Las violaciones de la seguridad de los datos hace tiempo que abandonaron el dominio del departamento de TI y ahora se sientan firmemente en la mesa de la sala de juntas: En 2018, British Airways sufrió una brecha de ciberseguridad que provocó el robo de datos personales y financieros de clientes. El resultado fue de gran alcance. Además de una multa de 20 millones de libras de la Oficina del Comisionado de Información del Reino Unido (ICO), una demanda colectiva podría acabar costando a la empresa miles de millones de libras. Este nivel de coste financiero se sitúa directamente en el nivel del consejo de administración.

Pero las filtraciones de datos no sólo provocan pérdidas financieras. Los clientes, los empleados, las operaciones y los proveedores de la empresa se ven potencialmente afectados. El estado de la seguridad es tal que ahora se ha elevado a la cima de la empresa como una consideración empresarial crítica. Los miembros del consejo de administración deben ser conscientes de las implicaciones de una violación de la seguridad y estar preparados para tomar medidas positivas.

Lo que una junta directiva debe saber sobre el impacto de una violación de la seguridad de los datos

Los miembros del consejo de administración tienen un deber de diligencia para con la empresa y sus accionistas. Esto se extiende a garantizar que la empresa se proteja frente a amenazas, ya sean malintencionadas o accidentales. En el Reino Unido, los deberes fiduciarios de los consejeros se establecen en la Ley de Sociedades de 2006, que detalla el deber de «promover el éxito de la empresa» y de «ejercer un cuidado razonable, habilidad y diligencia en la realización de su función»; los riesgos cibernéticos y la respuesta a tales amenazas encajan perfectamente en este deber de cuidado. A continuación se detallan los tipos de impacto que puede tener un ciberataque, cada uno de los cuales puede tener efectos de gran alcance en el éxito continuado de una empresa:

Moral de los empleados

Las empresas funcionan mejor con gente feliz y eficiente. Si la moral es baja, la productividad desciende. Un informe de Carbonite, que explora cómo afecta a los empleados una violación de datos, muestra claramente que la moral del personal sufre un golpe tras una violación:

  • El 25% de los empleados experimenta un impacto en su equilibrio trabajo/vida privada
  • El 24% de los empleados experimentó un descenso de la moral en la oficina
  • El 15% de las empresas despidió a empleados o los despidió, tras la filtración
  • El 11% de las empresas vieron cómo los empleados renunciaban tras una infracción

Precio de las acciones

Los directores de los consejos de administración están bajo presión para garantizar que las piezas de acciones se mantengan altas para conservar la confianza de los accionistas. Sin embargo, hay pruebas de que las violaciones de datos afectan negativamente a las piezas de las acciones. Una de las demostraciones más crudas de ello fue el desplome que sufrieron las acciones de Equifax tras la filtración de datos de la empresa en 2017: cayeron más de un 30% en total antes de recuperarse.

Una investigación de Comparitech, realizada a lo largo de varios años, muestra que los impactos en el precio de las acciones son habituales. La investigación utilizó empresas que cotizan en la Bolsa de Nueva York y descubrió que los precios de las acciones caen un -3,5% por término medio y tienen un rendimiento inferior en el NASDAQ del -3,5%.

Cumplimiento y multas

Las normativas en torno a la privacidad y la protección de datos suelen conllevar fuertes multas por incumplimiento. Dos ejemplos de empresas británicas que han sido multadas en virtud del Reglamento General de Protección de Datos (RGPD) de la UE, demuestran los costes del incumplimiento:

Empresa: Ticketmaster

Multa: 1,4 millones de euros (1,2 millones de libras)

Por qué: Medidas técnicas y organizativas insuficientes para garantizar la seguridad de la información

Empresa Marriott International, Inc

Multa: 20,5 millones de euros (17,8 millones de libras)

Por qué: Medidas técnicas y organizativas insuficientes para garantizar la seguridad de la información

Solo en 2020, las multas del GDPR aumentaron un 19%, con un total de 332,4 millones de dólares en multas emitidas desde la promulgación de la ley en 2018.

Pérdidas de reputación y de clientes

Un informe de Lloyds y KPMG sobre la protección de activos intangibles reveló que en los últimos 10-15 años el 80% de los activos corporativos pueden describirse como intangibles, lo que incluye la marca, los artefactos de propiedad intelectual y los servicios impulsados por la tecnología. Sin embargo, uno de los resultados más difíciles de cuantificar de una filtración o violación de datos es el impacto en la reputación y la pérdida de clientes. Poniendo esto en cierto contexto, una encuesta de PwC descubrió que el 87% de los consumidores afirmaban que se llevarían su negocio a otra parte si una empresa sufría una filtración de datos.

