Confilegal
Confilegal
Menú
Portada / Firmas
Firmas

Valoración económica del riesgo derivado de las violaciones de seguridad

Valoración económica del riesgo derivado de las violaciones de seguridad
Javier Puyol es el socio director de Puyol Abogados, una boutique legal especializada en el mundo de las nuevas tecnologías y el cumplimiento normativo. Confilegal.
09/4/2018 06:15
|
Actualizado: 08/4/2018 19:38
|

En esta noticia se habla de:

Las denominadas como “brechas de seguridad” consisten básicamente en una parte de un software, una secuencia de datos, o de comandos que se aprovecha de un error, o de una falla o de una vulnerabilidad para producir un comportamiento involuntario o inesperado en un programa informático, un soporte físico, o algo electrónico (automatizado generalmente).

Y suponen en definitiva, tal como las define el nuevo Reglamento General de Protección de Datos de la Unión Europea (GDPR), como “una violación de la seguridad que ocasiona la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.

En este mismo sentido se ha pronunciado el Grupo de Trabajo del Artículo 29 de la Directiva 95/46/CE, en el WP 250/2017, con relación a dicho Reglamento General, donde se ha analizado cuestiones tan interesantes al respecto, como las que se indican a continuación:

(i). La regulación de las brechas de seguridad, bajo el régimen legal instaurado por el GDPR.

(ii). La notificación que de la misma se ha de llevar a cabo a la autoridad de control competente (artículo 33 GDPR).

(iii). La comunicación, que, en ocasiones, tal como prevé el artículo 34, incluso hay que llegar a hacer al titular de los datos, en los casos en los que dicha violación de seguridad, sea ciertamente grave, y ponga en peligro los derechos y las libertades de los titulares de dichos datos personales, que se vean efectivamente afectados por la misma.

(iv). La evaluación del riesgo, y los supuestos en los que se constate en que, por su producción, el riesgo para dichos datos, y las personas afectadas sea ciertamente elevado, destacando, por ejemplo, cuestiones como los factores a considerar cuando dicho riesgo sea alto.

(v). La rendición de cuentas y el mantenimiento de los registros relativos a la producción de dichas violaciones de seguridad, y el papel que en las mismas ha de desempeñar el Delegado de Protección de Datos (DPO).

(vi). Y finalmente se establecen las obligaciones de notificación de la producción de dicha brecha de seguridad, en virtud de otros instrumentos jurídicos obligatorios al efecto.

Y cuyo estudio es imprescindible para poder comprender de manera adecuada la relación existente entre el nuevo régimen de protección de datos establecido por el Reglamento General, y la producción de brechas de seguridad que atenten contra la integridad de los datos que están siendo objeto de tratamiento.

Hoy en día, tal como señala Lex Informática, la seguridad de la información constituye el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.

Y tal como señala Wikipedia, el concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.

Seguridad de la información

Para el hombre como individuo, la seguridad de la información tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo.

En la seguridad de la información es importante señalar que su manejo está basado en la tecnología y debemos de saber que puede ser confidencial: la información está centralizada y puede tener un alto valor.

Puede ser divulgada, mal utilizada, ser robada, borrada o saboteada. Esto afecta su disponibilidad y la pone en riesgo.

La información es poder, y según las posibilidades estratégicas que ofrece tener acceso a cierta información, ésta se clasifica como:

a). Crítica: Es indispensable para la operación de la empresa

b). Valiosa: Es un activo de la empresa y muy valioso.

c). Sensible: Debe de ser conocida por las personas autorizadas

Existen dos palabras muy importantes que son riesgo y seguridad:

Riesgo

Es la materialización de vulnerabilidades identificadas, asociadas con su probabilidad de ocurrencia, amenazas expuestas, así como el impacto negativo que ocasione a las operaciones de negocio.

Seguridad

Es una forma de protección contra los riesgos.

La seguridad de la información comprende diversos aspectos entre ellos la disponibilidad, comunicación, identificación de problemas, análisis de riesgos, la integridad, confidencialidad, recuperación de los riesgos.

Precisamente la reducción o eliminación de riesgos asociado a una cierta información es el objeto de la seguridad de la información y la seguridad informática. Más concretamente, la seguridad de la información tiene como objeto los sistemas el acceso, uso, divulgación, interrupción o destrucción no autorizada de información.

Los términos seguridad de la información, seguridad informática y garantía de la información son usados frecuentemente como sinónimos porque todos ellos persiguen una misma finalidad al proteger la confidencialidad, integridad y disponibilidad de la información.

Sin embargo, no son exactamente lo mismo existiendo algunas diferencias sutiles.

Diferencias

Estas diferencias radican principalmente en el enfoque, las metodologías utilizadas, y las zonas de concentración.

