Las violaciones de la seguridad de los datos hace tiempo que dejaron el dominio del departamento de TI y ahora se sientan firmemente en la mesa de la sala de juntas: En 2018, British Airways sufrió una brecha de ciberseguridad que provocó el robo de datos personales y financieros de los clientes. El resultado fue de gran alcance. Además de una multa de 20 millones de libras de la Oficina del Comisionado de Información del Reino Unido (ICO), una demanda colectiva podría terminar costando a la compañía miles de millones de libras. Este nivel de coste financiero se sitúa directamente en el nivel de la junta directiva.
Pero las violaciones de datos no sólo provocan pérdidas financieras. Los clientes, los empleados, las operaciones y los proveedores de la empresa están potencialmente afectados. El estado de la seguridad es tal que ahora se ha elevado a la cima de la empresa como una consideración crítica para el negocio. Los miembros del consejo de administración deben ser conscientes de las implicaciones de una violación de la seguridad y estar preparados para tomar medidas positivas.
Lo que una junta directiva debe saber sobre el impacto de una violación de la seguridad de los datos
Los miembros del consejo de administración tienen el deber de cuidar de la empresa y de sus accionistas. Esto se extiende a garantizar que la empresa se proteja contra las amenazas, ya sean maliciosas o accidentales. En el Reino Unido, los deberes fiduciarios de los consejeros se establecen en la Ley de Sociedades de 2006, que detalla el deber de "promover el éxito de la empresa" y de "ejercer un cuidado razonable, habilidad y diligencia en la realización de su función"; los riesgos cibernéticos y la respuesta a tales amenazas encajan perfectamente en este deber de cuidado. A continuación se detallan los tipos de impacto que puede tener un ciberataque, cada uno de los cuales puede tener efectos de gran alcance en el éxito continuado de una empresa:
La moral de los empleados
Las empresas funcionan mejor con gente feliz y eficiente. Si la moral es baja, la productividad disminuye. Un informe de Carbonite, que explora cómo una violación de datos afecta a los empleados, muestra claramente que la moral del personal se ve afectada después de una violación:
- El 25% de los empleados experimenta un impacto en su equilibrio entre vida y trabajo
- El 24% de los empleados experimentó un descenso en la moral de la oficina
- El 15% de las empresas despidió a empleados o los despidió, después de la filtración
- El 11% de las empresas vio cómo los empleados renunciaban tras una infracción
Precio de las acciones
Los directores de los consejos de administración están presionados para garantizar que las acciones se mantengan altas para mantener la confianza de los accionistas. Sin embargo, hay pruebas de que las violaciones de datos tienen un impacto negativo en las acciones. Una de las demostraciones más claras de esto fue la caída de las acciones de Equifax tras la filtración de datos de la empresa en 2017, con una caída total de más del 30% antes de recuperarse.
Una investigación de Comparitech, realizada a lo largo de varios años, muestra que los impactos en el precio de las acciones son habituales. La investigación utilizó empresas que cotizan en la Bolsa de Nueva York y descubrió que los precios de las acciones cayeron un -3,5% de media y que el rendimiento en el NASDAQ fue un -3,5% inferior.
Cumplimiento y multas
La normativa sobre privacidad y protección de datos suele conllevar fuertes multas por incumplimiento. Dos ejemplos de empresas británicas que han sido multadas en virtud del Reglamento General de Protección de Datos (RGPD) de la UE, demuestran los costes del incumplimiento:
Empresa: Ticketmaster
Multa: 1,4 millones de euros (1,2 millones de libras)
Por qué: Insuficientes medidas técnicas y organizativas para garantizar la seguridad de la información
Empresa Marriott International, Inc.
Multa: 20,5 millones de euros (17,8 millones de libras)
Por qué: Insuficientes medidas técnicas y organizativas para garantizar la seguridad de la información
Solo en 2020, las multas del GDPR aumentaron un 19%, con un total de 332,4 millones de dólares en multas emitidas desde la promulgación de la ley en 2018.
Reputación y pérdida de clientes
Un informe de Lloyds y KPMG sobre la protección de los activos intangibles reveló que en los últimos 10-15 años el 80% de los activos corporativos pueden describirse como intangibles, lo que incluye la marca, los artefactos de propiedad intelectual y los servicios impulsados por la tecnología. Sin embargo, una de las consecuencias más difíciles de cuantificar de una fuga o violación de datos es el impacto en la reputación y la pérdida de clientes. Para contextualizarlo, una encuesta de PwC reveló que el 87% de los consumidores afirmaron que se irían a otra parte si una empresa sufriera una filtración de datos.
