Las filtraciones de datos siguen dominando los titulares en todo el mundo. A pesar de que se hace mayor hincapié en la seguridad de los datos, los piratas informáticos encuentran continuamente nuevas formas de burlar las defensas para acceder a valiosos datos y credenciales de las empresas.
Ya sea a través de sofisticadas técnicas de ingeniería social, ransomware, malware o ciberataques a la cadena de suministro de terceros, los hackers están probando todas las tácticas disponibles para infiltrarse, exponer y sacar provecho de esta información sensible.
Según un informe de investigación de Risk Based Security, dentro de los primeros nueve meses de 2019, se reportaron 5,183 violaciones, exponiendo más de 7,9 mil millones de registros comprometidos. En comparación con 2018, el número total de violaciones de datos aumentó un 33,3% y el número total de registros expuestos se duplicó con creces, aumentando un 112%.
Por desgracia, este preocupante aumento de las violaciones de datos no se corresponde con un aumento de la preparación de las organizaciones. De hecho, muchas organizaciones están lamentablemente mal preparadas y no aplican las medidas de seguridad básicas necesarias para evitar un ciberataque de piratas informáticos.
En un estudio reciente llevado a cabo por Kaspersky, más de la mitad de los destinatarios (57%) afirmaron no tener una política de ciberseguridad, lo que se eleva a más de dos tercios (71%) de las empresas medianas (de 250 a 549 empleados).
Esta complacencia con la ciberseguridad expone a las organizaciones a un riesgo significativo y las somete a un intenso escrutinio, tanto con los reguladores como con sus clientes, en caso de que se produzca una brecha.
Las organizaciones deben comprender plenamente las consecuencias de gran alcance que una violación de datos podría tener en su negocio si quieren mitigar el riesgo y defenderse de los ataques.
Algunas de las consecuencias más perjudiciales de una violación de datos son:
1. Pérdida financiera
El impacto financiero de una violación de datos es, sin duda, una de las consecuencias más inmediatas y duras a las que tendrán que hacer frente las organizaciones. Según un estudio reciente del Instituto Ponemon, el coste de una filtración de datos ha aumentado un 12% en los últimos cinco años, hasta alcanzar los 3,2 millones de libras de media en todo el mundo.
Los costes pueden incluir, la compensación a los clientes afectados, la puesta en marcha de los esfuerzos de respuesta a incidentes, la investigación de la violación, la inversión en nuevas medidas de seguridad, y los honorarios legales, por no hablar de las sanciones reglamentarias ojo de la cara que se pueden imponer por el incumplimiento del GDPR (Reglamento General de Protección de Datos).
Las organizaciones que infrinjan el RGPD pueden ser multadas con hasta el 4% de la facturación global anual o 20 millones de euros, lo que sea mayor. Si las organizaciones se hacen ilusiones de que estas sanciones económicas no se aplicarán, las recientes multas impuestas a British Airways y Marriot han puesto de manifiesto la seriedad con la que la OIC pretende tomarse las infracciones del RGPD.
Una filtración también puede afectar significativamente al precio de las acciones de una empresa y a su valoración. Esto es exactamente lo que le ocurrió a Yahoo después de que se produjera una filtración en 2013. La brecha se filtró en 2016 cuando la empresa estaba a punto de ser comprada por la compañía de telecomunicaciones estadounidense Verizon. La adquisición siguió adelante y la empresa compró Yahoo por un descuento de 4.480 millones de dólares, unos 350 millones de dólares menos que el precio original.
2. Daño a la reputación
El daño a la reputación resultante de una violación de datos puede ser devastador para una empresa. Las investigaciones han demostrado que hasta un tercio de los clientes de los sectores minorista, financiero y sanitario dejarán de hacer negocios con organizaciones que hayan sufrido una filtración. Además, el 85% contará su experiencia a otras personas y el 33,5% recurrirá a las redes sociales para descargar su ira.
Las noticias viajan rápido y las organizaciones pueden convertirse en una noticia mundial en cuestión de horas desde que se revela una brecha. Esta prensa negativa, junto con la pérdida de confianza de los consumidores, puede causar un daño irreparable a la empresa afectada.
