[email protected] +44 (0)20 7917 9527 Inicio de sesión
Solicite una demo gratuita

Productos

Descubra nuestra formación personalizada en concienciación sobre ciberseguridad y las soluciones para la gestión del riesgo humano – Brinde a su equipo las habilidades esenciales para protegerse de las amenazas cibernéticas actuales. Nuestra plataforma pone a su disposición herramientas avanzadas, desde simuladores de phishing hasta la gestión integral de políticas, para fortalecer a su personal, mejorar la seguridad y garantizar el cumplimiento total de las normativas.

Concienciación ciberseguridad

Programe su campaña anual de sensibilización en unos pocos clics

Simulación phishing

Detenga los ataques de phishing en seco con el galardonado software de phishing

Contenidos eLearning

Ciberseguridad eLearning Explore nuestra galardonada biblioteca de eLearning, adaptada a cada departamento

Cumplimiento normativo

Simplifique la gestión de políticas, privacidad e incidencias para un cumplimiento total de la normativa

Industrias

Explore la versatilidad de nuestras soluciones en diversos sectores. Desde el dinámico sector tecnológico hasta la sanidad, descubra cómo nuestras soluciones están causando sensación en múltiples sectores. 


Servicios financieros

Crear una primera línea de defensa para las organizaciones de servicios financieros

Empresas

Una solución de formación en sensibilización sobre seguridad para grandes empresas

Sector educativo

Formación en sensibilización sobre seguridad para el sector educativo

Industria tecnológica

Transformación de la formación en sensibilización sobre seguridad en el sector tecnológico

Gobiernos

Una solución de concienciación sobre seguridad para las administraciones públicas

Trabajadores a distancia

Implantar una cultura de concienciación sobre la seguridad, incluso en casa

Personal sanitario

Vea nuestra concienciación sobre seguridad a medida para el personal sanitario

Conformidad con NIS2

Apoye sus requisitos de cumplimiento de Nis2 con iniciativas de concienciación sobre ciberseguridad

Recursos

Desde carteles y políticas hasta guías definitivas y casos prácticos, nuestros recursos gratuitos de concienciación pueden utilizarse para ayudar a mejorar la concienciación sobre ciberseguridad dentro de su organización.

Blog de ciberseguridad Sala de prensa Webcasts
Recursos
Concienciación sobre ciberseguridad para dummies

Un recurso indispensable para crear una cultura de concienciación cibernética

Guía definitiva del phishing

Educar a los empleados sobre cómo detectar y prevenir los ataques de phishing

Política anti-phishing

Crear una cultura consciente de la seguridad y fomentar la concienciación sobre las amenazas a la ciberseguridad

Terminología de ciberseguridad de la A a la Z

Glosario de términos de ciberseguridad

Cosas gratis

Descargue nuestros recursos de concienciación gratuitos para mejorar la concienciación sobre ciberseguridad en su organización

Guía Dummies de Ciberseguridad Elearning

La guía definitiva para implantar un aprendizaje electrónico eficaz sobre ciberseguridad

Carteles de sensibilización gratuitos

Descargue estos carteles gratuitos para mejorar la vigilancia de los empleados

Estudios de caso

Descubra cómo ayudamos a nuestros clientes a impulsar comportamientos positivos en sus organizaciones.

Modelo de madurez conductual en ciberseguridad

Audite su formación en sensibilización y compare su organización con las mejores prácticas

Acerca de

Con más de 18 años de experiencia en el mercado de la Ciberseguridad y el Cumplimiento Normativo, MetaCompliance ofrece una solución innovadora para la concienciación del personal en materia de seguridad de la información y la automatización de la gestión de incidentes. La plataforma MetaCompliance fue creada para satisfacer las necesidades de los clientes de una solución única e integral para gestionar los riesgos de las personas en torno a la Ciberseguridad, la Protección de Datos y el Cumplimiento.

