un 20% desde 2020.
- Los tipos de ataques más frecuentes para extraer datos son el phishing, robo de credenciales a través de hacking, el ransomware, seguidos de cerca por errores de configuración y humanos.
- El Covid ha incrementado los ataques por phishing, ransomware o robo de credenciales.
- El 10% de todas las fugas de datos, y con un crecimiento imparable, involucran al ransomware que extrae datos no cifrados y se piden rescate por los mismos.
- El actor principal en una fuga es el crimen organizado y con motivaciones financieras.
- Los principales patrones de ataque son de ingeniería social (Phishing, pretexting, scam), utilizados para introducir un ransomware, por ejemplo, seguidos de errores de configuración, publicación, errores humanos, etc.
- Entre los factores que más incrementan el coste de una fuga de datos están por este orden las fugas en terceras partes (Ej. cadena de suministro), fallos de cumplimiento normativo, o una migración amplia a la nube.
- Entre los factores que más mitigan el coste de una fuga de datos están por este orden, disponer de un equipo de respuesta ante incidentes, uso ampliado de cifrado y la realización de prueba d preparación de respuesta ante incidentes.
- Respecto al trabajo remoto, el coste promedio de fuga es 1M$ más elevado allí donde el trabajo remoto fue un factor que causó la fuga, derivado de la dificultad de costes de detección y remediación.
- Cuanto mayor es la transformación digital de la organización, derivada del Covid-19, menor es el coste de la fuga de datos.
- El coste de una fuga de datos es menor en organizaciones en etapas de un despliegue más maduro de un enfoque Zero-Trust.
Estrategias para cuantificar el coste de una fuga de datos
Cuantificar el posible coste de una fuga de información, puede ayudar a un CISO a justificar la necesaria inversión en productos y servicios de ciberseguridad en la organización. Dado el conocimiento de la organización y el posible riesgo de pérdida podríamos estimar no sólo cuánto impactaría una fuga de datos en la organización, sino también, el ahorro derivado en determinadas medidas de prevención o mitigación que podemos implementar.
Dos de los métodos que pueden utilizarse para cuantificar el coste de una fuga de información son:
- Coste Basado en Actividad (ABC – Activity Based Costing): Este método identifica las actividades en una organización y asigna el coste de cada actividad a todos los productos y servicios de acuerdo con el consumo real de cada uno. Por supuesto, no es un sistema válido únicamente para identificar el coste de una brecha de seguridad, pero se puede seguir este modelo para cuantificarla.
- Metodología FAIR (Factor Analysis of Information Risk): Es una metodología para cuantificar y gestionar el riesgo en cualquier organización. De hecho, es el único modelo cuantitativo y estándar internacional para cuantificar riegos de ciberseguridad.
A continuación, hacemos un breve resumen de ambas estrategias para la cuantificación del coste de una brecha de seguridad en una organización.
Cuantificación del Coste por Actividad (ABC – Activity Based Costing)
Como se ha comentado anteriormente, este método identifica las actividades en una organización y asigna el coste de cada actividad a todos los productos y servicios de acuerdo con el consumo real de cada uno.
En lo que respecta a la cuantificación del coste de una fuga de información, pueden identificarse cuatro diferentes centros de costes o procesos directamente relacionados con la gestión de una fuga de información en una organización.
Estos centros de coste aquellos que involucran actividades relacionadas con la:
- Detección y escalado de una fuga de información.
- Notificación a los afectados.
- Respuesta de la organización tras la fuga.
- Pérdida de negocio derivada de la fuga.
Cada uno de ellos tiene asociadas actividades requeridas por la empresa desde la detección hasta la resolución de la fuga, comunicación, etc. Según el centro de coste, estas actividades son:
El coste de la fuga de información es el derivado de la suma de costes de las diferentes actividades resumidas arriba. Para ello, será necesario estimar el coste/hora de las personas involucradas y estimar las horas invertidas en las diferentes actividades.
Adicionalmente existen costes derivados de multas y posibles contrataciones de asesores legales, etc. Haciendo una estimación de estos costes, podremos derivar un posible escenario de coste de fuga de información en nuestra organización.
Cuantificación del coste basado en la metodología FAIR
Como se decía más arriba, FAIR (Factor Analysis of Information Risk), es el único modelo cuantitativo y estándar internacional para cuantificar riegos de ciberseguridad en una organización.
