Un artículo de agosto sugirió que debido a la gran cantidad de infracciones cibernéticas que han impactado tanto al sector público como al privado y que han puesto en riesgo la información de identificación personal de millones de personas, la actitud general hacia las infracciones se está volviendo más común y aceptada. Esta es una situación desafortunada cuando, en lugar de obligar a las organizaciones a mejorar agresivamente sus prácticas de seguridad de red, el público en general está dispuesto a aceptar el monitoreo crediticio por un período de tiempo (generalmente de 1 a 2 años) como premio de consolación. Según una fuente , en el primer semestre de se identificaron 538 infracciones; el 60 por ciento de las empresas pierden valiosa propiedad intelectual y/o secretos comerciales; y aproximadamente 13 millones de registros expuestos.
Las consecuencias más significativas de violaciones tan publicitadas han sido la renuncia o el despido de directores ejecutivos (por ejemplo, Target , Sony , la Oficina de Gestión de Personal de EE. UU .) o una muestra limitada de descontento de los consumidores al detener el patrocinio de una empresa en particular. organización, como lo que experimentó la empresa de telecomunicaciones británica Talk Talk después de su violación. Target, después de que su violación de se hiciera pública, sufrió un impacto masivo inmediato en sus ganancias cuando los consumidores buscaron otras alternativas minoristas. Sin embargo, en muchos casos, la pérdida de confianza de los consumidores ha demostrado ser de corto plazo; dos años más tarde, Target se había recuperado tanto comercialmente como en la confianza de los consumidores.
Incluso el reciente y revelador incidente de piratería informática que robó y luego expuso información confidencial del Comité Nacional Demócrata de EE.UU. se centró más en “quién” perpetró el acto, que en por qué tal piratería tuvo éxito y cuáles habían sido las prácticas de seguridad estándar en ese momento que facilitaron la incumplimiento en primer lugar. También en este caso, altos funcionarios , incluido el entonces presidente del Comité Nacional Demócrata, renunciaron a sus cargos, quizás distrayéndonos del punto más pertinente: ¿cuál era la postura de seguridad cibernética antes de la violación? De hecho, lo que es particularmente desconcertante acerca de este incidente es que las fuentes han indicado que los investigadores federalesHabía vinculado a la guerra al DNC por una posible intrusión en su red meses antes de que el partido intentara solucionar el problema. De ser cierto, esto ciertamente pone en duda la gravedad con la que las organizaciones políticas abordan la seguridad cibernética. Más importante aún, cuestiona qué medidas se están tomando para garantizar la seguridad de los datos de los usuarios y qué políticas se están implementando para reducir una mayor exposición a riesgos en el futuro.
Si bien siempre es interesante saber quién obtuvo algunos de los titulares que más llaman la atención, en última instancia no ayuda a abordar la seguridad a nivel organizacional a menos que se diseñe y ponga en práctica una estrategia. Un buen primer paso es diseñar un enfoque de gestión de riesgos que ayude a las organizaciones a identificar y preservar los datos que deben proteger para garantizar las operaciones comerciales. Esto incluye incorporar las tecnologías adecuadas, así como crear y probar un plan de respuesta a incidentes para preparar mejor a una organización antes, durante y después de la infracción.
Si bien la seguridad cibernética sigue siendo una tarea desafiante y difícil, la complacencia no debe reemplazar la responsabilidad cuando se trata de responsabilizar a las organizaciones por no proteger adecuadamente la información que se les confía. Los seguros cibernéticos y el robo de identidad no reemplazan un ecosistema de seguridad cibernética diseñado para ser resiliente frente a estas actividades. Son parte de la solución posterior a la infracción, pero no ayudan a prevenir ni reducir la amenaza.
Es decepcionante que las organizaciones prefieran asumir el riesgo de importantes demandas colectivas por parte de consumidores e instituciones financieras en lugar de actuar con la debida diligencia con respecto a tomar medidas responsables con respecto a la protección de los datos de los clientes. En una época en la que la mayoría reconoce que “no se trata de si sufrirán una infracción, sino de cuándo”, es hora de que las organizaciones comprendan que sus integrantes son su activo más preciado y que, al proteger sus intereses, la organización asegura la longevidad continua de sus negocios. el de ellos a su vez.
Esta es una publicación invitada escrita por Emilio Iasiello .