Por qué elegirnos

Sepa por qué Metacompliance es el socio de confianza para la formación en concienciación sobre seguridad

Carreras

Únase a nosotros y personalice la ciberseguridad

Equipo directivo

Conozca al equipo directivo de MetaCompliance

Especialistas en compromiso de los empleados

Facilitamos la participación de los empleados y creamos una cultura de concienciación cibernética

Póngase en contacto con nosotros Conectarse
Menú
Consulta gratuita
Menú principal
Productos Industrias Recursos Acerca de Contacte con
Menú principal

Productos - Visión general

Automatización de la concienciación sobre seguridad Contenidos eLearning Simulación de phishing Gestión del cumplimiento
Menú principal

Industrias - Panorama general

Servicios financieros Gobiernos Empresas Trabajadores a distancia Sector educativo Trabajadores sanitarios Industria tecnológica Cumplimiento de NIS2
Menú principal

Recursos - Panorama general

Blog de ciberseguridad
Sala de prensa
Webcasts
Concienciación sobre ciberseguridad para dummies Guía Dummies de la Ciberseguridad Elearning Guía definitiva del phishing Pósters de sensibilización gratuitos Política antiphishing Casos prácticos Terminología de ciberseguridad de la A a la Z Modelo de madurez del comportamiento en ciberseguridad Cosas gratis
Menú principal

Acerca de - Visión general

Por qué elegirnos Equipo directivo Empleo Especialistas en compromiso de los empleados
Menú principal

Contacto - Visión general

MetaBlog

Manténgase informado sobre los temas de formación en materia de concienciación cibernética y mitigue el riesgo en su organización.

Concienciación sobre ciberseguridad
Phishing y Ransomware
eLearning
Gestión de políticas
Cumplimiento
Privacidad, GDPR y CCPA
GRC

Cómo gestionar una filtración de datos

Violación de datos

sobre el autor

Foto de Luke Noonan

Luke Noonan

Luke es licenciado en Derecho y lleva más de una década trabajando con organizaciones en proyectos tecnológicos y de transformación. Luke lleva 7 años trabajando con MetaCompliance con clientes empresariales para ayudarles a implantar sus programas de concienciación cibernética a nivel global.

Compartir esta entrada

Apenas pasa una semana sin que una filtración de datos llegue a los titulares. Los ciberdelincuentes han normalizado el phishing y el resultado son grandes cantidades de datos robados.

Un reciente informe del organismo del sector de la seguridad ISACA muestra que menos de una cuarta parte de los consumidores británicos considera que las empresas protegen sus datos personales. El informe también señala el impacto real de las pérdidas de datos, ya que casi la mitad de los consumidores afirman que no volverían a tratar con una empresa que haya sufrido una filtración de datos.

La pérdida de datos significa pérdida de clientes, grandes multas y daños a la reputación. Es importante saber cómo hacer frente a una violación de datos cuando se produce.

Estos son nuestros consejos de buenas prácticas para hacer frente a una violación de datos.

Información personal y protección de datos

Los datos personales son cualquier cosa que pueda utilizarse para identificar a un individuo. Por ejemplo, el nombre, la dirección, la edad, la dirección de correo electrónico, el número de teléfono, etc. Estos datos son como oro en paño para los ciberdelincuentes y corren el riesgo de una simple exposición accidental.

Los datos personales deben protegerse de acuerdo con diversas normativas de protección de datos y privacidad. Por ejemplo, la Ley de Protección de Datos del Reino Unido de 2018 (DPA2018) describe las normas de protección de datos para garantizar la seguridad de los datos personales. Los principios básicos de la DPA2018 son que los datos deben ser:

  • utilizarlo de forma justa, legal y transparente
  • se utiliza para fines específicos y explícitos
  • Utilizado de forma adecuada, pertinente y limitado a lo necesario
  • precisos y, en su caso, actualizados
  • no se conservan más tiempo del necesario
  • se traten de forma que se garantice una seguridad adecuada, incluida la protección contra el tratamiento ilegal o no autorizado, el acceso, la pérdida, la destrucción o los daños

La DPA 2018 se compara a veces con el GDPR de la UE. Como tal, la DPA2018 también se conoce como el GDPR del Reino Unido. Existen algunas diferencias entre la DPA 2018/ GDPR del Reino Unido y el GDPR de la UE, como que el procesamiento de datos criminales es menos estricto en el Reino Unido. Asimismo, los motivos legítimos para la elaboración de perfiles son menos estrictos en el Reino Unido que en la UE.

Sin embargo, ambos exigen que se protejan los datos personales y que se cumplan ciertas condiciones posteriores a la violación si ésta se produce. Esto incluye normas de notificación de violaciones y posibles multas por incumplimiento.

¿Cómo se produce una filtración de datos?

