Lo último Informe de IBM sobre el coste de una filtración de datos Ya está aquí: ofrece una visión clara de dónde están los riesgos, qué está incrementando los costos y qué inversiones realmente dan resultados. Para los líderes de seguridad, es un punto de referencia, una advertencia y una guía, todo en uno, con puntos clave sobre dónde enfocarse, qué corregir y cómo evitar convertirse en el próximo titular.
La información de identificación personal (PII) sigue siendo la joya de la corona para los atacantes
Los datos personales de los clientes siguen siendo el activo más atacado y más costoso en caso de vulneración de datos. Más de la mitad de todas las vulneraciones de datos implicaron... información personal identificable del cliente, y en incidentes que involucran IA en la sombra La cifra se disparó al sesenta y cinco por ciento. El coste por registro de información personal de cliente comprometido es de $160 a nivel mundial y de $166 en incidentes de IA en la sombra. Esto significa que una exposición de 50.000 registros puede superar fácilmente los $8 millones en pérdidas directas, sin incluir multas, pérdida de clientes ni daños a la reputación. Para cualquier organización, un solo conjunto de datos expuesto puede representar millones en pérdidas, multas y daños a la reputación.
La lección es simple. Si no puede ver dónde están todos sus datos confidenciales, no podrá protegerlos. Ahí es donde descubrimiento y clasificación conscientes de la identidady controles de acceso se vuelven no negociables.
La IA en la sombra no es solo un problema de seguridad, es un problema de costos
Una de cada cinco organizaciones sufrió una vulneración relacionada con la IA en la sombra este año. Estos incidentes suponen un promedio de 200.000 TP/T en costes de vulneración, y en entornos de alto uso la cifra asciende a 670.000 TP/T. Su detección requiere más tiempo, involucran más datos personales y de propiedad intelectual, y generan interrupciones operativas posteriores.
En muchos casos, los empleados utilizaban herramientas de IA no autorizadas que manejaban datos confidenciales sin el conocimiento ni la aprobación de los equipos de seguridad.
Los incidentes de IA en la sombra también tuvieron una ventana de detección más amplia y era más probable que involucraran datos personales y de propiedad intelectual. Tratar la IA en la sombra como una simple infracción de políticas no es suficiente. La IA en la sombra no es simplemente un problema de cumplimiento normativo. Es una superficie de ataque sin monitorizar con un precio. DetecciónLa gobernanza y los controles automatizados son esenciales.
- 20% de las organizaciones sufrieron una vulneración relacionada con la IA en la sombra
- + $200K añadido al costo promedio global de violación para incidentes de IA en la sombra
- + $670K para organizaciones con un alto uso de IA en la sombra
- 65% de las violaciones de inteligencia artificial en la sombra involucraron información personal identificable (PII) del cliente
- 40% propiedad intelectual involucrada
- Los tiempos de detección y contención son una semana más largos que el promedio mundial
La adopción de IA está superando a la gobernanza de la IA
El sesenta y tres por ciento de las organizaciones vulneradas no tenían Política de gobernanza de la IA Entre los que sí lo hicieron, menos de la mitad contaba con un proceso formal de aprobación para las implementaciones de IA, y solo un tercio realizaba auditorías periódicas para la IA no autorizada. El 97 % de Infracciones relacionadas con la IA sistemas involucrados sin controles de acceso adecuados.
Esta brecha de gobernanza es uno de los riesgos más fáciles de solucionar del informe. Los equipos de seguridad y cumplimiento deben colaborar para crear un inventario unificado de sistemas de IA, aplicar políticas de acceso y supervisar continuamente las implementaciones no autorizadas.
Los controles de acceso con IA son el eslabón débil
-
97% de las infracciones relacionadas con la IA implicaron sistemas sin controles de acceso a la IA adecuados
-
31% de los incidentes de seguridad de IA autorizados dieron como resultado un acceso no autorizado a datos confidenciales
-
29% provocó una pérdida de integridad de los datos
-
23% causó pérdidas financieras directas
Los modelos de IA acceden a datos críticos y regulados sin ninguna protección. Cada una de estas instancias representa un riesgo inminente de vulneración.
La IA en seguridad es un reductor de costes comprobado
Las organizaciones que utilizan ampliamente la IA y la automatización en todo el ciclo de vida de la seguridad redujeron sus costos por brechas de seguridad en 1,9 millones de dólares en promedio y acortaron los tiempos de respuesta a incidentes en ochenta días. Sin embargo, solo el 32 % reporta un uso extensivo, y las tasas de adopción apenas han variado con respecto al año pasado.
La IA en seguridad no solo multiplica la fuerza de los equipos sobrecargados, sino que también supone un ahorro directo de costes. Desde la clasificación automatizada hasta una investigación más rápida y... remediaciónEl retorno de la inversión está comprobado.
Las infracciones en múltiples entornos conllevan costos más elevados
El 30 % de las filtraciones afectaron a datos distribuidos en múltiples entornos. Su coste promedio fue de 1 millón de T/T y su contención tardó 276 días, la mayor duración de cualquier tipo de filtración. Sin una visibilidad y controles unificados, los entornos híbridos se convierten en un problema.
La visibilidad de la seguridad que se limita a un único entorno ya no es suficiente. Los datos modernos residen en la nube pública, la nube privada y los sistemas locales, y las filtraciones cruzan estas fronteras sin problemas. Los controles de seguridad y las herramientas de descubrimiento deben ser capaces de hacer lo mismo.
Tendencias de la industria: dónde hay más en juego
Sanidad Sigue siendo el sector más caro en cuanto a infracciones, con una media de 7,42 millones de dólares. Financiero Las organizaciones industriales también se sitúan muy por encima del promedio mundial. Para estas industrias, la combinación de exposición regulatoria, datos confidenciales de clientes e infraestructura compleja implica mayores riesgos y costos.
Lo que los líderes de seguridad pueden aprender
Los datos son claros sobre dónde centrarse:
- Encuentre y proteja la información personal identificable dondequiera que se encuentreLa información de identificación personal del cliente conlleva el mayor costo y el mayor riesgo.
- Controle la IA de las sombrasDetectarlo, controlarlo y desmantelarlo antes de que se convierta en un titular de violación costoso.
- Incorpore la gobernanza de la IA a su programa de seguridadTrate los activos de IA como cualquier otro sistema de alto valor.
- Utilice la IA y la automatización en seguridad de forma extensiva, pero no con moderación.Los beneficios en costo y velocidad están comprobados.
- Seguridad en todos los entornos, no en silosLas infracciones cruzarán los límites si sus herramientas no pueden hacerlo.
Las organizaciones que ganen serán aquellas que combinen visibilidad, gobernanza y automatización en todo su panorama de datos y que traten la IA como una oportunidad de negocio y un riesgo de negocio que exige control.
Autor
