De acuerdo con un reciente estudio de IBM, el sector industrial es, por primera vez, el más vulnerable a los ciber ataques, por delante de los que venían encabezando la lista: el sector financiero y el de los seguros. Según el estudio, el problema deriva de los servicios prestados por terceras partes y ha afectado especialmente a los fabricantes de automóviles en los últimos meses.
El pasado 17 de enero, la división norteamericana de Nissan envió una notificación de violación de seguridad a sus clientes informándoles de una violación de seguridad que había dejado al descubierto datos de clientes. El problema afectó a 18 mil clientes. La empresa automovilística informó en la notificación de que la violación se originó en una solución de software desarrollada por una empresa externa proveedora de servicios, que dejó los datos sin protección debido a una configuración inadecuada de una base de datos.
A principios de año fue Toyota la que notificó otra violación en la que informó sobre la posible exposición pública de información de carácter personal de clientes en internet sin dar más detalles sobre el volumen de afectados.
En el caso de Toyota se trata de una más de una serie de brechas como la ocurrida en febrero de 2022, cuando uno de sus proveedores tuvo que parar la producción por un ciberataque sólo dos semanas después que la propia Toyota tuviese que parar una de sus plantas en Japón por idéntico motivo. En septiembre, la empresa reportó también una brecha que afectó a 300 mil clientes durante un periodo de 5 años. El origen de esta última violación venía de la filtración de parte del código fuente de su software T-Connect en Github, un popular portal dedicado a la programación que sirve de repositorio de código.
Estos incidentes son solo una muestra de la gran dificultad que la ciberseguridad entraña para las grandes corporaciones industriales a pesar de los grandes recursos con los que cuentan. La dificultad se acrecienta si tenemos en cuenta que una gran parte de los problemas derivan de encargados de tratamiento en forma de empresas proveedoras y subcontratas que resultan más difíciles de controlar y cuyos estándares de protección no siempre son los adecuados.
Cómo gestionar la ciberseguridad de los proveedores
Si una tercera parte está manejando los datos personales que tu organización recaba de sus clientes, es importante entender que ese encargado de tratamiento tiene que adherirse a las mismas directrices y garantías que la organización responsable del tratamiento. Para ello, el responsable de tratamiento debe, en primer lugar, sólo contratar con empresas y profesionales reputados que garanticen un adecuado nivel de protección y además los contratos celebrados entre ambas partes deben dejar claro las responsabilidades del encargado de tratamiento en materia de protección de datos.
Los encargados de tratamiento deben tener también una idea muy clara del plazo del que disponen para conservar esos datos y de los fines que se persiguen con su tratamiento. Una vez que esos plazos se hayan cumplido y esos fines se hayan alcanzado, los datos deberán de ser borrados para impedir que puedan caer en manos de partes no autorizadas. En cualquier caso, es importante que en todo momento los datos estén protegidos adecuadamente para evitar el acceso no autorizado.
En el caso de un acceso no autorizado, el encargado de tratamiento debe tener un plan de respuesta preparado de antemano que minimice las consecuencias y deberá notificar a las autoridades tan pronto como tenga conocimiento del mismo.
En todo caso, es crucial tomar un enfoque proactivo hoy para prevenir posibles violaciones de seguridad mañana. La mejor cura es la prevención.