Dondequiera que se creen, almacenen, compartan o utilicen los datos, corren el riesgo de ser robados o expuestos accidentalmente. Una variedad de amenazas cibernéticas causan violaciones de datos, incluyendo:

  • Phishing: los estafadores roban datos directamente utilizando sitios web maliciosos. Por otro lado, los ciberdelincuentes utilizan el spear phishing para robar las credenciales de acceso. Estas credenciales se utilizan para acceder a las redes y aplicaciones corporativas. Incluso las credenciales del personal sin privilegios pueden dar lugar a hackeos de bases de datos y violaciones masivas de datos.
  • Ingeniería social: los ciberdelincuentes engañan a los empleados para que les entreguen datos personales que luego utilizan para cometer otros delitos. Los estafadores utilizan muchos medios para llevar a cabo la ingeniería social, incluidas las llamadas telefónicas y las redes sociales. Estos ataques pueden conducir en última instancia a violaciones de datos más importantes.
  • Componentes web mal configurados: simples errores de configuración pueden dejar los servidores web y las bases de datos a merced de los hackers.
  • Vulnerabilidades del software: los fallos en el código del software pueden hacer que las bases de datos, los servidores web y otros programas sean vulnerables a un ataque. A menudo, las vulnerabilidades del software se utilizan con otros vectores de ataque, como el phishing, para instalar malware, como el ransomware. Esto conduce a violaciones de datos más significativas.
  • Infección por malware: todas las técnicas y tácticas anteriores pueden dar lugar a una infección por malware. Por ejemplo, el malware puede llevar a la exfiltración de datos de vuelta a un ciberdelincuente que espera ponerlos a la venta en un mercado de la web oscura. O puede llevar a una infección de ransomware. A menudo el ransomware roba los datos antes de cifrarlos e intentar la extorsión.
  • Violación accid ental de datos: los datos personales no sólo corren el riesgo de los ciberdelincuentes. La exposición accidental de datos es una forma de violación de datos que puede ocurrir por simples errores y acciones descuidadas.

El informe "The Cost of a Data Breach 2022" (El coste de una filtración de datos en 2022 ) de IBM ha revelado que:

  • Los principales vectores de ataque que causan una filtración de datos son: el robo de credenciales o su puesta en peligro (19% de las filtraciones), la suplantación de identidad (16% de las filtraciones) y la desconfiguración de la nube (15% de las filtraciones). Todos estos vectores pueden ser causados por un error humano; por ejemplo, un empleado no se da cuenta de que está siendo víctima de phishing y hace clic en un enlace malicioso que conduce a credenciales robadas.

Cifras similares se desprenden del Informe de Investigación de Violaciones de Datos de Verizon para 2022:

  • El 82% de las infracciones implican que un ser humano, por ejemplo, haga clic en un enlace de phishing en algún momento del ataque.
  • El 62% de las violaciones de datos utilizan proveedores de la cadena de suministro. Una vez más, los atacantes utilizaron tácticas de ingeniería social para dirigirse a los proveedores de terceros y atacar a las empresas que están más arriba en la cadena.

El daño que pueden hacer los hackers

Los estafadores utilizan la información personal para perpetuar una variedad de ciberdelitos. Por ejemplo, el robo de identidad: la base de datos nacional de fraudes CIFAS del Reino Unido registró un aumento del 11% en el robo de identidad en la primera mitad de 2021. Además, CIFAS ha observado un crecimiento aún más significativo en 2022, con casos de robo de identidad que han aumentado en un tercio respecto a las cifras de 2021.

La usurpación de identidad conlleva pérdidas económicas para los particulares y las empresas que tratan con el defraudador que está detrás de la identidad robada. Así, las empresas y los particulares del Reino Unido pierden alrededor de 4.000 millones de libras esterlinas al año debido a los fraudes relacionados con la identidad.

El informe Cost of Data Breaches (Coste de las violaciones de datos) presenta las pruebas del impacto de una violación de datos:

  • El coste medio de una violación de datos en 2022 fue de 4,2 millones de dólares (3,8 millones de libras)

El coste de una violación de datos incluye:

  • Costes de reparación de daños directos en los sistemas informáticos
  • Daño a la reputación
  • Multas por incumplimiento de la normativa
  • Daños a los clientes; a menudo, las violaciones de datos pueden dar lugar a demandas colectivas
  • Despido de personal y problemas de moral
  • Posible filtración de la propiedad intelectual o de los secretos de la empresa.

