El costo de una violación de seguridad del sitio web de WordPress

Publicado: 2022-05-25

Una brecha de seguridad puede ser costosa. Muchos estudios y estadísticas sitúan el promedio de una brecha de seguridad en millones de dólares. Esta cifra, sin embargo, no significa mucho sin contexto. De hecho, puede ser complicado obtener un costo promedio por una brecha de seguridad. Las complicaciones surgen del hecho de que muchos factores entran en juego. Los factores incluyen las circunstancias de la violación, su alcance y qué tipo de datos robaron los atacantes.

Los administradores de WordPress y los propietarios de sitios web pueden sentirse inclinados a minimizar los riesgos de una brecha de seguridad. Después de todo, solo hay un sitio web para proteger, y eso es bastante fácil con una contraseña segura, ¿verdad?

En realidad, las cosas son un poco más complejas. WordPress no funciona en el vacío y debe depender de otros sistemas para funcionar. La cantidad de sistemas que están dentro de su alcance depende en gran medida de su plan de alojamiento. De cualquier manera, sería prudente reconocer que existen diferentes sistemas y que conllevan algún riesgo, por mínimo que sea. Después de todo, incluso los proveedores de alojamiento de buena reputación sufren infracciones.

Este artículo enumerará los costos más significativos asociados con una brecha de seguridad, con un enfoque particular en los sitios web y administradores de WordPress. También analizaremos los factores que normalmente afectan los costos para ayudarlo a comprender cuáles son sus riesgos y niveles de exposición en caso de que sufra una brecha de seguridad.

Nota: por si acaso, lea esta guía para verificar si su sitio web de WordPress está pirateado.

factores

Estos son algunos de los principales factores a considerar al estimar el costo de una brecha de seguridad. Como se mostrará en la siguiente sección, cada factor también puede tener muchas variables, que pueden variar ampliamente los costos reales. De cualquier manera, representan un buen punto de partida.

¿Qué tipo de datos se comprometieron?

El primer factor que debemos considerar es el tipo de datos que se comprometieron. Esto es especialmente cierto si se trata de datos personales. Si se robaron datos personales, también deberá considerar si pertenecen a empleados, clientes o ambos, ya que esto afectará los costos.

Lo siguiente que deberá observar es qué tipo de datos personales fueron robados. Por ejemplo, si tiene una tienda de comercio electrónico y la información de la tarjeta de crédito o los datos de salud se ven comprometidos, esto dispararía los costos. Estos datos son muy personales y pueden tener repercusiones negativas en las personas afectadas por la brecha de seguridad.

¿Cuántas personas se vieron afectadas?

La cantidad de personas afectadas por la infracción también afectará el costo. Ciertas obligaciones legales y de cumplimiento también se activan una vez que se supera un umbral; sin embargo, esto varía de una jurisdicción a otra.

¿Cómo sucedió la brecha?

Comprender cómo ocurrió la infracción es otro factor crucial que puede contribuir al costo. Esto ayudará a determinar si el incumplimiento se debió a negligencia o no. Si la negligencia jugó un papel en el incumplimiento, los costos tienden a aumentar.

¿Es este el primer incidente?

Los incidentes posteriores tienden a tener un precio más alto que las infracciones por primera vez. Los dos principales generadores de costos aquí son las multas y los costos de reputación.

¿Será noticia?

Si es probable que la brecha de seguridad sea noticia, puede esperar que los costos aumenten dependiendo de si llegará a las noticias regionales, locales, nacionales o internacionales.

¿En qué te basas?

La ubicación de la empresa o entidad que gestiona el sitio web también repercutirá directamente en los costes. Esto se debe principalmente a los requisitos legales y/u obligaciones que la ley dentro de la jurisdicción impone en tales casos.

Costos

Ahora que hemos cubierto los factores, podemos ver los costos más altos típicamente asociados con una violación de datos.