Proporciona un modelo para comprender, analizar y cuantificar el riesgo cibernético en términos financieros. El estándar Open FAIR es mantenido por “The Open Group”, un consorcio global que permite el logro de objetivos de negocio a través de estándares de TI.
FAIR complementa otras metodologías como ITIL, ISO 27002: 2005, COBIT , OCTAVE , etc.
FAIR es también un modelo de gestión de riesgos desarrollado por Jack A. Jones e impulsado por el FAIR Institute, una organización sin ánimo de lucro cuya misión es establecer y promover las mejores prácticas de gestión de riesgos cara a preparar a profesionales de riesgos para colaborar con sus socios comerciales y lograr el equilibrio adecuado entre proteger la organización y administrar el negocio.
“Open Group” publica y mantiene, entre otros, dos estándares relevantes relacionados con la gestión de riesgos de ciberseguridad y análisis de costes:
- Estándar de Análisis de Riesgos (O-RA; The Open Group Standard for Risk Analysis): Proporciona un conjunto de estándares para diferentes aspectos del análisis de riesgos de la seguridad de la información.
- Estándar de Taxonomía de Riesgos (O-RT; The Open Group Standard for Risk Taxonomy): Define una taxonomía para los factores implicados en los riesgos de seguridad de la información.
Una taxonomía bien definida permite medir y/o estimar mejor las variables de los factores de riesgo de pérdida de información, y esto es crítico para la Dirección de la Organización tenga la información necesaria para tomar decisiones mejor informadas y consistentes, basadas en datos.
La taxonomía de riesgos se divide en dos ramas:
- Frecuencia de Eventos de Pérdida (LEF – Loss Event Frequency): Es la frecuencia probable, dado un rango de tiempo, de que una amenaza inflija un daño en un recurso, generando por ejemplo una exfiltración.
- Frecuencia de Eventos de Amenaza (TEF- Threat Event Frecuency) que se refiere a la frecuencia probable de que una amenaza actúe de forma exitosa o no sobre el recurso. Esta a su vez viene afectada por:
- Frecuencia de Contacto (CF – Contact Frecuency) referida a la probabilidad de que una amenaza entre realmente en contacto con el recurso.
- Probabilidad de Acción (PoA – Probability of Action) definida como la probabilidad de que la amenaza actúe una vez entre en contacto con el recurso.
- Vulnerabilidad del recurso (Vuln – Vulnerability) que se refiere a la probabilidad de que un amenaza se materialice en una pérdida de información. La vulnerabilidad por su parte depende de:
- Capacidad de la Amenaza (TCap – Threat Capability): Hace referencia al nivel de fuerza que puede aplicar la amenaza sobre el recurso. Por ejemplo, diferentes tipos de malware o ransomware son más destructivos que otros.
- Fuerza de Resistencia (RS – Resistance Stregth) que se refiere a cuánta fuerza es capaz de resistir un recurso frente a una amenaza. Por ejemplo, un password de fortaleza fuerte no es lo mismo que el típico “1234”.
- Frecuencia de Eventos de Amenaza (TEF- Threat Event Frecuency) que se refiere a la frecuencia probable de que una amenaza actúe de forma exitosa o no sobre el recurso. Esta a su vez viene afectada por:
- Magnitud de la pérdida (LM – Loss Magnitude): Es la magnitud probable de pérdida, resultante de un evento de pérdida. Se diferencia entre dos tipos de pérdida:
- Pérdida Primaria (Primary Loss): Se refiere a aquella que ocurre directamente como resultado de la acción de la amenaza sobre el recurso. Por ejemplo, en un ataque de denegación de servicio sobre la web de la empresa, la pérdida sería la caída de la web y el perjudicado es el dueño, la empresa.
- Pérdida Secundaria (Secondary Loss), que es aquella que ocurre sobre partes interesadas secundarias. Si es la web de una empresa que da un servicio de CRM, los afectados pueden ser por ejemplo los clientes del CRM. Ésta se desgrana en:
- Frecuencia del Evento de Pérdida Secundaria relativa al porcentaje de tiempo que un escenario de pérdida puede tener efectos secundarios. Por ejemplo, el tiempo en que los clientes no tienen servicio.
- Magnitud de la Pérdida Secundaria que representa las pérdidas derivadas de lidiar con las reacciones de los perjudicados. Por ejemplo, pérdidas de clientes, multas y juicios, etc.
Teniendo en cuenta esta taxonomía, el análisis de riesgos FAIR se basa en cuatro etapas, que indicamos a continuación con un ejemplo práctico.
