El Fin de la Cultura de Encubrimiento en Ciberseguridad

Ayer, el gigante de los servicios de transporte compartido, Uber, acordó pagar $148 millones para resolver casos en todo Estados Unidos relacionados con su violación de datos en 2016. La violación afectó a 57 millones de clientes y 600,000 conductores. Se expusieron direcciones de correo electrónico y números de teléfono móvil. Sin embargo, el tamaño no es lo que hizo que la violación de Uber y este posterior acuerdo fueran tan llamativos. En cambio, la violación de Uber se destaca como uno de los encubrimientos de ciberseguridad más infames de la era digital moderna.

Travis Kalanick, CEO de Uber en el momento de la violación, y su equipo directivo decidieron pagar $100,000 a los hackers responsables para mantener en silencio el incidente y destruir los datos robados. No fue hasta que un nuevo CEO asumió el mando de la empresa que Uber reveló la violación. La divulgación provocó un escándalo nacional y una avalancha de demandas. En una declaración sobre el acuerdo reciente, Xavier Becerra, el Fiscal General de California, resume el incidente de manera sucinta: “La decisión de Uber de encubrir esta violación fue una violación flagrante de la confianza del público. De acuerdo con su cultura corporativa en ese momento, Uber ocultó la violación deliberadamente, sin importarle la ley… Este acuerdo les envía un mensaje a todos ellos de que los responsabilizaremos por proteger esos datos”.

Pero, ¿qué pueden aprender las empresas de esta historia sórdida? ¿Cómo cambiará el acuerdo de Uber la cultura de los encubrimientos de ciberseguridad? Y si la cultura cambia, ¿en qué medida?.

La Cultura de los Encubrimientos de Ciberseguridad Debe Terminar

Las violaciones de datos parecen ser parte de la vida diaria en el mercado digital. Sin embargo, cuantificar el número de violaciones de datos experimentadas cada año ha resultado ser un desafío para los profesionales de la seguridad. En lugar de informar una violación de datos, muchas empresas eligen seguir la estrategia de Uber: ocultar evidencia de la violación y pagar a los hackers. A menudo, estos encubrimientos de ciberseguridad se originan por temor a lidiar con las consecuencias financieras de una violación. En promedio, una violación de datos puede costar casi $4 millones. Las pequeñas y medianas empresas enfrentan en promedio tarifas, multas y costos de remediación de alrededor de $2.5 millones. Estos costos ni siquiera cubren los posibles costos de las fallas de cumplimiento descubiertas a menudo en las investigaciones posteriores a la violación. Por lo tanto, incluso con nuevas leyes como el GDPR que exigen sanciones más altas por los encubrimientos de ciberseguridad, las empresas siguen realizando análisis de costo-beneficio sobre si divulgar o no una violación. El acuerdo de Uber muestra a esas empresas los costos a largo plazo de un encubrimiento; si se descubre (cada vez más probable a medida que se establecen más conexiones digitales), el precio superará significativamente los ahorros a corto plazo. En cambio, fortalecer su red con detección de amenazas y tener un sólido plan de respuesta a incidentes les ahorrará más a largo plazo… e incluso puede disuadir a los hackers en el futuro.

Las Sanciones por los Encubrimientos de Ciberseguridad Solo Empeorarán

La Ley de Privacidad del Consumidor de California de 2018 es un presagio de los tiempos que vendrán. Leyes más serias y de mayor alcance sobre ciberseguridad y privacidad de datos están llegando a Estados Unidos, al igual que el GDPR llegó a la Unión Europea. Todo experto en ciberseguridad sabe que eventualmente sucederá. La pregunta es cuándo, no si. Los $148 millones que Uber pagó en su acuerdo podrían resultar ser una palmada en la muñeca en comparación con lo que enfrentarán las empresas estadounidenses en el futuro. El GDPR ya exige casi $22 millones o el 4% de los ingresos globales anuales (el que sea mayor) por no cumplir con sus requisitos de informe de violaciones de datos. Dependiendo del tamaño de su empresa, esto podría ser un costo ruinoso. Además, los encubrimientos flagrantes de ciberseguridad fomentarán el resentimiento de los consumidores y los clientes, e incluso provocarán una disminución aún mayor en los negocios a medida que las expectativas más altas de seguridad de datos se vuelvan comunes. Las tácticas antiguas están muriendo. Este es el momento de evolucionar antes de que ocurra algo devastador.

Al Final, las Personas en la Cima Sufren

Recientemente, Kaspersky Lab descubrió que el 32% de las violaciones de datos corporativos en América del Norte llevaron al despido de líderes de nivel C. A nivel de grandes empresas, el 27% de esos líderes de nivel C eran ejecutivos senior y no estaban afiliados a los departamentos de TI. Esto podría parecer un argumento a favor de los encubrimientos de ciberseguridad, pero de hecho es lo contrario. Incluso si su empresa implementa y mantiene adecuadamente una solución de detección de amenazas o SIEM, aún existe la posibilidad de sufrir una violación. Pero lo que suceda entonces ayudará a su junta directiva y accionistas a saber si usted es el líder adecuado para el trabajo. Encubrir una violación de datos indica una administración marcada por el fracaso y la cobardía. Tener un sólido plan de respuesta a incidentes y guiar a la empresa a través de aguas peligrosas muestra verdadero liderazgo y previsión. Entre esas dos opciones, sabemos a quién queremos a cargo.

Tagged

Axial ERP ofrece un abanico de soluciones robustas para gestión y automatización de procesos empresariales, caracterizadas por su simplicidad de uso y su capacidad para brindar una experiencia de gestión empresarial completamente integrada.

Facebook Linkedin

Menú

Contacto

info@axial-erp.co

(+57) 601 5898710

Bogotá Colombia | Estados Unidos

© 2022-2024 Axial Solutions LLC. Todos los derechos reservados. Todas las demás marcas comerciales y derechos de autor pertenecen a sus respectivos dueños.