Legal

Un abogado y, en algunos casos, un entrenador de brechas son actores esenciales que ayudan a las empresas y a los administradores de WordPress a navegar por las ramificaciones a menudo complejas de una brecha de datos. También son útiles cuando se trata de multas, posibles acciones legales y muchos de los otros costos asociados con una violación de datos.

medicina forense

Los equipos forenses ayudan a determinar los caminos a seguir. Si tiene una tienda de comercio electrónico como WooCommerce, también puede esperar que los portadores de tarjetas soliciten un equipo forense especializado para evaluar lo que sucedió. Los costes suelen correr a cargo de la empresa que ha sufrido la infracción.

Relaciones públicas y gestión de crisis

Dependiendo del tamaño de la brecha, un equipo de gestión de crisis y una persona o equipo de relaciones públicas pueden ayudar a contener las consecuencias. La verdad es que una infracción puede provocar daños en la reputación y pérdida de ingresos en el futuro, razón por la cual es esencial controlarla.

Notificación de incumplimiento

La notificación de incumplimiento es un requisito legal en los EE. UU. Las reglas varían según el estado y el alcance de la infracción.

Atención al cliente

En muchos casos, las empresas están obligadas a proporcionar a sus clientes un número de teléfono gratuito al que puedan llamar para obtener más información sobre la infracción. Aquí debe pensar si tiene una capacidad existente para tales llamadas o si necesita subcontratarla.

Monitoreo de crédito

En algunas jurisdicciones, las empresas están obligadas a proporcionar a los clientes cuyos datos fueron robados servicios de control de crédito, asegurando así que no sufran fraude. Aun así, siempre es una buena práctica ofrecer dicho servicio y puede mitigar el daño reputacional sufrido por la infracción.

Multas

Las multas pueden venir en todas las formas y tamaños. Dependen principalmente de la jurisdicción en la que reside, el alcance de la infracción, el tipo de datos comprometidos y el sector en el que opera. Por ejemplo, las filtraciones de datos en la UE pueden estar sujetas a multas por el RGPD, que pueden llegar al 4 % de los ingresos. En los EE. UU., las infracciones de HIPAA son procesadas por el Fiscal General del Estado y la OCR. También se pueden imponer multas de PCI en los casos en que se robaron los datos de la tarjeta de crédito.

Demandas

Alrededor del 5% de las infracciones denunciadas terminan en algún tipo de litigio; sin embargo, varios factores deben ser considerados aquí. Por supuesto, los abogados son el mejor recurso para ofrecer orientación aquí; sin embargo, vale la pena tenerlo en cuenta.

Es mejor prevenir que curar

Una violación de datos conlleva muchos costos costosos. Algunos costos son inmediatos y directos; otros son a largo plazo y difíciles de evaluar, como la pérdida de ingresos debido al daño a la reputación. En muchos casos, los costos de una violación de datos pueden ser lo suficientemente altos como para acabar con una empresa. Afortunadamente, hay una salida más fácil.

Es importante reconocer que las infraestructuras de TI suelen ser complejas y las infracciones pueden iniciarse desde cualquier punto, a veces incluso desde dentro. Como tal, una política de seguridad integral de WordPress es de vital importancia; uno que incluye evaluación y mitigación de riesgos, así como un plan sobre cómo se manejan las infracciones.

Además, aunque no es la panacea, la autenticación de dos factores se acerca mucho. Considera esto. El 81% de las infracciones se llevan a cabo mediante el uso de credenciales robadas. MFA detiene alrededor del 99,9 % de dichos ataques, lo que lo ayuda a eliminar un gran porcentaje de riesgo a través de una tecnología.

Las principales empresas, incluidas Google y Microsoft, respaldan la 2FA y reconocen su eficacia en la reducción de riesgos. Como administrador de WordPress o propietario de un sitio web, usted también puede aprovechar 2FA para mejorar su seguridad con WP 2FA, un complemento 2FA fácil de instalar y administrar que viene con algunas de las funciones más avanzadas y completas.

Comience hoy con una prueba sin riesgo de 14 días.