A medida que las filtraciones de datos se hacen cada vez más frecuentes, ya no es cuestión de "si" una organización va a ser atacada, sino de "cuándo". Los ciberdelincuentes se han aprovechado de la situación actual para lanzar una serie de sofisticados ciberataques dirigidos a diversos sectores.
Parece que no hay tregua en el flujo continuo de violaciones de datos, y si acaso, están aumentando en frecuencia y gravedad. Según un reciente informe sobre seguridad basada en el riesgo, en los primeros seis meses de 2020 ya se han visto expuestos la friolera de 8.400 millones de registros.
Las consecuencias a largo plazo de una filtración de datos se han vuelto demasiado reales, y muchas organizaciones son ahora muy conscientes de los daños que podría ocasionar una filtración costosa. Las multas impuestas a British Airways y Marriot ponen de manifiesto la seriedad con la que la OIC se tomará las infracciones del RGPD en el futuro.
¿Cómo se ven afectadas las organizaciones afectadas por las infracciones?
Una violación de datos puede causar daños irreparables y sus efectos a largo plazo pueden ser devastadores. Además de las cuantiosas multas que pueden imponerse como consecuencia del incumplimiento, las organizaciones pueden tener que hacer frente a costes adicionales derivados del tiempo de inactividad operativa, la pérdida de datos de clientes, la aplicación de nuevas medidas de seguridad y la compensación a los clientes afectados.
Una filtración también puede afectar significativamente a la confianza de los consumidores, al valor de las acciones y dañar la reputación de la marca. La desafortunada realidad es que muchos consumidores simplemente perderán la confianza en una empresa si creen que su información personal no está debidamente protegida.
Las filtraciones de datos pueden afectar significativamente a la valoración de las empresas y al precio de sus acciones. Un buen ejemplo de ello fue la filtración de datos de Yahoo en 2013. Más de 3.000 millones de cuentas de usuario se vieron comprometidas, quedando expuesta información confidencial de los clientes, como direcciones de correo electrónico, contraseñas, números de teléfono y fechas de nacimiento.
La filtración salió a la luz en 2016, cuando la empresa estaba a punto de ser comprada por la compañía de telecomunicaciones estadounidense Verizon. La adquisición siguió adelante y los inversores compraron Yahoo por un descuento de 4.480 millones de dólares, unos 350 millones menos que el precio original de la acción.
Un informe del organismo profesional (ISC)2 también puso de relieve el impacto que una violación de datos puede tener en la valoración de una empresa. La investigación reveló que si una empresa sufre una filtración de datos, puede hacer caer significativamente el precio de sus acciones en bolsa.
En el informe se encuestó a 250 expertos en fusiones y adquisiciones con sede en EE.UU., y el 49% de ellos fue testigo del fracaso de un acuerdo de fusión o adquisición como consecuencia de una filtración de datos. Además, el 86% de los encuestados afirmaron que si una empresa informaba públicamente de una filtración en su pasado, ello restaría valor al precio de adquisición asignado.
Sin embargo, el 77% dijo que había recomendado previamente la adquisición de una empresa en lugar de otra debido a la solidez de su programa de ciberseguridad. El 96% también señaló que la preparación en materia de ciberseguridad es un factor de cálculo a la hora de evaluar el valor monetario global de un posible objetivo de adquisición.
El estudio muestra que, aunque la mayoría de las empresas preferirían no sufrir una filtración de datos, si han tomado medidas para gestionarla bien, han ajustado las políticas y los procesos y han mejorado su postura general de seguridad, serán vistas con mejores ojos por los financieros y los directivos de las empresas.
Un sólido programa de concienciación sobre ciberseguridad es clave para mitigar el riesgo y prepararse para lo inevitable. Si las organizaciones invierten en ciberseguridad y pueden demostrar que han tomado todas las medidas necesarias para proteger la seguridad de su información, es poco probable que se enfrenten a toda la ira de los reguladores y el valor de sus acciones puede no verse tan afectado negativamente en comparación con las empresas que han optado por no hacer nada.
Haga clic aquí para saber más sobre las 5 consecuencias perjudiciales de una violación de datos
Mejores prácticas para evitar una filtración de datos
- Formación del personal : inculcar buenos hábitos de ciberseguridad a su personal es la mejor manera de defender a su organización de los ataques. El 60% de las 4856 violaciones de datos personales reportadas a la ICO en la primera mitad de 2019 fueron como resultado de un error humano. Las organizaciones pueden tender a centrarse en las amenazas externas, pero a menudo son sus propios empleados los que representan el mayor riesgo de seguridad. Una campaña integral de concienciación sobre seguridad que utilice una serie de herramientas y técnicas es la mejor manera de involucrar al personal y educarlo sobre el panorama cambiante de las amenazas.
- Actualizar el software de seguridad : el software de seguridad debe actualizarse periódicamente para evitar que los hackers accedan a las redes a través de vulnerabilidades en sistemas antiguos y obsoletos. Así es exactamente como los hackers pudieron acceder a la información personal de más de 143 millones de estadounidenses en la infame filtración de datos de Equifax en 2017. Dos meses antes de la filtración ya existía una solución para esta vulnerabilidad, pero la empresa no actualizó su software.
- Auditorías periódicas y evaluaciones de riesgos: el RGPD especifica que las organizaciones deben realizar auditorías periódicas de las actividades de tratamiento de datos y cumplir una serie de principios de protección de datos que ayudarán a salvaguardar los datos. Esto garantizará la existencia de un marco adecuado que mantenga segura la información personal identificable de los clientes y mitigue cualquier riesgo. La aplicación de un sistema eficaz de gestión de políticas permitirá a las organizaciones demostrar el cumplimiento de los requisitos legislativos y centrarse eficazmente en las áreas que presentan un mayor riesgo para la seguridad de los datos.
- Seguridad de las contraseñas - Una de las formas más fáciles de que los hackers accedan a los sistemas sensibles de la empresa es adivinar las contraseñas. Para mayor seguridad, los usuarios deben crear una frase de contraseña, que es una contraseña compuesta por una frase o combinación de palabras. La primera letra de cada palabra será la base de la contraseña y las letras pueden sustituirse por números y símbolos para añadir una línea de defensa adicional. La autenticación de dos factores (2 FA) también proporcionará una capa adicional de seguridad a las cuentas. Además de una contraseña, la 2FA requiere un segundo dato para confirmar la identidad del usuario. Puede ser una pregunta de seguridad, una huella digital o un código único.
Para ayudar a mejorar la concienciación sobre ciberseguridad dentro de su organización y reducir la posibilidad de una costosa violación de datos, hemos creado una guía gratuita que proporciona 10 consejos prácticos sobre cómo mejorar la concienciación sobre ciberseguridad del personal.
En esta guía, aprenderá:
- Cómo desarrollar un sólido plan de concienciación sobre ciberseguridad que disminuya el riesgo de violación de datos.
- Qué se necesita para que un programa de concienciación sobre ciberseguridad sea eficaz.
- Consejos prácticos para mejorar la concienciación del personal en materia de ciberseguridad.
Haga clic aquí para acceder a la guía 10 maneras de mejorar la concienciación del personal en materia de ciberseguridad.