Las estadísticas de las violaciones de datos ofrecen una lectura sobria: si usted lee este blog con regularidad, habrá observado que las violaciones de datos son comunes y a menudo comienzan con un ataque de ingeniería social aumentado por el phishing.
En 2021, Cisco registró que el 90% de las violaciones de datos comienzan con el phishing, la mayoría de estas violaciones se basan en el spear-phishing dirigido. Un ciberataque o incluso un accidente que provoque una pérdida de datos tiene muchas consecuencias. Pero, ¿qué ocurre después de que se produzca una filtración de datos? Por lo general, alguien debe asumir la responsabilidad de haber dejado la puerta abierta a los ciberdelincuentes, así que ¿quién carga con la responsabilidad cuando se produce una violación de datos?
Las personas implicadas en una filtración de datos
Una violación de datos tiene un impacto de gran alcance en las personas de una organización. Un ciberataque afecta al corazón mismo de una empresa, desde los altos cargos hasta los empleados de la planta:
El director general
Un director general desempeña un papel integral en la forma en que se ve la ciberseguridad en la organización. La cultura de la seguridad viene de arriba a abajo, y una violación de datos refleja una grieta en esta cultura. Los directores generales también están en el punto de mira de los ciberdelincuentes, con estafas como el fraude del director general y el Business Email Compromise (CEO), que utilizan la autoridad del director general para cometer un fraude.
El analista Gartner resume la situación prediciendo que, para 2024, el 75% de los directores generales podrían ser personalmente responsables de las violaciones de datos cibernéticos si su empresa no se centró en la ciberseguridad o no invirtió lo suficiente en ella. Cuando se produce una filtración de datos, un CEO debe estar preparado para gestionar la situación y mitigar su impacto en el negocio.
El Jefe de Seguridad o CISO (Chief Information Security Officer)
El jefe de seguridad es el primer punto de contacto obvio cuando algo relacionado con la seguridad va mal. En una encuesta de Tripwire, el 21% de los responsables de la toma de decisiones de TI culparían al CISO de un fallo de seguridad. Esto no es sorprendente, ya que el trabajo del CISO implica la toma de decisiones sobre las mejores prácticas de seguridad y la supervisión de su aplicación.
Por lo tanto, cuando se produce una filtración de datos, el CISO o el jefe de seguridad será el que esté sobre el terreno recogiendo los pedazos junto a su equipo.
El equipo de seguridad o de informática
Los miembros del equipo de TI o de seguridad están en la vanguardia de una violación de datos junto con sus gerentes. Su trabajo consiste en identificar y responder a una violación de datos. Esto se hace internamente o a través de un proveedor de servicios de seguridad gestionados por terceros. Sin embargo, el tiempo para identificar una violación puede ser largo.
Por ejemplo, un estudio de IBM reveló que se tarda una media de 212 días en detectar una brecha y 75 días en contenerla. Esto supone mucho trabajo para el personal de TI y de seguridad, lo que les aparta del trabajo en los proyectos principales.
Oficial de Cumplimiento
El responsable del cumplimiento normativo está sometido a una enorme presión tras una violación de datos. Su trabajo consiste en garantizar el cumplimiento de la normativa tras la filtración. Esto significa tratar con el supervisor de la normativa para notificarles las métricas de la violación de datos. Dependiendo del impacto de la violación y de la ley, esto puede ser dentro de las 24 horas siguientes al descubrimiento de la violación.
Los responsables de cumplimiento también deben ocuparse de las consecuencias de largo alcance de una filtración, incluida la gestión de las notificaciones a los clientes y a la prensa. Por último, el responsable de cumplimiento deberá trabajar con el CISO y otros para rectificar la situación que causó la filtración de datos y evitar que se repita.
Marketing y relaciones públicas
El marketing puede parecer totalmente ajeno a la respuesta a una violación de datos, pero el marketing y las relaciones públicas deben desempeñar un papel cada vez más importante. La vergüenza y la exposición perjudicial de la marca son a menudo una consecuencia de una violación de datos.
