Skip to main content
Artículo

Cómo mitigar y transferir las brechas de datos

N/A
N/A

Por Fernando Sevillano , Javier Fernández y Carolina Daantje Santana | Octubre 24, 2019

En Willis Towers Watson facilitamos la consecución de objetivos empresariales mediante la gestión estratégica de los ciberriesgos que aparecen en las organizaciones y en los procesos de transformación digital.

El ciberriesgo aparece en el momento en que una organización sustenta sus procesos de negocio esenciales en sistemas de información. Ya sea cuando no se han comunicado, diseñado o correctamente implementado las nuevas políticas, procedimientos y estándares que soportan los procesos de gestión, cuando las personas ponen resistencia a los cambios organizativos o cuando no se diseña una correcta estrategia de transferencia. En concreto, el ciberriesgo puede afectar a las organizaciones como consecuencia de la existencia de diferentes tipos de amenazas (brecha de datos, phishing e ingeniería social, malware y ransomware, denegación de servicio, insider threat, ataques tecnología web, ataques a la cadena de suministro, etc.) que pueden:

  1. Afectar al normal funcionamiento de todos los sistemas de información y gestión que esta organización maneja.
  2. Provocar cambios en los procesos, políticas, procedimientos y estándares de gestión que no estén bien diseñados, implementados y/o comunicados.
  3. Producir una pérdida financiera, un daño material, una lesión personal o un daño a la reputación corporativa.

Teniendo en cuenta este contexto, una inexistente, incompleta o inadecuada gestión del ciberriesgo en la que sólo se consideren aspectos relacionados con la tecnología y con su operación (obviando a las personas, a los procesos y al capital), puede tener un impacto negativo sobre los objetivos estratégicos de las compañías:

  • Mejora de la competitividad.
  • Incremento de la cifra de negocio.
  • Reducción de los costes operativos.
  • Mejora de la productividad.
  • Protección de la reputación corporativa.
  • Mejorar la integración de la cadena de suministro.
  • Gestión óptima de la red de proveedores y clientes.

¿Qué es la brecha de datos?

A partir de la definición realizada en el artículo 4.12 del RGPD, una brecha de datos es toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Normalmente estos datos son almacenados y/o gestionados en diferentes tipos de activos (bases de datos, ficheros) que pueden encontrarse en las instalaciones de la organización o externalizadas a un tercero (proveedor Cloud).

Una brecha de datos es toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales.

Una brecha de datos lleva normalmente asociada una exfiltración de información, que puede ser sensible o no.

Del mismo modo, las brechas de datos se producen no sólo a través de ataques a tecnologías web a través de explotis específicos o con ataques tipo XSS, XSRF o inyecciones SQL.

La pérdida y el robo físico de equipos también producen las brechas de datos.

Escenario de una brecha de datos

A la hora de realizar una evaluación estratégica del ciberriesgo, suele recurrirse al diseño de escenarios. Un escenario de ciberriesgo es una representación caracterizada de lo que le podría suceder a los diferentes activos de una organización, si se produjera un incidente de ciberseguridad, en el que se presentan una o varias amenazas provocadas por diferentes actores y que son efectivas por la existencia de diferentes tipos de vulnerabilidades. El escenario ayuda también a cuantificar la probabilidad de ocurrencia del incidente y el impacto económico (y/o pérdidas de diferente naturaleza) que puede causar a la propia organización y/o a terceros.

A continuación, se presenta un ejemplo de escenario de brecha de datos: Brecha de datos en el sistema ERP (módulo de compras) causada por ciber-delincuente y provocada por la ausencia de medidas de seguridad en la BBDD que almacena datos personales de proveedores, genera pérdidas económicas por reclamaciones realizadas por terceros.

Nuestra solución ante la brecha de datos

Willis Towers Watson proporciona servicios y soluciones que permiten llevar a cabo una gestión estratégica de los ciberriesgos existentes en las organizaciones. Ayudamos a las compañías a ser más resilientes. Ayudamos a integrar el ciberriesgo en programas ERM (Enterprise Risk Management) con una aproximación de alto nivel.

Descarga aquí la propuesta de valor del equipo de Ciberriesgos de Willis Towers Watson para la Gestión Estratégica del Ciberriesgo.

El valor de nuestra solución ante la brecha de datos

  • Ayudamos a reducir los costes operativos, cubriendo las posibles multas y sanciones impuestas por el incumplimiento del RGPD causado por una brecha de datos, que pueden llegar a los 20 millones de euros o un 4% de la facturación anual de la organización.
  • Willis Towers Watson proporciona servicios y soluciones que permiten llevar a cabo una gestión integral de los ciberriesgos existentes en las organizaciones.

  • Incrementamos la productividad de la organización y la cifra de negocio, protegiendo la cuenta de resultados ante una brecha de datos cuyo coste medio se estima en 4 millones de euros, pudiendo llegar en casos puntuales a cifras superiores a los 300 millones de euros.
  • Protegemos la competitividad y reputación corporativa de la organización, facilitando las medidas necesarias para que, en caso de una brecha de datos, la comunicación de crisis se haga de forma eficiente y evite la caída de las ventas, que puede oscilar entre un 10% y un 50% y evite que entre un 50% y un 80% de los clientes pierdan la confianza en la organización.

Mejores prácticas para transferir el ciberriesgo asociado a la brecha de datos

  • Poner especial atención a las diferentes normativas existentes a nivel mundial en materia de privacidad de datos para que las brechas de datos queden cubiertas de forma global.
  • Conocer que las multas por incumplimiento de normativas (tipo RGPD), pueden ser cubiertas por la ciber-póliza al existir silencio legal. No ocurre lo mismo en otros países como Portugal, en el que la ley lo prohíbe expresamente.
  • Negociar con los mercados, la inclusión de la cobertura de costes por venta y/o uso de datos ilícitos en la Dark Web.
  • Incluir extensiones para que en caso de pérdida, destrucción o robo de equipos en la que se produzca una brecha de datos, la ciber-póliza actúe restaurando los datos como si un incidente de ciberseguridad se tratara.
Autores

Fernando Sevillano
Head of Cyber Risk Consulting - Iberia

Javier Fernández
Líder nacional de Productos de Lineas Financieras

Carolina Daantje Santana
Directora de Ciber Riesgos e infidelidad de empleados

Contact Us
Related content tags, list of links Artículo

Newsletter

Suscríbete a nuestra newsletter

¿Quieres estar a la última en materia de ciberriesgos?