En el 90 % de los incidentes, las p\u00e9rdidas medias son inferiores a la media aritm\u00e9tica.<\/p><\/blockquote>\n
Si hablamos de las p\u00e9rdidas que sufrir\u00eda la empresa promedio, entonces tiene m\u00e1s sentido mirar otros indicadores, en concreto, la mediana (el n\u00famero que divide la muestra en dos partes iguales de modo que la mitad de las cifras reportadas sean m\u00e1s altas y la otra mitad, inferiores) y la media geom\u00e9trica (una media proporcional). La mayor\u00eda de las empresas sufren esas p\u00e9rdidas. La media aritm\u00e9tica puede producir una cifra muy confusa debido a un peque\u00f1o n\u00famero de incidentes perif\u00e9ricos con p\u00e9rdidas anormalmente grandes.<\/p>\n
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2020\/08\/21131344\/black-hat-2020-risk-assessment-distribution.png\")
Distribuci\u00f3n de p\u00e9rdidas de incidentes de violaci\u00f3n de datos. Fuente<\/a><\/p><\/div>\n Otro ejemplo de un \u201cpromedio\u201d cuestionable proviene del m\u00e9todo de calcular las p\u00e9rdidas de los incidentes de violaci\u00f3n de datos al multiplicar el n\u00famero de registros de datos afectados por la cantidad promedio de los da\u00f1os de la p\u00e9rdida de un registro de datos. La pr\u00e1ctica ha demostrado que este m\u00e9todo subestima las p\u00e9rdidas de los peque\u00f1os incidentes y sobreestima seriamente las p\u00e9rdidas de los grandes.<\/p>\n Por ejemplo, hace un tiempo, se extendi\u00f3 una noticia por muchos sitios de an\u00e1lisis que afirmaba que los servicios en la nube mal configurados hab\u00edan costado a las empresas casi 5 billones de d\u00f3lares. Si investigas la procedencia de esta cantidad astron\u00f3mica, queda claro que la cifra de 5 billones de d\u00f3lares provino simplemente de multiplicar el n\u00famero de registros \u201cfiltrados\u201d por el promedio de da\u00f1os de la p\u00e9rdida de un registro (150 d\u00f3lares). Esta \u00faltima cifra proviene del estudio del coste de una violaci\u00f3n de datos Ponemon Institute en el 2019.<\/p>\n Sin embargo, esta historia deber\u00eda resaltar una serie de advertencias. En primer lugar, el estudio no tuvo en cuenta todos los incidentes. En segundo lugar, incluso cuando consideramos solo la muestra utilizada, la media aritm\u00e9tica no ofrece una idea clara de las p\u00e9rdidas; solo considera casos de registros cuya p\u00e9rdida causar\u00eda da\u00f1os de menos de 10.000 d\u00f3lares y m\u00e1s de 1 centavo. Adem\u00e1s, la metodolog\u00eda del estudio confirma que el promedio no es v\u00e1lido para incidentes en los que se hayan visto afectados m\u00e1s de 100.000 registros. Por lo tanto, multiplicar el n\u00famero total de registros que se filtraron como resultado de servicios en la nube mal configurados por 150 es del todo incorrecto.<\/p>\n Para que este m\u00e9todo produzca una verdadera evaluaci\u00f3n del riesgo, debe incluir otro indicador de la probabilidad de p\u00e9rdidas seg\u00fan la escala del incidente. Que ser\u00eda aproximadamente de la siguiente forma:<\/p>\n Dependencia de la probabilidad de p\u00e9rdidas en el n\u00famero de registros afectados por el incidente. Fuente<\/a><\/p><\/div>\n Otro factor que a menudo se pasa por alto al calcular el coste de un incidente es que las fugas de datos actuales afectan a los intereses de m\u00e1s de una sola empresa. En muchos incidentes, los da\u00f1os totales que sufren empresas de terceros (socios, contratistas y proveedores) superan los da\u00f1os en la empresa de la que se filtraron los datos.<\/p>\nCoste promedio del registro de datos filtrados<\/h2>\n
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2020\/08\/21131517\/black-hat-2020-risk-assessment-probability.png\")
El efecto domin\u00f3<\/h2>\n