Los consumidores son demasiado conscientes del valor de su información personal y si las organizaciones no pueden demostrar que han tomado todas las medidas necesarias para proteger estos datos, simplemente se marcharán y se irán a un competidor que se tome la seguridad más en serio. Una violación de datos puede dar lugar fácilmente a un robo de identidad cuando la información sensible queda expuesta a personas no autorizadas. Los piratas informáticos pueden utilizar esta información para robar la identidad de una persona y cometer actividades fraudulentas, como abrir nuevas cuentas o realizar compras no autorizadas.
El daño a la reputación es duradero y también afectará a la capacidad de una organización para atraer nuevos clientes, futuras inversiones y nuevos empleados a la empresa.
3. Tiempo de inactividad operativa
A menudo, las operaciones empresariales se verán gravemente perturbadas tras un ataque informático. Las organizaciones tendrán que contener la filtración de datos y llevar a cabo una investigación exhaustiva sobre cómo se produjo y a qué sistemas se accedió.
Puede ser necesario interrumpir completamente las operaciones hasta que los investigadores obtengan todas las respuestas que necesitan. Este proceso puede llevar días, incluso semanas, para identificar las vulnerabilidades, dependiendo de la gravedad de la violación. Esto puede tener un enorme efecto en los ingresos y en la capacidad de recuperación de una organización.
Según Gartner, el coste medio del tiempo de inactividad de la red es de unos 5.600 dólares por minuto. Esto equivale a unos 300.000 dólares por hora. Evidentemente, esta cifra varía en función del tamaño de la organización y del sector afectado, pero es evidente que puede tener un impacto devastador y afectar significativamente a la productividad de la empresa.
4. Acción legal
Según la normativa de protección de datos, las organizaciones están legalmente obligadas a demostrar que han tomado todas las medidas necesarias para proteger los datos personales. Si esta seguridad de los datos se ve comprometida, ya sea intencionadamente o no, los particulares pueden emprender acciones legales para reclamar una indemnización.
Se ha producido un enorme aumento de las demandas colectivas tanto en Estados Unidos como en el Reino Unido, ya que las víctimas buscan una compensación monetaria por la pérdida de sus datos filtrados.
La filtración de datos de Equifax en 2017 afectó a más de 145 millones de personas en todo el mundo y la empresa ha pagado más de 700 millones de dólares en compensación a los clientes estadounidenses afectados. La filtración afectó a unos 15 millones de clientes en el Reino Unido, que ahora han iniciado su propia acción legal por separado en el tribunal superior para solicitar una compensación de 100 millones de libras.
A medida que la frecuencia y la gravedad de las infracciones sigan aumentando, cabe esperar que se presenten más casos de este tipo ante los tribunales.
5. Pérdida de datos sensibles
Si una filtración de datos ha provocado la pérdida de datos personales sensibles, las consecuencias pueden ser devastadoras. Los datos personales son cualquier información que pueda utilizarse para identificar directa o indirectamente a una persona. Esto incluye todo, desde el nombre, las contraseñas, la dirección IP y las credenciales. También incluye los datos personales sensibles, como los datos biométricos o los datos genéticos, que podrían procesarse para identificar a una persona.
La realidad es que si a un paciente crítico se le borrara su historial médico en una filtración de datos, podría tener un grave efecto en su tratamiento médico y, en última instancia, en su vida. Los datos biométricos también son muy valiosos para los ciberdelincuentes y valen mucho más que la información básica de las tarjetas de crédito y las direcciones de correo electrónico. Las consecuencias de las filtraciones que exponen estos datos pueden ser desastrosas y superar cualquier daño financiero y de reputación.
Independientemente de lo preparada que esté su organización para una violación de datos, no hay lugar para la complacencia en el cambiante panorama actual de la ciberseguridad. Debe contar con una estrategia de seguridad coordinada que proteja la privacidad de los datos, reduzca las amenazas y salvaguarde la reputación de su marca.
MetaCompliance se especializa en proporcionar la mejor formación de concienciación sobre ciberseguridad disponible en el mercado. Nuestros productos abordan directamente los desafíos específicos que surgen de las amenazas cibernéticas y el gobierno corporativo, facilitando a los usuarios el compromiso con la ciberseguridad y el cumplimiento de las normas. Póngase en contacto para obtener más información sobre cómo podemos ayudar a transformar la formación en ciberseguridad dentro de su organización.
