Innovación

El 82% de las filtraciones de datos en 2023 involucraron datos en la nube, donde se aloja la mayoría

Las filtraciones de datos de terceros se refieren a incidentes en los cuales la información confidencial o sensible de una organización, que está en manos de un proveedor o socio comercial (tercero), es accedida, expuesta, robada o comprometida sin autorización. Estas filtraciones pueden tener graves consecuencias para la organización afectada, incluyendo pérdidas financieras, daños a la reputación y sanciones regulatorias.

Fuentes de las filtraciones de datos de terceros

  1. Proveedores de servicios: Proveedores que manejan datos de clientes o empleados en nombre de la organización, como servicios de tercerización, nómina, almacenamiento en la nube y servicios de TI.
  2. Contratistas y consultores: Profesionales externos que tienen acceso a datos sensibles durante sus tareas de consultoría o contratación.
  3. Herramientas y plataformas de software de terceros: Soluciones tecnológicas que la organización utiliza y que requieren acceso a datos internos.
  4. Socios comerciales: Entidades con las que la organización colabora estrechamente y comparte datos, como distribuidores o alianzas estratégicas.

 

Causas raíz de las filtraciones de datos de terceros

  1. Deficiencias en la seguridad de los proveedores: Proveedores que no implementan medidas de seguridad adecuadas, facilitando el acceso no autorizado a los datos.
  2. Falta de contratos y políticas claras: Ausencia de acuerdos y políticas específicas sobre la protección y seguridad de datos entre la organización y el tercero.
  3. Errores humanos: Fallos por parte de los empleados del proveedor, como enviar datos sensibles a destinatarios incorrectos o no proteger adecuadamente la información.
  4. Ataques de hackers: Actores maliciosos que atacan a los proveedores para acceder a los datos de las organizaciones.
  5. Gestión inadecuada de privilegios de acceso: Provisión y gestión insuficiente de los privilegios de acceso a los datos por parte de los proveedores.
  6. Uso de tecnologías obsoletas: Empleo de software y tecnologías anticuadas que son altamente vulnerables a los ataques.

Impactos y consecuencias para las organizaciones

  1. Pérdida y exposición de datos sensibles: Daños a la confianza de los clientes y socios en la organización.
  2. Multas y sanciones regulatorias: Penalizaciones impuestas por las autoridades debido al incumplimiento de normativas de protección de datos.
  3. Publicidad negativa: Impacto negativo en la imagen pública de la organización.
  4. Gastos adicionales: Costos asociados con la gestión de la crisis, investigación del incidente, notificación a las partes afectadas y posibles demandas legales.
  5. Pérdida de productividad: Tiempo y recursos dedicados a abordar la filtración y mejorar las medidas de seguridad.
  6. Ventaja competitiva perdida: Información sensible utilizada por competidores para ganar ventaja.

Estadísticas clave de filtraciones de datos en 2024

  1. Más del 60% de los datos corporativos globales están almacenados en la nube, y el 82% de las filtraciones de datos en 2023 involucraron datos almacenados en la nube.
  2. Se espera que el 15% de todas las filtraciones de datos en 2024 involucren compromisos de la cadena de suministro, incluyendo vulnerabilidades de software de terceros, un aumento significativo desde el 4% en 2020.
  3. El costo promedio de una filtración de datos en 2023 fue de U$S 4,35 millones, con un costo mayor en los Estados Unidos, donde la cifra ascendió a U$S 9,44 millones.
  4. La industria de la salud sigue siendo la más afectada, con un aumento del 53.3% en el costo de las filtraciones desde 2020, alcanzando un promedio de U$S 10.93 millones en 2023. Otros sectores altamente afectados incluyen servicios bancarios, financieros y manufactura.
  5. Las credenciales robadas son utilizadas en el 24% de las filtraciones, y los ataques a aplicaciones web representan el 25% de las filtraciones.
  6. La técnica de phishing es responsable del 22% de todos los casos de filtraciones, en la que los atacantes engañan a las personas para que revelen información confidencial haciéndose pasar por una entidad de confianza a través de comunicaciones electrónicas fraudulentas.

ISO/IEC 27001: Sistema de gestión de seguridad de la información

Descripción: La ISO/IEC 27001 es una norma internacional que especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información (SGSI) dentro del contexto de la organización. Incluye requisitos para la evaluación y el tratamiento de riesgos de seguridad de la información adaptados a las necesidades de la organización.

Relevancia en el contexto de filtraciones de datos de terceros

  1. Proporciona un marco estructurado para proteger la información sensible, incluyendo los datos manejados por terceros y almacenados en la nube.
  2. Define controles estrictos para gestionar el acceso a la información, reduciendo el riesgo de que terceros no autorizados accedan a datos sensibles.
  3. Permite identificar y evaluar las amenazas y vulnerabilidades específicas que podrían afectar la seguridad de la información gestionada por terceros.
  4. Establece procedimientos para responder a incidentes de seguridad, incluyendo las filtraciones de datos, garantizando una respuesta rápida y eficiente.
  5. Ayuda a las organizaciones a cumplir con las regulaciones y normativas de seguridad de la información a nivel global, cruciales para evitar sanciones y pérdidas financieras debidas a filtraciones de datos.

Integración con otras normas ISO

  • ISO 27701 (Gestión de la Privacidad de la Información): Complementa la ISO/IEC 27001 enfocándose específicamente en la gestión de datos personales y el cumplimiento de regulaciones de privacidad como el GDPR.
  • ISO 31000 (Gestión Integral del Riesgo): Proporciona directrices y un enfoque más amplio para la gestión integral de riesgos, incluyendo riesgos operacionales y estratégicos, más allá de la seguridad de la información.
  • ISO 22301 (Gestión de la Continuidad del Negocio): Garantiza que las organizaciones puedan continuar entregando productos y servicios durante y después de incidentes de seguridad, minimizando el impacto de las filtraciones de datos en la continuidad del negocio.

Conclusión

La incorporación de ISO/IEC 27001 junto con ISO 27701, ISO 31000 e ISO 22301 ofrece una estrategia robusta y completa para gestionar los riesgos de seguridad de la información, proteger datos sensibles y asegurar la continuidad del negocio ante incidentes de filtraciones de datos. Implementar y mejorar estos sistemas de gestión de manera integrada y eficiente proporciona una defensa multifacética contra las amenazas cibernéticas y fortalece la resiliencia organizacional.

Artículo de Jacinto Santiago Gonzalez.