Garantizar la privacidad de los datos personales y la seguridad de los recursos de la empresa son dos de los objetivos principales de un programa de ciberseguridad corporativo. En un artículo anterior, analizamos el equilibrio entre estos objetivos y el valor de aplicar una estrategia de seguridad basada en la privacidad.
En este artículo, analizaremos los riesgos y los costes de no invertir en seguridad, y cómo los responsables de la seguridad y la privacidad pueden ser grandes aliados para convencer a sus organizaciones de la importancia de invertir en seguridad. Cuando los responsables de la seguridad y la privacidad trabajan juntos, pueden encontrar las herramientas de seguridad adecuadas para proteger a una organización de los riesgos de las fugas de datos y tomar decisiones con conocimiento de causa sobre qué soluciones son las más adecuadas para la empresa.
Lo ideal es que los responsables de la seguridad y la privacidad de una organización trabajen en estrecha colaboración. La mejor manera de garantizar la privacidad de los datos corporativos y de los clientes es implementando un programa eficaz de seguridad de datos.
Los responsables en materia de privacidad reconocen el valor de las medidas de seguridad para proteger los datos de los clientes. Sin embargo, en algunos casos, puede ser difícil para los responsables de seguridad convencer a los responsable de privacidad de las ventajas de determinadas tecnologías de seguridad. Sin una comprensión clara de cómo funciona una solución de seguridad y cuál es su propósito, podría parecer un riesgo para la privacidad de los datos. Por ejemplo, el responsable de privacidad puede mostrarse bastante escéptico cuando su responsable de seguridad propone incorporar una herramienta de seguridad del correo electrónico que analiza todos los correos electrónicos de una empresa para impedir los intentos de phishing o utilizar una puerta de enlace web segura que podría permitir al equipo informático de una empresa ver qué sitios web visitan los empleados en sus ordenadores de trabajo para tratar de impedir que los usuarios visiten sitios web que alojen malware.
A la hora de plantearse las inversiones en seguridad para una red corporativa, es importante tener en cuenta: ¿cuál es el impacto real en la privacidad contra el que la organización está tratando de protegerse? El responsable de privacidad de una empresa tiene que sopesar el impacto en la privacidad de los usuarios de una máquina que se limita a analizar los correos electrónicos de la empresa para decir "Sí, bueno" o "No, malo" frente al perjuicio que podría sufrir la empresa si se aplicaran tales protecciones de seguridad en su lugar. Si no se aplican estas protecciones, un usuario podría convertirse fácilmente en objetivo de una vulnerabilidad de phishing que permita a un ciberdelincuente utilizar las credenciales de ese empleado para acceder a los sistemas internos y exfiltrar los datos personales confidenciales de los clientes de la empresa.
En mi opinión, tener una idea muy clara de cuál es el mayor riesgo para tu organización cuando la privacidad se ve vulnerada es esencial para implementar una seguridad eficaz basada en la privacidad. En muchos casos, los beneficios de la inversión en seguridad superan los costes potenciales. En el ejemplo anterior, vale la pena señalar que la privacidad de los correos electrónicos que los usuarios envían al sistema de una empresa es escasa en la mayoría de las jurisdicciones a nivel mundial. Sin embargo, la exfiltración de los datos personales de los clientes de una empresa podría ir asociada a obligaciones de notificación de fugas de datos, sanciones normativas y perjuicios contractuales.
Las soluciones de ciberseguridad corporativa están diseñadas para abordar una variedad de amenazas diferentes en una organización. Por ejemplo, una amenaza común es la fuga de datos potencial, que tuvo un coste medio de 4,45 millones de dólares en 2023. Sin embargo, esta cifra omite el daño a la reputación de las empresas que sufren fugas y el impacto en los clientes cuyos datos han sido vulnerados.
Si bien no podemos saber el número de fugas de datos que podría sufrir una organización desprotegida en un año determinado, podemos estimarlo. Por ejemplo, el 85 % de las empresas sufrieron al menos un ataque de ransomware en el último año, y el 24 % de las fugas de datos están asociadas al ransomware. Eso significa que hay muchas posibilidades de que una empresa sufra tanto un ataque de ransomware como fugas de datos no relacionadas con el ransomware en el plazo de un año.
Aunque se trata solo de una estimación aproximada, estos datos demuestran que el coste anual potencial para una empresa desprotegida es probablemente de decenas de millones, si no más. Además, el impacto potencial de los incidentes de ciberseguridad en los clientes de una organización es incalculable. Si indagas en los detalles de las principales fugas de datos, no tardarás en darte cuenta de que la mayoría de ellas obedecieron a una serie de problemas fundamentales de seguridad. Las contraseñas poco seguras, los certificados caducados y otros fallos básicos de seguridad suelen ser la causa principal de los principales incidentes de seguridad. Las soluciones de ciberseguridad que ayudan a mitigar estos riesgos y protegen contra los tipos más comunes de fugas de seguridad, como el malware, el análisis del correo electrónico y el control de acceso Zero Trust , ofrecen importantes beneficios potenciales a las empresas y a sus clientes.