Despidos de empleados y directivos
En última instancia, una brecha puede dar lugar a la pérdida de habilidades y conocimientos. Un informe de Radware sobre el estado de la seguridad de las aplicaciones web muestra que el 23% de las empresas despidieron a ejecutivos después de que se produjera una filtración. Un ejemplo es, de nuevo, la violación de datos de Equifax de 2017. El entoncesCIO de fue multado con 55.000 dólares y recibió una condena de 4 meses de prisión por llevar a cabo operaciones con información privilegiada antes de que se notificara al público la filtración.
Costes de inactividad
Las violaciones de la seguridad de los datos tienen un impacto de gran alcance en toda la empresa. Los impactos de una brecha mencionados anteriormente, no incluyen otras áreas afectadas como el tiempo de inactividad y la pérdida de propiedad intelectual/información sensible de la empresa: Datto exploró los costos del tiempo de inactividad después de una violación de seguridad cibernética y descubrió que han aumentado en un 486% entre 2018 y 2020.
Cómo puede afectar a una junta directiva una violación de datos
Una cultura de seguridad promovida por un tono en la cima: La ciberseguridad es responsabilidad de toda la organización, desde el consejo de administración hasta los empleados, pasando por los consultores externos. Ningún individuo, ni un equipo de TI ni un analista de seguridad, puede enfrentarse solo a las amenazas de ciberseguridad, por lo que es fundamental que el consejo de administración se comprometa con la seguridad. Un consejo de administración con una postura de seguridad robusta y sólida toma el tono desde arriba. Cuando un consejo de administración se toma en serio la ciberseguridad, se crea una cultura de seguridad que se extiende por toda la organización. Esta cultura es la piedra angular para crear una conciencia de ciberseguridad en toda la red de la empresa.
Los datos son valiosos: Los datos y el potencial de exposición a los mismos es un aspecto crítico de la supervisión de los consejos de administración. Las violaciones de datos son asuntos costosos: el coste medio de una violación de datos en el Reino Unido es de 2,8 millones de libras (3,9 millones de dólares)
Falta de formación en ciberseguridad a nivel de la junta directiva: Los conocimientos de ciberseguridad pueden ser un problema para un consejo de administración. Los directores de los consejos de administración rara vez tienen conocimientos de seguridad. Sin embargo, los miembros del consejo de administración deberían recibir una formación de concienciación sobre la seguridad junto con el resto del personal de la organización. La formación debe ser pertinente y estar adaptada a su función como miembros del consejo de administración, en lugar de un enfoque "único". Los empleados de la empresa con conocimientos de ciberseguridad y con excelentes habilidades de comunicación pueden ser contratados para ayudar a formar a los miembros del consejo.
Impacto de las violaciones de datos en el precio de las acciones: Como se ha demostrado, las violaciones de la ciberseguridad afectan a los accionistas, ya que los precios de las acciones se ven afectados después de una violación, por lo que los miembros del consejo de administración tienen la obligación de entender las implicaciones de las violaciones de datos en el valor de los accionistas.
Aprobación de la política: las políticas de ciberseguridad, algunas de las cuales pueden afectar a información sensible de la empresa, son una parte fundamental de la estrategia de seguridad de toda la empresa que debe ser reconocida por el consejo de administración o por un miembro del mismo, y potencialmente firmada por él.
Un sentido colectivo de la responsabilidad: El equipo directivo debe liderar la lucha contra los ciberataques. La C-Suite y el consejo de administración pueden fomentar y promover un sentido compartido de la responsabilidad que se extienda también a ser conscientes de la exposición accidental de datos y de los simples errores de seguridad que pueden poner a una organización en mayor riesgo.
Todo por la responsabilidad: La organización y los individuos que la componen son responsables de la higiene de la ciberseguridad. La cultura de concienciación sobre la ciberseguridad, promovida por la junta directiva, ayuda a dar forma a la formación necesaria para garantizar que la higiene de la seguridad sea respetada por todos.
Cómo prevenir las filtraciones de datos
Un informe de Grant Thornton reveló que el 73% de las empresas declararon pérdidas de alrededor del 25% de sus ingresos tras sufrir una brecha cibernética. Esta es la razón principal por la que la ciberseguridad se encuentra en la sala de juntas. Un ciberataque tiene importantes repercusiones en todos los aspectos de una organización. El consejo de administración desempeña un papel fundamental a la hora de ayudar a crear una postura de seguridad sólida, así como de garantizar la disponibilidad de presupuesto para proporcionar las medidas de seguridad y la formación de concienciación adecuadas.
Las consecuencias de una filtración de datos pueden ser nefastas para las organizaciones, e inevitablemente hay un juego de culpas que sigue a cualquier incidente cibernético. Nuestro próximo webcast titulado "El juego de las culpas por la filtración de datos: ¿Empleados o empleadores?", que tendrá lugar el 27 de mayo a las 15:00 horas BST, aborda el tema cada vez más complejo de la responsabilidad y de quién es el responsable cuando se produce un fallo.
