Los ciberataques a empresas pueden tener muchos objetivos. Sin embargo, es muy común que se centren en los datos, un elemento de valor creciente en la mayoría de organizaciones y cada vez más importante para la gestión de ciberriesgos. Pero más allá del típico robo o secuestro de datos mediante un ataque de ransomware, las brechas de datos pueden producirse de muchas maneras. De hecho, los virus informáticos son solo una de las causas más comunes.
Desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) de la Unión Europea, la definición y el alcance del término brecha de datos está perfectamente delimitado. Según la Agencia Española de Protección de Datos, “es un incidente de seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de los datos personales tratados por un responsable, o bien la comunicación o acceso no autorizados a los mismos”.
Es decir, es cualquier evento, intencionado o fortuito, que afecte a los datos que almacena y gestiona una empresa. Puede ser desde un ataque que busque destruir una base de datos de clientes hasta un descuido de un trabajador que acabe con la publicación de información personal y confidencial de un determinado proveedor o un contrato. ¿Y cómo se producen estas brechas de datos?
De acuerdo con la compañía de ciberseguridad Kaspersky, las brechas de seguridad en la protección de datos siempre se producen a través de una vulnerabilidad, que puede ser de carácter tecnológico (un dispositivo sin fireware o un sistema de autenticación débil) o estar relacionada con el comportamiento del usuario (descuidos o ingeniería social, como el popular phishing). Así, siempre según Kaspersky, las vías más habituales para que se produzca una brecha de datos son:
Como acabamos de ver, existen muchas vías de entrada para el robo de datos intencionado, y las brechas en la seguridad también pueden producirse de forma accidental. De acuerdo con el último informe de Verizon sobre brechas de datos, estas son las más habituales en las empresas:
La variedad de incidentes que pueden resultar en una brecha de seguridad en los datos puede resultar abrumadora para las empresas. Cada una es evitable con la puesta en marcha de una serie de medidas específicas, pero todas pueden minimizarse mediante acciones integrales y estratégicas que refuercen la ciberseguridad de la empresa, como una evaluación técnica de ciberriesgos.
Según el Instituto Nacional de Ciberseguridad (INCIBE), lo primero es empezar por la creación de un plan de seguridad en el que, en función de los recursos de cada empresa, se analicen los riesgos y las mejores vías para minimizarlos. A partir de ahí, toda estrategia de protección frente a una brecha de datos pasa por la formación y la concienciación de la plantilla (evitar los errores humanos debe ser prioritario), establecer las barreras ciberfísicas y tecnológicas adecuadas (como servicios antibots, sistemas de doble autenticación o firmware) y mantenerse continuamente actualizado para hacer frente a amenazas emergentes.
Un plan de seguridad informática, acompañado de las medidas formativas y tecnológicas adecuadas, servirá como marco de acción para todos los empleados y directivos de la empresa y para proteger la información más delicada, evitando así brechas de datos que puedan comprometer la viabilidad de la compañía o, incluso, resultar en acciones legales contra la misma.