En muchos casos, las ventajas de una nueva solución de seguridad son claras: reduce en cierta manera el riesgo de un ciberataque. La prevención de un solo ciberataque puede suponer un importante ahorro de costes para la organización. Según las cifras, si el coste anual de una solución de ciberseguridad es inferior al ahorro previsto, entonces es una inversión que merece la pena.
Sin embargo, es importante invertir con el proveedor de seguridad adecuado. Cada vez que un proveedor tiene acceso a los sistemas y datos de una empresa, esa empresa debe evaluar si las medidas de seguridad del proveedor son suficientes. Hay varios ejemplos en los que los proveedores de seguridad han sido víctimas de ataques de ciberseguridad y, como resultado, los sistemas y datos de sus clientes podrían quedar expuestos a riesgos.
Las recientes fugas de datos de Okta son un buen ejemplo de los posibles impactos que una fuga de un proveedor de seguridad podría tener en sus clientes. Muchas organizaciones utilizan Okta como proveedor de identidad para implementar el inicio de sesión único (SSO). El acceso al entorno de Okta permitiría al ciberdelincuente acceder potencialmente a las cuentas de usuario de los clientes de Okta. Si esos clientes no tienen capas adicionales de protección de acceso, podrían quedar expuestos a hackers que podrían robar datos, instalar malware o realizar otras acciones maliciosas.
Cuando se evalúan los riesgos en la privacidad de las inversiones en seguridad, es importante tener en cuenta el historial de seguridad y el historial de certificación de una organización. Por ejemplo, en 2020, solo el 43,4 % de las empresas cumplían plenamente con PCI-DSS en una evaluación de mitad de año, lo que indica que se permitió una reducción de los controles de seguridad entre auditorías.
Por otro lado, las empresas que buscan activamente certificaciones opcionales como ISO 27001 y 27018, SOC 2, entre otras, tienen menos probabilidades de sufrir fugas de seguridad que las ponen en riesgo a ellas y a sus clientes. Cloudflare garantiza la conformidad de las certificaciones obligatorias y opcionales y realizó auditorías independientes de su resolución DNS 1.1.1.1, cuando no exista una certificación aplicable. Cloudflare también utiliza tecnologías de seguridad como la encriptación de extremo a extremo, la localización de datos y la gestión de acceso Zero Trust para maximizar la privacidad del usuario y cumplir con los requisitos específicos de las leyes y normativas regionales de privacidad de datos.
Aunque puede ser difícil calcular el retorno de la inversión en seguridad, los riesgos y los beneficios son claros. Si las prácticas de ciberseguridad son deficientes es casi seguro que una empresa sufrirá una fuga de datos más pronto que tarde. Por tanto, la única incógnita es saber el peaje económico, así como los daños sobre la reputación y la confianza de aquellos que les confiaron sus datos personales.
La inversión en seguridad es casi siempre una buena idea desde el punto de vista de la privacidad de los datos y la gestión de riesgos. Minimizar los riesgos de privacidad de la inversión en seguridad aumenta sus posibles beneficios de privacidad. Los responsables de seguridad y de privacidad no solo tienen de su lado la evidencia de las costosas fugas de datos personales y de seguridad, sino que, al abogar por inversiones adicionales en seguridad, también pueden inclinar aún más este equilibrio a su favor buscando soluciones con un historial positivo en materia de seguridad, privacidad y conformidad.
La seguridad basada en la privacidad es un principio básico de la filosofía de Cloudflare. Nuestro Centro de confianza demuestra nuestro compromiso de garantizar la máxima seguridad y transparencia para demostrar, yendo más allá, la conformidad de todas las normativas y estándares aplicables. Nuestros productos están diseñados para aprovechar nuestra visibilidad única del panorama de las ciberamenazas y las últimas tecnologías de seguridad para identificar amenazas potenciales y minimizar el acceso a datos confidenciales. Simplifica y garantiza la seguridad en todas partes con Cloudflare.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Descubre cómo Cloudflare facilita una protección de datos más eficaz, productiva y ágil en el informe Protección unificada para los datos en todas partes .
Emily Hancock - @emilyhancock
Directora de privacidad, Cloudflare
Después de leer este artículo podrás entender:
La importancia de la colaboración entrela seguridad y la privacidad
El peaje de una inversión insuficiente en seguridad
Las ventajas de un programa de seguridad basado en la privacidad