Muchos han oído hablar de cuánto disfrutaba Pablo Picasso reunirse con artistas en restaurantes o bares de París a comienzos del siglo XX. Durante aquellas reuniones, excentricidad y genialidad mediantes, sucedía algo al menos curioso. Picasso solía realizar pequeños bosquejos en servilletas y, en algunas ocasiones, los utilizaba para pagar el almuerzo, o simplemente los regalaba. Sin embargo, en una oportunidad se le acercó una mujer y le pidió un dibujo, a lo que luego de entregarle la servilleta con los trazos, Picasso respondió “Aquí tiene, son $10.000”, “¡Pero si sólo le tomó 30 segundos hacerlo!” respondió la mujer indignada; “No”, dijo Picasso, “me ha llevado 40 años”. Podrá resultarle llamativo al lector, pero es verdad que en esa época esos bosquejos podían llegar a pagarse hasta $15.000. Es un buen ejemplo de cómo el mercado le asigna el valor a un bien y como este, a su vez, puede estar compuesto de costos “ocultos” al ojo común.
LAS DIMENSIONES DEL RIESGO INFORMÁTICO
Un siglo más tarde, en el ocaso de las “PC” y el auge de las “laptops” los “smartphones” y las “tablets”, la información juega un papel fundamental. Algunos autores hasta la consideran la divisa o moneda del futuro. Es en este contexto que intentaremos develar el verdadero costo originado por robo o extravío de estos dispositivos en la actualidad. En primer lugar, es imperioso que definamos el concepto “fuga de información” (data breach): La misma sucede cuando se realiza una diseminación no autorizada de datos, y puede originarse dentro del universo digital por ataques a la red, robo de laptops, discos duros, USBs y smartphones. ¿Cuál es el costo de estas pérdidas y cómo está compuesto? Para contestar estas preguntas haremos referencia a los estudios del Ponemon Institute de Michigan, EEUU, un ente que hace más de 10 años se dedica al estudio y análisis de privacidad, protección de datos y políticas de seguridad de la información, además de ser un referente para corporaciones y gobiernos a nivel mundial en cuánto a las correctas prácticas de seguridad y las amenazas existentes. En uno de sus más recientes estudios el Ponemon Institute y PGP Corporation han identificado cinco componentes del costo total por data breach, estos son:
• Costo de detección o descubrimiento del data breach.
• Costo de escalada (actividades necesarias para informar sobre la intrusión a las personas indicadas en un tiempo determinado).
• Costo de respuesta (actividades necesarias para minimizar los daños potenciales).
• Costo por pérdida de clientes (número estimado de clientes que podría terminar su relación comercial a causa del incidente).
• Costo de pérdida de clientes potenciales (número estimado de clientes potenciales que no se involucrarán en una relación comercial con la empresa a causa del incidente).
Del estudio que incluyó a 43 compañías de Estados Unidos de los más diversos rubros, se llegó a los siguientes resultados:
• El costo total por registro comprometido es de U$S202, de los cuales U$S139 (68%) corresponden a pérdidas de facturación (clientes actuales y potenciales) a partir del incidente.
• El 84% de las compañías, perdieron (o fueron víctimas de robos) de más de 2000 registros, resultando en un costo promedio total por organización de U$S 6.655.758.
• Más del 88% de los casos de data breach fue originado por negligencia y no por un acto malicioso, pero los originados por actos maliciosos resultan considerablemente más costosos.
Sin duda estos resultados son algo esclarecedores, pero ¿cuántos registros se exponen, por ejemplo, al extraviar una laptop? ¿A cuánto asciende este costo?
Intel Corporation y el Ponemon Institute, responden a estos interrogantes, en un informe que considera un período de 12 meses de estudio, y que incluye a 29 organizaciones y 138 incidentes independientes, según la siguiente distribución de sectores: Healthcare (14%), Gobierno (13%), Servios (13%), Financiero (13%), Comunicaciones (7%), Farmacéutico (7%), Manufactura (7%), Energía (6%), Educación (6%), Retail (6%), Prod. de consumo (6%), Tecnología (2%).
LOS COSTOS EN DETALLE
Para poder medir correctamente el costo promedio total por la pérdida o hurto de una laptop, se definieron siete drivers o componentes de costo:
1. Costo de reposición de Laptop: incluye hardware y software, y la alocación de overhead o costos de estructura de la organización.
2. Costo de detección y escalabilidad: basado en el tiempo que demora el empleado en tratar de recuperar la laptop y de reportar el incidente.
3. Costo forense y de investigación: a causa de las horas dedicadas por los empleados de IT en realizar las investigaciones correspondientes.
4. Costo por data breach o fuga de información.
5. Costo por pérdida de propiedad intelectual: estima el costo de la propiedad intelectual y la probabilidad de que esta sea descubierta por un competidor o una tercera parte dañina.
6. Costo por pérdida de productividad del empleado.
7. Costo legal y de consultoría.
Recordemos que el costo por data breach ya contempla el costo por pérdida de cliente actual o potencial. Los resultados más pertinentes fueron:
• El costo promedio total es de U$S49.246 por laptop, siendo el Costo por data breach el componente más significativo (80%).
