La consultora de riesgo Kroll ha publicado recientemente un informe que prueba que el número de incidentes de seguridad que han generado brechas de datos ha crecido un 75% en los últimos 2 años en el Reino Unido. Por sectores, la salud es el más afectado con 1.214 incidentes de seguridad registrados, lo que supone un incremento del 41% en el periodo analizado. Le siguen las empresas de servicios, con 362 incidentes, la educación y el cuidado infantil, con 354, y las Administraciones Públicas locales, con 328. Pero, ¿quién tiene la culpa de la mayoría de estas brechas de datos? ¿son siempre los ciberatacantes?
Responsabilidad interna
El análisis de Kroll señala que el número de incidentes de seguridad generados por errores humanos dentro las organizaciones es muy superior al de los ciberataques externos. En concreto, se registraron 2.124 incidentes atribuibles a errores humanos frente a solo 292 que correspondieron a ciberataques.
Los incidentes más comunes debido a errores humanos dentro de las organizaciones incluyen datos enviados a un receptor incorrecto (447 incidentes), pérdida de documentos (438) y datos abandonados en un lugar inseguro (164). La pérdida o el robo de dispositivos no encriptados como pendrives son otro caso frecuente en los informes, con 133 incidentes. En cualquier caso, Andrew Beckett, managing director de la división de ciberseguridad de Kroll, ha destacado con el informe que “un gran cambio regulatorio es el responsable del aumento de estas denuncias de incidentes”. Es decir, la entrada en vigor del GDPR.
El impacto del GDPR
Beckett subraya que “informar de los incidentes de seguridad no era obligatorio para la mayoría de organizaciones antes de la llegada del General Data Protection Regulation (GDPR), así que la reciente subida en el número de incidentes probablemente se deba a que las empresas se estén adaptando a ello. Ahora que ha entrado en vigor, esperamos que aumenten aún más las informaciones de estos incidentes”
Este enfoque coincide con el que señalamos en un blogpost anterior: los informes por aparente incumplimiento han aumentado en varios países. En este sentido, es posible que algunas empresas se excedieran y, pese a que ya cumplían la nueva normativa, decidieron mandar un email a sus usuarios para que diesen permiso para recibir notificaciones. Pero pese a ello, conviene tomárselo siempre en serio, ya que las consecuencias de incumplir el GDPR son muy graves por dos motivos:
- Genera un fuerte impacto en las cuentas de la empresa, ya que el incumplimiento puede suponer penalizaciones que pueden llegar hasta los 20 millones de euros o el 4% de la facturación global anual de la empresa.
- Deteriora gravemente la credibilidad del negocio, ya quela imagen de la compañía será asociada a dicha vulneración frente a la opinión pública y dentro del sector.
Cómo evitar las brechas de datos
El primer paso, como siempre, es de concienciación y prevención: es necesario por ley que todos los empleados que manejan información y datos personales conozcan las limitaciones y obligaciones que marca el GDPR y los requisitos que exige para el procesamiento, almacenamiento y uso de los datos.
Además, conviene tener auditados los ficheros con datos de carácter personal (PII) de la empresa además de los usuarios, empleados o colaboradores, y equipos o servidores que acceden a ella. También es útil que realizan análisis de riesgo de los tratamientos de datos en la empresa, implantar evaluaciones de impacto y que estén correctamente implementados los procedimientos para notificar las filtraciones a las autoridades.
Por último, es importante que la empresa cuente con capacidades para monitorizar y detectar en tiempo real las posibles filtraciones o comportamientos anómalos en la utilización de archivos con datos de carácter personal, con el fin de mitigar la brecha con la mayor brevedad y eficacia posible cuando se detecte.
Para ello, es recomendable utilizar soluciones como Panda Data Control, que sean capaces de descubrir, auditar y monitorizar los datos de carácter personal desestructurados (aquellos datos que no están en una base de datos o están contenidos en algún otro tipo de estructura de datos) hasta llegar a los endpoints. De esta manera, se evitan los accesos incontrolados a los datos sensibles de tu empresa, se garantiza el registro y la trazabilidad de todos los datos personales y es más sencillo cumplir los reglamentos como el GDPR o el PCI-DSS.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