Despidos de empleados y directivos

En última instancia, una brecha puede provocar la pérdida de habilidades y conocimientos. Un informe de Radware sobre el estado de la seguridad de las aplicaciones web muestra que el 23% de las empresas despidieron a ejecutivos después de que se produjera una brecha. Un ejemplo es, de nuevo, la filtración de datos de Equifax de 2017. La entonces CIO fue multado con 55.000 dólares y condenado a 4 meses de prisión por realizar operaciones con información privilegiada antes de que se notificara al público la filtración.

Costes de inactividad

Las violaciones de la seguridad de los datos tienen un impacto de gran alcance en toda la empresa. Los impactos de una brecha señalados anteriormente, no incluyen otras áreas afectadas como el tiempo de inactividad y la pérdida de propiedad intelectual/información sensible de la empresa: Datto exploró los costes del tiempo de inactividad tras una violación de la ciberseguridad y descubrió que habían aumentado un 486% entre 2018 y 2020.

Formación sobre la violación de la seguridad de los datos

Cómo puede afectar a una junta directiva una violación de datos

Una cultura de la seguridad promovida por un tono en la cima: La ciberseguridad es responsabilidad de toda la organización, desde la junta directiva hasta los empleados, pasando por los consultores externos y más allá. Ningún individuo, ni un equipo informático ni un analista de seguridad pueden enfrentarse solos a las amenazas a la ciberseguridad, es vital conseguir que la junta directiva se comprometa con la seguridad. Una junta con una postura de seguridad robusta y sólida toma su tono desde arriba. Cuando una junta se toma en serio la ciberseguridad, se forma una cultura de seguridad que impregna toda la organización. Esta cultura es la piedra angular para crear una conciencia de ciberseguridad en toda la red de la empresa.

Los datos son valiosos: Los datos y el potencial de exposición a los mismos es un aspecto crítico de la supervisión de la junta directiva. Las violaciones de datos son asuntos costosos: el coste medio de una violación de datos en el Reino Unido es de 2,8 millones de libras (3,9 millones de dólares)

Falta de formación en ciberseguridad a nivel de la junta directiva: El conocimiento de la ciberseguridad puede ser un problema para un consejo de administración. Los directores de los consejos rara vez tienen formación en seguridad. Sin embargo, los miembros de la junta deberían tener una formación de concienciación sobre seguridad junto con el resto del personal de la organización.   La formación debe ser pertinente y adaptada a su papel como miembros del consejo, en lugar de un enfoque de «talla única». Se puede emplear a empleados de la empresa con conocimientos de ciberseguridad y con excelentes dotes de comunicación para que ayuden a formar a los miembros del consejo.

Impacto de las violaciones de datos en el precio de las acciones: Como se ha demostrado, las violaciones de la ciberseguridad afectan a los accionistas, ya que los precios de las acciones se ven afectados tras una violación, por lo que los miembros del consejo de administración tienen el deber de comprender las implicaciones de las violaciones de datos en el valor para los accionistas.

Firma de la política: Las políticas de ciberseguridad, algunas de las cuales pueden tocar información sensible de la empresa, son una parte fundamental de la estrategia de seguridad de toda la empresa que debe ser reconocida y, potencialmente, firmada por el consejo de administración o por un miembro del mismo.

Un sentido colectivo de la responsabilidad: El equipo directivo debe liderar la lucha contra los ciberataques. La C-Suite y la junta directiva pueden fomentar y promover un sentido compartido de la responsabilidad que también se extienda a ser conscientes de la exposición accidental de datos y de los errores de seguridad simples que pueden poner a una organización en mayor riesgo.

Todo por la responsabilidad: La organización y los individuos que la componen son responsables de la higiene de la ciberseguridad. La cultura de concienciación sobre la ciberseguridad, promovida por la junta directiva, ayuda a dar forma a la formación necesaria para garantizar que la higiene de la seguridad sea respetada por todos.

Multa por violación de la seguridad de los datos

Embarcarse en la prevención de la violación de datos

Un informe de Grant Thornton reveló que el 73% de las empresas declararon pérdidas de alrededor del 25% de sus ingresos tras sufrir una brecha cibernética. Esta es por sí sola una razón de peso por la que la ciberseguridad ocupa un lugar destacado en la sala de juntas. Un ciberataque tiene repercusiones importantes en todos los aspectos de una organización. La junta directiva desempeña un papel fundamental a la hora de ayudar a crear una postura de seguridad sólida, así como a la hora de garantizar que se dispone del presupuesto necesario para proporcionar las medidas de seguridad y la formación de concienciación adecuadas.

Las secuelas de una filtración de datos pueden tener consecuencias nefastas para las organizaciones e inevitablemente existe un juego de acusaciones que sigue a cualquier incidente cibernético. Nuestro próximo webcast titulado ‘The Data Breach Blame Game: ¿Empleados o empleadores?’, el 27 de mayo a las 15:00 horas BST, aborda el tema cada vez más complejo de la responsabilidad y de quién es responsable cuando se produce un fallo.

Webcast: El juego de las culpas por la filtración de datos