Antes de comenzar a cubrir la seguridad cibernética, pensé que el término ‘violación’ tenía un solo significado: que un atacante robó datos de un sistema informático. También pensé que todas las diferentes versiones de la palabra significaban lo mismo.
Sin embargo, desde entonces he aprendido los matices y las diferencias entre una violación, una violación de datos y una violación de privacidad de datos. La diferencia es importante. Clasificar mal una infracción puede resultar en infringir una ley sin saberlo o en no cumplir con las regulaciones.
Las normas de privacidad, como el Reglamento general de protección de datos (GDPR) o las leyes específicas de cada estado, especifican cómo una organización debe responder a una violación de la privacidad. No cumplir correctamente puede significar multas y más publicidad negativa. De acuerdo a Gartnerlos datos personales del 65 % de la población mundial estarán protegidos por normas de privacidad modernas para 2023, lo que representa un aumento importante del 10 % en 2020.
¿Violación, violación de datos o violación de privacidad de datos?
El cumplimiento de las normas de privacidad de datos depende de la correcta comprensión de los términos.
El término general ‘brecha’ o brecha de seguridad significa que alguien que no está autorizado para acceder a un sistema informático lo ha hecho. Sin embargo, solo se refiere al acto de acceder a los sistemas, no realmente a robar datos.
En una violación de datos, se ha accedido a la información, y probablemente robada, de los sistemas que fueron violados.
En una violación de la privacidad de datos, la información personal a la que se accedió es información de identificación personal (PII). El Departamento de Seguridad Nacional define PII como cualquier información que permita inferir directa o indirectamente la identidad de una persona. Eso incluye cualquier información que esté vinculada o que pueda vincularse a esa persona. Los ejemplos incluyen información confidencial financiera y personal. Puede ser información de la seguridad social, números de cuentas bancarias, datos personales de salud o información de tarjetas de crédito.
Las empresas que enfrentan una violación de la privacidad de los datos deben seguir todas las reglas de privacidad relevantes que protegen la información de cada persona que fue robada. Por ejemplo, si un solo cliente reside en la Unión Europea, la empresa debe seguir el protocolo de informes descrito por el RGPD. Muchas empresas ofrecen protección contra el robo de identidad, un informe de crédito gratuito y monitoreo de crédito a los consumidores que enfrentaron una violación de la privacidad de los datos.
Solo para ser un poco más confusos, los medios y los consumidores a menudo usan el término violación de datos para referirse tanto a las violaciones de privacidad de datos como a las violaciones de datos generales. Sin embargo, desde la perspectiva de la regulación de la privacidad, la distinción es importante. Si un atacante accede a datos de propiedad de la empresa, como información sobre un próximo producto, eso es una violación de datos. Por otro lado, si roban los números de seguridad social de los empleados, el incidente es una violación de la privacidad de los datos.
Explore el costo de un informe de violación de datos en 2022
Las infracciones implican una recuperación prolongada y multas costosas
Una de las claves más importantes para reducir el daño después de una violación de la privacidad de los datos es la velocidad de respuesta. Para responder a las solicitudes de acceso de sujetos de datos (DSAR), muchas organizaciones utilizan la automatización, como un Solución SOAR. Con esta tecnología, las empresas mejoran el trabajo en equipo y agilizan su respuesta a través de la automatización. Lo que es más importante, estas plataformas garantizan procesos repetibles y consistentes. Estos son a menudo un desafío en momentos de gran estrés después de una infracción.
Muchas organizaciones asumen que después de seguir sus protocolos de respuesta, los peores efectos de la filtración quedan atrás. Pero la SEC aún puede encontrar a la víctima culpable e imponer fuertes multas. Primera corporación financiera estadounidense fue multado con $487,616 en relación con una vulnerabilidad que expuso información confidencial del cliente. El impacto fue aún mayor para pearson plc, una editorial con sede en Londres que acordó pagar $ 1 millón para resolver los cargos de que engañó a los inversores sobre una intrusión cibernética en 2018. La violación de la privacidad de datos involucró millones de registros de estudiantes. Incluía fechas de nacimiento y direcciones de correo electrónico. La organización no contaba con controles y procesos de divulgación adecuados.
Además de las multas, el impacto no comercial de una infracción puede ser significativo. los IBM 2022 Costo de una violación de datos informa que los costos comerciales perdidos promedian $ 1.42 millones en costos de rotación de clientes, tiempo de inactividad y adquisición de nuevos negocios. Otros costos incluyen detección y escalamiento ($1,44 millones), respuesta posterior a la infracción ($1,14 millones) y costos de notificación ($270 000).
Prevención de infracciones de privacidad
Las organizaciones necesitan políticas, procesos y herramientas de privacidad sólidos para administrar la privacidad de los datos y reducir las vulnerabilidades. Al identificar y usar correctamente reglas específicas para manejar datos confidenciales, puede administrar mejor los datos. Esto es especialmente importante para quienes utilizan entornos de nube híbrida, ya que deben asegurarse de que cada entorno cumpla con los estándares.
En algunos casos, equipos separados manejan la privacidad y la seguridad. Los trabajadores de ciberseguridad se enfocan en proteger los datos. El equipo de privacidad trabaja en las políticas de datos, como la recopilación, el almacenamiento y la eliminación. Sin embargo, la seguridad y la privacidad, tanto en términos de prácticas como de normativas, se entrelazan. Al asegurarse de que los dos trabajen juntos, las organizaciones pueden reducir su riesgo de violación y mejorar su respuesta si ocurre una violación de la privacidad.
El costo de una violación de datos de IBM 2021 nombró la confianza cero como una de las formas más efectivas de reducir el costo de una violación. Las empresas con procesos maduros de confianza cero informaron violaciones que costaron $ 1.76 millones menos por violación que aquellas sin confianza cero. Los principios y estrategias de un marco de confianza cero reducen tanto la vulnerabilidad como el impacto de una infracción. Por ejemplo, la autenticación multifactor reduce la probabilidad de acceso no autorizado y la gestión de acceso e identificación (IAM) reduce ese acceso a un ataque interno. Además, la microsegmentación limita el daño de una infracción porque los atacantes solo pueden acceder a una porción muy pequeña de la red y los datos.
Muchos expertos dicen que no se trata de si una organización se enfrentará a una violación de la privacidad de los datos, sino de cuándo sucederá. Reducir las vulnerabilidades es el primer paso para prepararse para la violación de la privacidad de datos. Esté preparado para saber cómo responder a una infracción. De esa manera, puede limitar y reducir tanto el costo como el daño a la reputación.
Relacionado:
Privacidad posterior a Roe – Schneier sobre seguridad
Avast SecureLine VPN mantiene seguros a los usuarios indios y preserva la privacidad
¿Cómo consigue uno ser contratado por una de las principales bandas de ciberdelincuencia? – Krebs sobre seguridad