Un informe sobre los costes financieros de un ciberataque reveló que el 71% de los directores de marketing estaban convencidos de que el mayor coste de un incidente de seguridad era la pérdida de valor de la marca. Además, una encuesta de Okta y YouGov descubrió que el 39% de los empleados británicos han perdido la confianza en una empresa que ha hecho un mal uso de sus datos.
La confianza se rompe cuando se produce una violación de datos. Esto afecta materialmente al marketing y a las relaciones públicas de una empresa. Los responsables de marketing de una organización deben trabajar para resolver el impacto de una violación de datos en la marca de una organización.
Empleados
La responsabilidad directa de la prevención y las consecuencias de una violación de datos puede recaer en la alta dirección. Sin embargo, los empleados también se ven afectados: desde la caída de la moral hasta el aumento de los niveles de estrés, pasando por las medidas disciplinarias por la exposición accidental de datos, los empleados forman parte del espectro de responsabilidad más amplio de una violación de datos. Por lo tanto, los empleados deben formar parte de una cultura de seguridad general para capacitarlos.
Consecuencias de la violación de datos en la vida real
El impacto de una violación de datos no solo incluye consecuencias financieras; los empleados se ven materialmente afectados, a menudo perdiendo su trabajo, y algunos pueden incluso terminar en la cárcel. Por ejemplo, un informe de 2018 de Shred-IT descubrió que el 30% de las empresas británicas que sufrieron una violación de datos rescindieron el contrato de un empleado por negligencia.
Algunos ejemplos de violaciones de datos recientes que muestran el impacto de largo alcance en una organización y quién termina cargando con la lata, incluyen:
Uber: la empresa de alquiler de coches sufrió una violación de datos en 2016 que afectó a 57 millones de clientes. Sin embargo, el jefe de seguridad (Joe Sullivan) de Uber no reveló la filtración. En su lugar, el jefe de seguridad supuestamente dijo a su personal que mantuviera el conocimiento de la violación "fuertemente controlado" y que presentara el incidente como parte de un programa de recompensas por errores. Sullivan llegó incluso a pagar a los hackers 100.000 dólares como parte de la "recompensa por fallos", y los hackers aceptaron firmar acuerdos de no divulgación como parte del trato.
El resultado de todo este subterfugio ha destrozado tanto a Uber como al jefe de seguridad. Recientemente, Sullivan fue declarado culpable de no revelar la brecha y se enfrenta a un máximo de cinco años de prisión por obstrucción y tres años por un cargo de encubrimiento. En cuanto a Uber, la empresa fue multada con 148 millones de dólares (130 millones de libras) en 2018.
DWP (Departamento de Trabajo y Pensiones): en 2010, 26 empleados fueron despedidos por "fisgonear datos personales". Los datos se almacenaban en el Sistema de Información al Cliente (SIC) del Departamento de Trabajo y Pensiones (DWP). Los problemas se achacaron a un "régimen de seguridad poco estricto " con procedimientos deficientes para el seguimiento de las notificaciones y alertas.
Singhealth: una violación de datos en Singhealth en 2018 afectó a 1,5 millones de pacientes. Como resultado, dos empleados, el jefe del equipo de Citrix y el director de respuesta a incidentes de seguridad, fueron declarados negligentes y, en consecuencia, despedidos. Además, se impusieron multas personales a cinco ejecutivos de la alta dirección, incluido el director general.
Cómo evitar las consecuencias personales de una filtración de datos
Los datos son asunto de todos, y la seguridad de los datos debe ser una parte intrínseca de su estrategia de seguridad. Esto es posible si una empresa trabaja para desarrollar una cultura de seguridad que impregne toda la organización. Como se muestra aquí, todos compartimos las consecuencias de una violación de datos.
Sin embargo, estas consecuencias pueden controlarse creando una cultura de seguridad en la que todos los miembros de la organización reciban formación sobre cómo actúan los ciberdelincuentes, su papel en la protección de los datos y cómo detectar los intentos de suplantación de identidad.