Las violaciones de la seguridad son una amenaza real para las empresas y, por lo tanto, deben de ser prevenidas y, en caso de que ocurran, deben ser gestionadas de acuerdo con la ley. Los riesgos a los que se enfrentan las empresas que no adopten las medidas necesarias para hacer frente a las violaciones de seguridad son altos y se pueden agrupar en tres apartados: el riesgo legal, el riesgo operacional y el riesgo reputacional.

“Sólo hay dos tipos de empresas: las que han sido hackeadas y las que lo serán.” Robert Mueller, Director del FBI, 2012

Pero antes de meternos a detallar los distintos riesgos, vamos a ver qué entiende el Reglamento General de Protección de Datos por violación de seguridad:

«violación de la seguridad de los datos personales»: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o lacomunicación o acceso no autorizados a dichos datos;

El riesgo legal de las violaciones de seguridad

Las brechas de seguridad tienen una repercusión mucho mayor en las empresas desde la entrada en aplicación del Reglamento General de Protección de Datos porque:

  • Las empresas y organizaciones tienen el deber de adoptar el principio de Responsabilidad Proactiva y, en caso de sufrir una brecha de seguridad, las autoridades pueden entender que no se adoptaron las suficientes medidas de seguridad y que, por tanto, la empresa tiene que ser sancionada.
  • Las empresas tienen el deber de comunicar las brechas de seguridad a las autoridades y, en ciertos casos, también a los sujetos cuyos datos han sido puestos en riesgo. No se puede mantener la brecha de seguridad como un asunto interno sin repercusión pública.

La privacidad por diseño y privacidad por defecto constituyen los cimientos del principio de responsabilidad proactiva. Esto significa que las empresas deben tener en cuenta la protección de datos en todo momento a la hora de diseñar sus sistemas y procesos.

En un ejemplo reciente de multa por violación de seguridad, las autoridades de protección de datos del Reino Unido sancionaron a Facebook con 500,000 libras esterlinas por el caso Cambridge Analytica.

El riesgo operacional de las violaciones de seguridad

El impacto de una violación de seguridad en las operaciones de una empresa provoca por lo general un importante perjuicio económico.

  • Coste total del ciber crimen: seiscientos mil millones de dólares según McAfee, 600 billones de dólares según el Cybercrime Magazine
  • Coste por brecha de seguridad: 2.4 millones de dólares por brecha de seguridad según Accenture, 3.9 millones según IBM.

Estos datos deben tenerse muy en cuenta a la hora de valorar si vale la pena invertir en prevención y formación en seguridad porque, además de un deber legal, los perjuicios económicos de una violación de seguridad pueden ser devastadores para una empresa.

Otro dato que pone de manifiesto la importancia de una actitud proactiva hacia las violaciones de seguridad es que una sus causas más frecuentes, los ciber ataques, siguen aumentando año tras año con incremento del 27% entre 2017 y 2018.

Otro dato para la reflexión: Los costes del ransomware alcanzaron los cinco mil millones de dólares en 2017.

El riesgo reputacional de las violaciones de seguridad

El impacto de una brecha de seguridad en la reputación de una organización es otro riesgo evidente para cualquier empresa u organización. Según un estudio de IBM, el 57% de la gente perdió confianza en una organización después de una brecha de seguridad y el 31% de la gente terminó su relación con una empresa después de una brecha de seguridad.

La reputación es un capital intangible de las empresas que, cuando se pierde, puede tener resultados muy tangibles en forma de pérdidas millonarias. Empresas como la página de citas Addison Lee prácticamente desaparecieron del mercado debido a una violación de datos por citar uno de los muchísimos casos en los que la caída en la reputación de seguridad de una empresa ha provocado una caída en picado del negocio.

Conclusión

Por todas estas razones -legales, operacionales, reputacionales- las empresas y organizaciones deben de adoptar las medidas de seguridad necesarias para que, al menos, se minimice al máximo el riesgo de sufrir una violación de seguridad. Los resultados económicos y, en ocasiones, la propia supervivencia de la empresa, están en juego.