En el Estándar de Análisis de Riesgos (O-RA; The Open Group Standard for Risk Analysis), se descomponen los escenarios de pérdida de datos en base a la taxonomía (Frecuencia de los Eventos de Pérdida y Magnitud del Riesgo) junto con los controles de prevención y mitigación, y las diferentes funciones del NIST Cybersecurity Framework (CSF): Identificar, Proteger, Detectar, Responder y Recuperar.
Un caso práctico siguiendo la metodología FAIR
Para que sea más clarificador, vamos a establecer como escenario de ejemplo el caso de un Banco Global que sufre un ataque por Ransomware donde se exfiltran documentos con información personal y datos del ámbito financiero (relativos a la regulación PCI).
ETAPA 1: Identificar los componentes del escenario de pérdida
- Identificación del activo en riesgo: Lo que está en riesgo. En el ejemplo, información personal sensible y de datos financieros almacenados en un servidor de ficheros del banco.
- Identificar la comunidad de amenazas: En el ejemplo podría ser un actor externo o grupo criminal organizado que intenta acceder a los sistemas del banco por ingeniería social, aplicar un ransomware y exfiltrar los documentos antes de cifrarlos cara a extorsionar al Banco y pedir un rescate.
- Definir el evento de pérdida: Aquí podríamos hablar de la pérdida de confidencialidad de los ficheros con datos personales e información de PCI.
ETAPA 2: Evaluación de la Frecuencia de Eventos de Amenaza (LEF)
- Estimación de la Frecuencia de Eventos de Amenaza (TEF): En este caso estimaríamos en cuántas ocasiones un atacante puede tener contacto vía phishing con algún empleado cara a realizar el ataque. Es algo que puede ser complicado de estimar, pero podemos intentar hacerlo según la siguiente tabla y analizando posibles datos históricos de informes como el comentado arriba de DBIR. Podríamos decir que en el escenario la probabilidad sería Moderada de entre 1 a 10 veces al año.
- Estimación de la Capacidad de Amenaza (TCAP): Se trata de evaluar el nivel, conocimiento y experiencia, y recursos, tiempo y materiales, del atacante, en relación con el escenario planteado.En este caso al ser un grupo criminal especializado, podríamos suponer al menos una Capacidad de Amenaza Alta (A).
- Estimación de la Fuerza de Resistencia (RS): Tiene que ver con la habilidad para resistir a la amenaza. En este caso, podríamos calificarlo de Alta ya que el Banco cuenta con medidas anti-phishing para intentar bloquear estos ataques, y herramientas de EDR, sin embargo, una vez dentro, el banco no dispone de cifrado en el servidor de ficheros y el atacante se podría llevar si lo consigue, los ficheros en claro.
- Definir la Vulnerabilidad (Vuln): Una vez definido el TCap y RS podemos extraer con la matriz de abajo la Vulnerabilidad que en este caso es Moderada (M).
- Definir la Frecuencia de Pérdida (LEF): De la misma forma que con la Vulnerabilidad, podemos derivarla a partir del TEF (M) y la Vulnerabilidad (M). En nuestro escenario es Moderada (M).
ETAPA 3: Evaluación de la Magnitud de Pérdida (LM)
- Estimación de la Magnitud de Pérdida Primaria: En este escenario podríamos estar hablando de tres potenciales acciones de la amenaza (ver todas las posibles en O-RT): Uso indebido, Divulgación o Denegación de Acceso (Destrucción).
Para evaluar la pérdida probable podemos decir que, en este escenario en el que no estamos teniendo en cuenta el efecto del cifrado o la denegación de acceso del ransomware, sino la exfiltración, tendría poco impacto en la productividad de la organización, que podría continuar con sus operaciones, excepto por la interrupción causada en los equipos de seguridad y TI.
Los principales costes estarían en el ámbito de la respuesta, ya que hay que cuantificar el coste-hora de las personas implicadas en la investigación, la gestión del incidente, las comunicaciones internas, etc. En un escenario conservador, se invertirían no menos de 1.000 horas a un precio medio de 100 dólares por hora considerando usuarios internos y externos.