Además, la seguridad de la información involucra la implementación de estrategias que cubran los procesos en donde la información es el activo primordial.

Estas estrategias deben tener como punto primordial el establecimiento de políticas, controles de seguridad, tecnologías y procedimientos para detectar amenazas que puedan explotar vulnerabilidades y que pongan en riesgo dicho activo, es decir, que ayuden a proteger y salvaguardar tanto información como los sistemas que la almacenan y administran.

La seguridad de la información incumbe a gobiernos, entidades militares, instituciones financieras, los hospitales y las empresas privadas con información confidencial sobre sus empleados, clientes, productos, investigación y su situación financiera.

En caso de que la información confidencial de una empresa, sus clientes, sus decisiones, su estado financiero o nueva línea de productos caigan en manos de un competidor; se vuelva pública de forma no autorizada, podría ser causa de la pérdida de credibilidad de los clientes, pérdida de negocios, demandas legales o incluso la quiebra de la misma.

Análisis de los costes económicos de una brecha de seguridad

Al hilo de ello, ha caído en mis manos, si se me perdona la expresión, un interesante estudio relativo al “coste de una brecha de seguridad en los datos” elaborado por el Instituto Ponemon[i], en el que se llevan a cabo un análisis de los costes económicos derivados de la producción de una brecha de seguridad, y en la que se determinan, por ejemplo, los datos que se han de tener en consideración a los efectos del calcular dicho coste, así como los factores que pueden aumentarlo y reducirlo, entre los que se encuentran los que se citan a continuación:

a). La pérdida imprevista de clientes como consecuencia de una brecha de seguridad en los datos (tasa de abandono).

b). La magnitud de la brecha o número de registros perdidos o sustraídos.

c). El tiempo necesario para detectar y contener una brecha de seguridad en los datos.

d). La detección y escalada de la brecha de seguridad en los datos.

e). Los costes posteriores a la brecha de seguridad incluido el coste de notificar a las víctimas.

f). Un ataque interno malintencionado o un ataque delictivo es más costoso que un error del sistema o una negligencia (factor humano).

A consecuencia de la ponderación de los factores indicados, se han obtenido un conjunto de importante conclusiones, que sirven para identificar y valorar adecuadamente la producción de dichas violaciones de seguridad y las consecuencias que las mismas tienen para las organizaciones empresariales, que deben afrontar las perjuicios de naturaleza económica y de otras índoles, que se les irrogan por la producción de las citadas brechas de seguridad; perjuicios que se concretan tanto internamente en su actividad negocial, como externamente, entre otros factores, en las consecuencias reputacionales que los mismos conllevan, frente a los clientes y los titulares de los datos afectados, a los que la empresa u organización a la postre tienen que hacer necesariamente frente.

Coste medio de una brecha de seguridad

Para calcular el coste medio de una brecha de seguridad en los datos se recopilan tanto los gastos directos como los gastos indirectos en los que incurre la organización.

Los gastos directos incluyen la contratación de peritos forenses, la externalización de la atención telefónica y la concesión de suscripciones de monitorización a crédito gratuito y descuentos en futuros productos y servicios.

Los gastos indirectos incluyen investigaciones y comunicaciones internas, así como la extrapolación del valor de la pérdida de clientes como consecuencia de la rotación o de la caída de los porcentajes de captación.

Como conclusiones a dicho Estudio al que se ha hecho referencia, se han obtenido una serie de valoraciones o de reflexiones, que se deben tenerse en cuenta a la hora de valorar económicamente las consecuencias derivadas de una brecha de seguridad, y ponderar adecuadamente el alcance de las mismas, y que son entre otras, las que se citan seguidamente:

a). El coste de las brechas de seguridad ha marcado un récord histórico en lo que supone el coste medio para las empresas, tanto en los llamados costes directos de las mismas, como en los de carácter indirectos derivados de la resolución de la brecha de seguridad en los datos.

b). El coste organizativo total medio de las brechas de seguridad alcanzó nuevos máximos históricos en los que se refiere a la cuantía de los perjuicios producidos y la reparación de los mismos.

c). Las medidas revelan las razones por las que el coste de las brechas de seguridad paulatinamente aumenta.

d). El coste de las brechas de seguridad es más elevado en algunos sectores, como pueden ser, principalmente, la sanidad o los servicios financieros.

e). Los ataques malintencionados o delictivos continúan siendo la causa principal de las brechas de seguridad.

