Las filtraciones de datos de terceros se refieren a incidentes en los cuales la información confidencial o sensible de una organización, que está en manos de un proveedor o socio comercial (tercero), es accedida, expuesta, robada o comprometida sin autorización. Estas filtraciones pueden tener graves consecuencias para la organización afectada, incluyendo pérdidas financieras, daños a la reputación y sanciones regulatorias.
Fuentes de las filtraciones de datos de terceros
- Proveedores de servicios: Proveedores que manejan datos de clientes o empleados en nombre de la organización, como servicios de tercerización, nómina, almacenamiento en la nube y servicios de TI.
- Contratistas y consultores: Profesionales externos que tienen acceso a datos sensibles durante sus tareas de consultoría o contratación.
- Herramientas y plataformas de software de terceros: Soluciones tecnológicas que la organización utiliza y que requieren acceso a datos internos.
- Socios comerciales: Entidades con las que la organización colabora estrechamente y comparte datos, como distribuidores o alianzas estratégicas.
Causas raíz de las filtraciones de datos de terceros
- Deficiencias en la seguridad de los proveedores: Proveedores que no implementan medidas de seguridad adecuadas, facilitando el acceso no autorizado a los datos.
- Falta de contratos y políticas claras: Ausencia de acuerdos y políticas específicas sobre la protección y seguridad de datos entre la organización y el tercero.
- Errores humanos: Fallos por parte de los empleados del proveedor, como enviar datos sensibles a destinatarios incorrectos o no proteger adecuadamente la información.
- Ataques de hackers: Actores maliciosos que atacan a los proveedores para acceder a los datos de las organizaciones.
- Gestión inadecuada de privilegios de acceso: Provisión y gestión insuficiente de los privilegios de acceso a los datos por parte de los proveedores.
- Uso de tecnologías obsoletas: Empleo de software y tecnologías anticuadas que son altamente vulnerables a los ataques.
Impactos y consecuencias para las organizaciones
- Pérdida y exposición de datos sensibles: Daños a la confianza de los clientes y socios en la organización.
- Multas y sanciones regulatorias: Penalizaciones impuestas por las autoridades debido al incumplimiento de normativas de protección de datos.
- Publicidad negativa: Impacto negativo en la imagen pública de la organización.
- Gastos adicionales: Costos asociados con la gestión de la crisis, investigación del incidente, notificación a las partes afectadas y posibles demandas legales.
- Pérdida de productividad: Tiempo y recursos dedicados a abordar la filtración y mejorar las medidas de seguridad.
- Ventaja competitiva perdida: Información sensible utilizada por competidores para ganar ventaja.
Estadísticas clave de filtraciones de datos en 2024
- Más del 60% de los datos corporativos globales están almacenados en la nube, y el 82% de las filtraciones de datos en 2023 involucraron datos almacenados en la nube.
- Se espera que el 15% de todas las filtraciones de datos en 2024 involucren compromisos de la cadena de suministro, incluyendo vulnerabilidades de software de terceros, un aumento significativo desde el 4% en 2020.
- El costo promedio de una filtración de datos en 2023 fue de U$S 4,35 millones, con un costo mayor en los Estados Unidos, donde la cifra ascendió a U$S 9,44 millones.
- La industria de la salud sigue siendo la más afectada, con un aumento del 53.3% en el costo de las filtraciones desde 2020, alcanzando un promedio de U$S 10.93 millones en 2023. Otros sectores altamente afectados incluyen servicios bancarios, financieros y manufactura.
- Las credenciales robadas son utilizadas en el 24% de las filtraciones, y los ataques a aplicaciones web representan el 25% de las filtraciones.
- La técnica de phishing es responsable del 22% de todos los casos de filtraciones, en la que los atacantes engañan a las personas para que revelen información confidencial haciéndose pasar por una entidad de confianza a través de comunicaciones electrónicas fraudulentas.
ISO/IEC 27001: Sistema de gestión de seguridad de la información
Descripción: La ISO/IEC 27001 es una norma internacional que especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información (SGSI) dentro del contexto de la organización. Incluye requisitos para la evaluación y el tratamiento de riesgos de seguridad de la información adaptados a las necesidades de la organización.
Relevancia en el contexto de filtraciones de datos de terceros
- Proporciona un marco estructurado para proteger la información sensible, incluyendo los datos manejados por terceros y almacenados en la nube.
- Define controles estrictos para gestionar el acceso a la información, reduciendo el riesgo de que terceros no autorizados accedan a datos sensibles.
- Permite identificar y evaluar las amenazas y vulnerabilidades específicas que podrían afectar la seguridad de la información gestionada por terceros.
- Establece procedimientos para responder a incidentes de seguridad, incluyendo las filtraciones de datos, garantizando una respuesta rápida y eficiente.
- Ayuda a las organizaciones a cumplir con las regulaciones y normativas de seguridad de la información a nivel global, cruciales para evitar sanciones y pérdidas financieras debidas a filtraciones de datos.
Integración con otras normas ISO
- ISO 27701 (Gestión de la Privacidad de la Información): Complementa la ISO/IEC 27001 enfocándose específicamente en la gestión de datos personales y el cumplimiento de regulaciones de privacidad como el GDPR.
- ISO 31000 (Gestión Integral del Riesgo): Proporciona directrices y un enfoque más amplio para la gestión integral de riesgos, incluyendo riesgos operacionales y estratégicos, más allá de la seguridad de la información.
- ISO 22301 (Gestión de la Continuidad del Negocio): Garantiza que las organizaciones puedan continuar entregando productos y servicios durante y después de incidentes de seguridad, minimizando el impacto de las filtraciones de datos en la continuidad del negocio.
Conclusión
La incorporación de ISO/IEC 27001 junto con ISO 27701, ISO 31000 e ISO 22301 ofrece una estrategia robusta y completa para gestionar los riesgos de seguridad de la información, proteger datos sensibles y asegurar la continuidad del negocio ante incidentes de filtraciones de datos. Implementar y mejorar estos sistemas de gestión de manera integrada y eficiente proporciona una defensa multifacética contra las amenazas cibernéticas y fortalece la resiliencia organizacional.
Artículo de Jacinto Santiago Gonzalez.