- Estimación de la Magnitud de Pérdida Secundaria: Lo primero que debemos hacer es identificar a los involucrados o afectados. En este caso estarían implicados datos de clientes. También es algo que afectaría a los reguladores, debido a que es una pérdida de datos relativos a PCI de mucho impacto en un banco. Una vez identificados los involucrados podemos calcular para ellos lo siguiente:
- Estimación de la Frecuencia de Eventos de Pérdida Secundaria (SLEF): Teniendo en cuenta el colectivo de afectados, en este escenario y siguiendo la siguiente tabla diríamos que el número de involucrados que tendría que ser gestionado e informado es Muy Alto (MA).
Para derivar la frecuencia de esta estimación de probabilidad de perdida, podemos utilizar la siguiente matriz relacionándola con la Frecuencia de Eventos de Pérdida Primaria (LEF) calculada anteriormente (Moderada; M). En este caso los daría un SLEF Muy Alta (MA).
- Estimación de la Magnitud de Pérdida Secundaria (SLM): Cara a estimar la magnitud de pérdida secundaria, podemos establecer un escenario donde se han visto afectados 100.000 registros de clientes por ejemplo, una gran cantidad, ya que el atacante ha realizado esfuerzos para llegar hasta allí e intentará obtener el mayor número de datos posibles.
Las multas y demandas por parte de los reguladores y los clientes, y el coste de la reputación también pueden considerarse una forma de pérdida. No parece que afecte a la pérdida de competitividad, y en este caso, hemos decidido no centrarnos en el área de Productividad
ETAPA 4: Derivar y Articular el Riesgo
- Derivar el Riesgo Primario: Hemos derivado LEF y LM, que en nuestro caso y en base a los análisis previos sería Moderado.
- Derivar el Riesgo Secundario: Hemos derivado SLEF y LM Secundario, que en nuestro caso y en base a los análisis previos sería Muy Alta (MA).
- Derivar el Riesgo Global: Podemos combinar el Riesgo Primario y Secundario para derivarlo. Estamos hablando en este caso de un riesgo global Muy Alto.
Una vez estimado el Riesgo Global, podemos cuantificar en base a la siguiente tabla el coste de la fuga.
Para este caso podríamos estar hablando de un coste Severo para el negocio que podría superar los $10M.
Con la Frecuencia de Eventos de Pérdida (LEF: Moderada en nuestro caso) y la Magnitud del Riesgo Global (LM; Muy Alta en nuestro caso) podemos estimar el Riesgo Global en base a la siguiente tabla.
Análisis utilizando la herramienta de Análisis de Riesgos de Open FAIR
El Open Group ofrece una herramienta para la cuantificación del riesgo de pérdida de datos. Esta herramienta nos permite simular valoraciones mínimas, más probable y máximas para un determinado escenario.
También nos permite establecer un escenario de mejora propuesto y comparar la Propuesta de Mejora con el Escenario Actual para ver el ahorro en costes o cómo se mitiga el coste de la pérdida.
En el siguiente documento podemos ver un ejemplo de análisis de riesgo en base a la metodología FAIR realizado en base a las tablas anteriores y comparándolo con la herramienta.
Si utilizamos la herramienta de Open FAIR rellenando los siguientes valores, en relación con lo rellenado anteriormente:
Nos daría que existe una probabilidad del 50% de que un problema así supere los $5M de pérdidas.
Retorno de Inversión (ROI) al aplicar una solución de seguridad centrada en lo datos
Sobre este escenario, podríamos plantear una propuesta de mejora, a través de la implantación de una solución de protección y control de la información que disponga de capacidades de cifrado como SealPath. De esta forma, los ficheros exfiltrados estarán protegidos.
Podríamos estimar que con una buena implantación un alto porcentaje de los ficheros, salvo errores de configuración estarán protegidos, por lo que el nivel de protección será muy elevado.
Simplemente teniendo en cuenta que la Fuerza de Resistencia de la solución propuesta para proteger este tipo de amenazas se incrementa notablemente, ya que el atacante puede exfiltrar los ficheros pero no descifrarlos, se minimiza el coste probable de fuga. Si tenemos en cuenta el ahorro el Retorno de Inversión en este tipo de soluciones queda ampliamente justificado.
¿Quieres conocer más en detalle cómo SealPath puede ayudarte en este y otros casos a minimizar el coste de una posible fuga de información? Contacta con nosotros y con una sencilla demo te mostraremos cómo.
Con este tipo de análisis podemos justificar el Retorno de Inversión en determinadas herramientas de seguridad. En este caso de Protección y Control de Información que permiten que los datos exfiltrados por un ransomware sean inaccesibles.