Qué hacer en caso de filtración de datos

Cualquier organización que sufra una violación de datos debe tener un plan sólido para mitigar el impacto. He aquí algunas ideas y consejos sobre cómo gestionar una filtración de datos:

Mantener la calma

Se ha producido una violación de datos personales: la gestión de la situación es fundamental para contener el suceso y minimizar el impacto. Mantén la calma y resuelve los problemas.

Evaluar los daños

La investigación del suceso es una tarea que requiere tiempo. Debe informar a las autoridades si la violación cumple los criterios necesarios para que sea una violación notificable. Por ejemplo, en el Reino Unido, la Oficina del Comisario de Información (ICO) debe ser informada en un plazo de 72 horas desde que se descubre una violación de datos.

Investigar el incidente

Registra todos los hechos que rodean el incidente a medida que los descubres. Es esencial que registre los acontecimientos e incluya los daños. Este registro puede utilizarse como prueba si el caso acaba en los tribunales.

Contener la brecha

Se puede desarrollar una estrategia de contención de la brecha a medida que se evalúan los daños y se registra lo ocurrido. Las medidas de contención dependen del tipo de incidente que se haya producido. Por ejemplo, un ataque de ransomware requerirá medidas de contención más técnicas que un envío erróneo de un correo electrónico con datos de clientes. El tipo de medidas de contención de los distintos tipos de incidentes debe estar cuidadosamente descrito en una política de seguridad.

Evaluar el riesgo

Evalúe hasta qué punto la filtración de datos ha sido perjudicial para los implicados. Por ejemplo, ¿hay un riesgo de robo de identidad, o alguien podría estar en riesgo de daño físico? Comprender el nivel de riesgo ayudará a guiar a su empresa en una respuesta adecuada.

Responder al incidente

La respuesta a un ciberataque tiene muchos niveles. Incluye la gestión de las consecuencias de la pérdida de datos personales desde el punto de vista de los afectados. También significa que su organización necesita reevaluar su postura de seguridad. Analice en qué han fallado las medidas existentes. ¿Necesita una formación de concienciación sobre la seguridad más regular? ¿Está utilizando el cifrado de forma adecuada? Una respuesta mesurada examinará toda la cadena de eventos del incidente para que pueda reforzar su seguridad corporativa.

Medidas que ayudan en la respuesta a la violación de datos

Una violación de datos puede causar un daño inconmensurable a una organización. Sin embargo, como se ha mencionado anteriormente, el factor humano en la cadena de eventos que conduce a una violación de datos es donde se puede hacer un verdadero cambio.

Los resultados del informe de ISACA demuestran la eficacia de la formación en seguridad. El informe registra que el 80% de las organizaciones afirmaron que la formación en materia de seguridad beneficia positivamente a la concienciación de los empleados.

Utilizando la formación sobre seguridad del personal como medida fundamental en la lucha contra los ciberataques, una organización puede prevenirlos. Si a esta formación en seguridad se le añaden medidas como el cifrado de datos y la autenticación robusta, es mucho menos probable que se produzca una violación de datos maliciosa o accidental.

Pasos clave para una gestión eficaz de las violaciones de datos

Cyber Security Awareness Training – Otros artículos que podría encontrar interesantes

Solicitar una demostración

Solicite una demostración gratuita hoy mismo y compruebe cómo nuestra formación de primera clase en materia de ciberseguridad puede beneficiar a su organización.

La demostración sólo requiere 30 minutos de tu tiempo y no necesitas instalar ningún software.

Solicitar demostración - Master

Solicitar demostración - Prueba de cabecera

  • Todos los campos son obligatorios. Utilice su dirección de correo electrónico corporativa.

  • Este campo es para fines de validación y debe dejarse sin cambios.

Descubra cómo protegemos sus datos: lea nuestra política de privacidad

Solicitar una demostración

Solicite una demostración gratuita hoy mismo y compruebe cómo nuestra formación de primera clase en materia de ciberseguridad puede beneficiar a su organización.

La demostración sólo requiere 30 minutos de tu tiempo y no necesitas instalar ningún software.

Descubra cómo protegemos sus datos: lea nuestra política de privacidad.

Solicitar una demostración

Solicite una demostración gratuita hoy mismo y compruebe cómo nuestra formación de primera clase en materia de ciberseguridad puede beneficiar a su organización.

La demostración sólo requiere 30 minutos de tu tiempo y no necesitas instalar ningún software.

Descubra cómo protegemos sus datos: lea nuestra política de privacidad.