4 minutes

¿Cuáles son los verdaderos costos comerciales de la fuga de datos?

Thumbnail

La respuesta a esa pregunta es “depende”. Depende de los datos o la información que se filtraron, quién tuvo acceso a ellos, cuántos datos poseía, si se trata de una clase de datos regulada o protegida, qué hace el destinatario (¿pirata informático?) de esa información con los datos, y más.

Analicemos los tipos de costos comerciales que puede haber según la naturaleza y el alcance de la fuga.

  • Pérdida de información confidencial: Esta es básicamente la definición de una fuga de datos. Otra persona cuenta con la propiedad o el acceso actual a los datos o la información y puede hacer lo que desee con ellos. Puede venderlos en el mercado negro, usarlos para su beneficio propio, o incluso usarlo para extorsionar o avergonzar a sus clientes o a usted. El alcance de esta pérdida, y quién posee actualmente la información, prácticamente determinarán el costo monetario de la fuga de datos. Por supuesto, si se trata de una pérdida de propiedad intelectual, el impacto superará la pérdida monetaria hasta el punto de perjudicar la capacidad de competencia de la empresa.

  • Incumplimiento con los requisitos normativos: La mayoría de las organizaciones cuenta con información que se incluye dentro del alcance de las regulaciones del gobierno o la industria, como HIPAA, GLBA, FERPA, PCI DSS, SOX. Una cosa que todas tienen en común es el requisito de proteger algún tipo de información confidencial. Pueden ser los datos financieros, la información de salud personal (PHI), la información de identificación personal (PII), la información personal no pública (NPI), los registros educativos de los estudiantes, las investigaciones con controles de exportación, u otros tipos de información regulada. Cada una de estas regulaciones define las penalidades y las ramificaciones de la exposición de los datos. Las repercusiones varían desde multas monetarias  a juicios penales o civiles, como en el caso de GLBA,  o, por violaciones de PCI DSS, al análisis más detallado de los sistemas de computadoras, la posible suspensión o expulsión de las redes de procesamiento de tarjetas, y la responsabilidad por fraude y cargos asociados.

  • Notificaciones a los clientes y monitoreo del crédito: No todas las fugas requieren notificaciones costosas y monitoreo continuo del crédito. Las acciones posteriores se determinarán principalmente con los requisitos normativos que rigen los datos comprometidos. La mayoría de los estados exigen que se notifique al fiscal general del estado y, de ser posible, al cliente que su información financiera o personal está comprometida. Además, es posible que deba brindar hasta un año de servicios de monitoreo de crédito a los clientes afectados por la pérdida de datos.
  • Daño de la marca: Las organizaciones que sufren una fuga de datos pública pueden perder la confianza de los clientes y sufrir daños de la marca. ¿Quién desea realizar negocios con una empresa que no puede proteger los datos?  En un estudio del Ponemon Institute realizado en 2011 que medía la pérdida de la reputación comercial después de una fuga de datos, el 76% de los ejecutivos cuyas empresas sufrieron una fuga de datos indicaba que el evento tuvo un impacto importante o moderado en la reputación de la empresa. Además, restaurar la reputación y la imagen de la marca después de una fuga de datos puede demorar un año o más.

  • Pérdida de capitalización bursátil: Muy relacionada con el daño de arca, una fuga de datos puede tener un impacto material en el valor de las acciones de la empresa a medida que los inversionistas pierden la confianza. Por ejemplo, luego de la fuga de Target Corporation en 2013, el Wall Street Journal informó que las acciones de la empresa cayeron notablemente después del anuncio de la fuga.
  • Análisis forense de los sistemas de computadora: A menos que pueda determinar rápida y específicamente la causa de su fuga de datos, como un correo electrónico que envía datos regulados no cifrados a una amplia lista de distribución, es posible que deba, o desee, contratar un equipo de investigación forense profesional para evaluar detalladamente sus sistemas y determinar la causa de la fuga.

  • Reemplazo, reparación o refuerzo de los sistemas comprometidos: Dependiendo de los resultados del equipo forense, es posible que deba destinar tiempo y dinero para solucionar los problemas y colocar protecciones que reduzcan las posibilidades de otro incidente.


No hay una manera sencilla para definir el costo de una fuga de datos. Los gastos pueden aumentar rápidamente y seguir por años.

Muchas organizaciones creen que realizan una gran inversión en la prevención, aunque, actualmente, la “prevención” se considera como un conjunto de herramientas que evitan el ingreso de los piratas informáticos pero no necesariamente la fuga de los datos. Es muy importante atender estos dos aspectos. Las herramientas de colaboración empresarial segura pueden ayudar con esta última. Sin lugar a dudas es momento de respetar y cumplir la antigua frase: Mejor prevenir que curar.

Daren Glenister