El 52 % son ataques malintencionados

En este sentido, aproximadamente el 52% de los incidentes se deben a ataques dolosos malintencionados, mientras que el 24% responden de manera principal a una causa que tiene su originación en el error humano.

f). Los ataques malintencionados son siempre, y como regla general, los más costosos.

g). El análisis de los costes incluye cada vez más nuevos factores, como el uso analíticas de seguridad, o el uso extensivo de plataformas móviles, entre otros aspectos o factores de influencia.

h). Cuanto mayor es el número de registros informáticos perdidos o atacados, más aumenta, obviamente, el coste de la brecha de seguridad.

i). Cuanto mayor es el abandono del nivel de confianza de los clientes, más aumenta el coste de la brecha de seguridad.

j). Algunos sectores son más vulnerables al abandono.

Así, las organizaciones financieras, ciencias de la vida, salud, tecnología y servicios experimentaron una tasa de abandonos anómalos relativamente alta, mientras que en el sector público y el entretenimiento dicha tasa fue relativamente baja.

k). Los costes de detección y escalada baten récords.

Lo que incluyen los costes

Estos costes incluyen actividades forenses y de investigación, servicios de evaluación y auditoría, gestión del equipo de crisis y la comunicación con la dirección ejecutiva y la junta directiva.

l). Los costes de notificación crecen ligeramente.

Estos costes incluyen normalmente actividades de TI asociadas con la creación de bases de datos de contacto, determinación de todos los requisitos normativos, contratación de expertos externos, gastos postales, contactos secundarios por correo o devoluciones de correos electrónicos y configuración de comunicaciones entrantes.

m). Los costes posteriores a la brecha de seguridad disminuyen.

Estos costes suelen incluir actividades del servicio de atención, comunicaciones entrantes, actividades de investigación especiales, subsanación, gastos jurídicos, descuentos en productos, servicios de protección de identidad e intervenciones administrativas.

n). Los costes asociados a la pérdida de ingresos aumentan.

Estos costes incluyen la rotación anómala de clientes, actividades de captación de clientes, pérdida de reputación y disminución del fondo de comercio.

o). Las empresas continúan gastando más en costes per cápita indirectos que en costes per cápita directos.

Los costes indirectos incluyen el tiempo que los empleados dedican a labores

de notificación de brechas de seguridad en los datos o a investigar el incidente. Los costes directos hacen referencia a las sumas que las empresas dedican a minimizar las consecuencias de una brecha de seguridad en los datos y proporcionar asistencia a las víctimas.

p). El tiempo necesario para detectar y contener las brechas de seguridad en los datos repercute en los costes.

En el estudio se ha detectado que las empresas tardaron, por término medio, 206 días en detectar que había tenido lugar un incidente y una media de 55 días en contenerlo.

Todo ello, no hace sino evidenciar el riesgo económico cada vez más intenso con relación a la producción de las brechas de seguridad, y las constante preocupación que han de tener las empresas, contra un nuevo mal endémico de nuestro tiempo, en el que se bien la tecnología en general ha aportado muchas y nuevas soluciones, que han marcado de manera determinante la actividad económica, en particular internet y la informática, conlleva una serie de riesgos y condicionamientos, que necesitan de la adopción de aquellas medidas preventivas y de defensa necesarias para hacer frente a estas nuevas circunstancias.

[i] Cfr.: Instituto Ponemon LLC. “Estudio del coste de una brecha de seguridad en los datos de 2017 Estados Unidos”. Junio de 2017. Con la colaboración de IBM Security.

 

Otras Columnas por Javier Puyol Montero:
Opinión | Los ciberataques también son posibles contra los teléfonos móviles
Opinión | Neurotecnología: ¿Estamos listos para el próximo gran desafío ético y legal?
Opinión | Ciberseguridad e Inteligencia Artificial: vinculaciones
Opinión | La Inteligencia Artificial y la función de juzgar
La estrategia española de transformación digital y el «Sandbox» sobre la Inteligencia Artificial
Tiempo de recuperación tras un ciberataque
Últimas Firmas
  • Opinión | Turno de oficio en 2024: ¿Por qué seguimos en huelga?
    Opinión | Turno de oficio en 2024: ¿Por qué seguimos en huelga?
  • Opinión | ¿Cumple el fichaje de Broncano con la Ley de Contratos del Sector Público?
    Opinión | ¿Cumple el fichaje de Broncano con la Ley de Contratos del Sector Público?
  • Opinión | Atentados suicidas: ¿Los autores materiales son pretendidos mártires o víctimas de chantajes?
    Opinión | Atentados suicidas: ¿Los autores materiales son pretendidos mártires o víctimas de chantajes?
  • Opinión | Huelga del turno de oficio: más legal, imposible
    Opinión | Huelga del turno de oficio: más legal, imposible
  • Opinión | CDL: El pleito de M&A más complejo y largo de la historia: La compra de Autonomy por Hewlett-Packard (IV)
    Opinión | CDL: El pleito de M&A más complejo y largo de la historia: La compra de Autonomy por Hewlett-Packard (IV)