• Si se removiera el Costo por data breach, el más significativo sería el Costo por pérdida de propiedad intelectual en un 59%.
• El tiempo que tarda la empresa en conocer que la laptop se ha extraviado o ha sido robada es muy determinante en el costo. Si se descubre el incidente en el mismo día, el costo promedio puede resultar tan “bajo” como U$S8.950, pero si se tarda más de una semana, sube vertiginosamente a un costo promedio de U$S115.849.
• El costo por pérdida de productividad del empleado es despreciable, y sólo representa el 1% del total.
• Paradójicamente, tener un backup completo en la laptop incrementa el costo, por aumentar la probabilidad de contener información confidencial o sensible.
• La encriptación reduce notablemente el costo total. Existe una reducción promedio de U$S20.000 en aquellos casos en que la laptop contaba con encriptación en comparación a los casos en que no.
• El costo total por laptop varía en función del tipo de industria. El mayor costo promedio se da en el sector de servicios (U$S112.853), seguido del sector financiero (U$S71.820) y el farmacéutico (U$S50.393).
• Los costos por data breach y por pérdida de propiedad intelectual también varían según la industria. Los sectores de tecnología, farmacéutico y comunicaciones tienen los mayores costos por pérdida de propiedad Intelectual.
• El número promedio de registros sensibles contenidos en una laptop es de 206, registrándose un mínimo de cero registros, y un máximo de 2600.
Aquí se detallan los componentes del costo promedio total:
Componente de Costo Costo Promedio (U$S)
Costo de Reposición de Laptop 1.582
Costo de detección y escalabilidad 262
Costo forense y de investigación 814
Costo por data breach o fuga de información 39.297
Costo por pérdida de propiedad intelectual 5.871
Costo por pérdida de productividad del empleado 243
Costo legal y de consultoría 1.177
Total por laptop U$S 49.246
Sin embargo quizás sea mucho más preocupante el caso del Smartphone. Debido a sus crecientes funcionalidades y el hecho de tenerlo siempre con nosotros es que aumenta el riesgo de perder información valiosa.
TODOS SOMOS VULNERABLES
En septiembre de 2011 McAfee condujo un relevamiento global en más de 10 países y 3000 encuestados, del que se desprendió que el costo por la pérdida de información personal y laboral ascendería a los U$S37.000 por dispositivo. Unos meses más tarde, investigó junto al Ponemon Institute cuál era la dimensión de estos casos en el mundo corporativo. Descubrieron que 142.708 smartphones fueron perdidos o robados a 439 empresas en el período de un año. Esto representaría aproximadamente el 4% de todos los teléfonos inteligentes entregados a empleados cada año. La tasa de recuperación del equipo es muy baja, del 7%. Sólo en el 13% de los casos el equipo se extravía dentro del lugar de trabajo, por lo tanto el riesgo de que el 87% restante caiga en manos equivocadas es muy grande. El 57% de todos los smartphones no estaban protegidos mostrando que todavía hace falta mucha concientización al respecto. De acuerdo, esto sería muy preocupante, pero al parecer sólo sucede en el resto del mundo, ¿verdad?
A comienzos de 2012, Price Waterhouse & Coopers publicó resultados de una investigación realizada sobre 77 empresas argentinas. Los resultados fueron muy desalentadores:
• Una de cada dos empresas fueron víctimas de fraude, ubicando a la Argentina muy por encima del promedio de víctimas a nivel regional (37%) y mundial (34%).
• El 56% de las empresas confesó no estar preparada para prevenir o detectar ataques.
• El 79% reconoció no tener acceso a investigadores especializados en la materia.
Desgraciadamente el riesgo no está solamente asociado a perder físicamente el Smartphone. Existen aplicaciones que van desde los U$S70 a los U$S400 que permiten intervenir llamadas y tomar control del dispositivo, sin que ni siquiera el dueño lo note. La operación es simple, con tan sólo recibir una llamada originada en esas aplicaciones se puede ser víctima de escucha de comunicaciones, robo de información y SMS. También existe tecnología que permite interceptar todas las comunicaciones inalámbricas en hasta 5 cuadras a la redonda, sin importar el tipo de protección Wi-Fi que esté utilizando (WEP, WPA y WPA2 son vulnerables).
Sí, escucho bien. Quiere decir que alguien con los medios necesarios podría estar registrando cada transacción de información que realiza cuando, por ejemplo, decide tomar un café en un local con Wi-Fi, o simplemente contesta correos de trabajo o negocios desde la indefensa red de su casa. Como podrá observar estas tecnologías de invasión están cada vez más al alcance de los criminales y abandonaron hace tiempo las películas de ciencia ficción. En vistas de la información presentada, es necesario tomar conciencia del verdadero valor de la información contenida en los dispositivos y actuar en consecuencia. Consulte a expertos en la materia para realizar un relevamiento exhaustivo y obtener un diagnóstico en el que se detallen los riesgos existentes. Luego, elabore un plan de acción para mitigar las vulnerabilidades detectadas, que incluya el diseño de procedimientos de seguridad y capacitaciones a sus empleados. Recuerde, al igual que sucede con las maquinarias, la inversión en mantenimiento preventivo es menor a la pérdida originada por realizar un mantenimiento correctivo.