Guía esencial para proteger la privacidad y seguridad de los datos en 2024

Según el informe anual Cost of Data Breach Report de IBM, el costo global por filtración de datos alcanzó los 4,88 millones de dólares en 2024.  El informe asegura que el costo de las filtraciones aumentó un 10% respecto a 2023 y que el 70% de las compañías vulneradas informó que las filtraciones causaron interrupciones significativas a sus operaciones. 

Principales amenazas cibernéticas para las empresas y personas en 2024

Las empresas, independientemente de su tamaño o sector, enfrentan una amplia gama de riesgos diariamente, desde operativos hasta legales, que pueden incluir desde lavado de activos hasta ciberataques perpetrados por delincuentes. A medida que la tecnología avanza a pasos agigantados, los riesgos también evolucionan, migrando al ámbito digital, donde se vuelven más difíciles de detectar y sancionar. En este entorno, es fundamental que las organizaciones estén al tanto de las amenazas cibernéticas emergentes, como:

• Pishing: un tipo de ataque muy conocido, usado y efectivo para los delincuentes, ya que requiere de acciones muy simples y aparentemente inocentes. Esta forma de estafa se vale de correos electrónicos que pueden parecer inocentes, pero que llevan a páginas falsas para robar datos sensibles de clientes, proveedores, directivos, entre otros. Esta modalidad, además ha alcanzado nuevas plataformas como Facebook, que a través de páginas falsas solicita información confidencial. 
• Vishing: esta forma de estafa transforma el pishing en llamadas telefónicas fraudulentas que, a partir de información pública u obtenida con anterioridad, engañan a las personas dentro de la compañía para revelar datos sensibles. El vishing es posible si el delincuente ya ha accedido a información sensible y necesita concluir un robo mayor al solicitar claves, información de token digital u otros. 
• Smishing: además de correos electrónicos y llamadas, los delincuentes han encontrado la vía de mensajes de texto o de WhatsApp para engañar a personas y llevarlas a páginas falsas o, en el peor de los casos, entregar información confidencial. 

Aunque a simple vista detectar y bloquear estas amenazas puede parecer sencillo, en el entorno acelerado de una empresa, no es viable que cada empleado se detenga a cuestionar cada correo, mensaje o llamada. El error humano es inevitable, y cualquier persona puede caer en la trampa. En muchos casos, solo hace falta hacer clic en un enlace en un dispositivo corporativo para que los ciberdelincuentes obtengan acceso a datos sensibles y contraseñas, permitiéndoles infiltrarse en los sistemas empresariales sin obstáculos. Por eso, es crucial que los controles de seguridad sean sólidos y no dependan únicamente de la vigilancia individual de los empleados.

¿Qué problemas y riesgos enfrentan las empresas tras las filtraciones?

Las filtraciones de datos, que experimentaron un fuerte incremento desde el inicio de la pandemia, siguen elevando los costos para las organizaciones y prolongando sus efectos negativos. Muchas empresas no logran recuperarse, y aquellas que lo hacen tardan más de 100 días en superar las consecuencias. Entre los problemas más comunes que enfrentan se encuentran:

• Pérdida de contratos y clientes clave
• Aumento significativo de los costos al gestionar la respuesta a clientes y terceros.
• Daño a la reputación de la empresa.
• Riesgo de demandas legales por no proteger adecuadamente los datos sensibles.

Estos son solo algunos de los desafíos reportados por 604 organizaciones a nivel mundial entre marzo de 2023 y febrero de 2024, según el informe de IBM.

Estrategias efectivas para proteger los datos de tu empresa sin morir en el intento

Hoy en día, uno de los activos más valiosos para cualquier empresa es la información privada de sus clientes y proveedores. Una filtración de estos datos no solo puede causar graves perjuicios financieros, sino también devastar su reputación. Por ello, las organizaciones deben convertir la protección de estos datos en un pilar fundamental de su estrategia corporativa, no sólo para resguardar a sus clientes, sino también para protegerse a sí mismas. 

Algunas de las prácticas clave recomendadas para garantizar la privacidad de los datos incluyen:

• Almacenar sólo lo necesario: Esta regla fundamental se centra en la optimización del ciclo de vida de la información. Implica recopilar y almacenar únicamente los datos necesarios, manteniendo un control riguroso sobre la información recopilada y conservando sólo aquellos datos que sean esenciales para la relación cliente-empresa. Implementar esta práctica no solo minimiza el riesgo de manejo indebido, sino que también reduce el impacto de una posible filtración. Además, al aplicar políticas claras sobre el almacenamiento, uso, retención y eliminación segura de los datos, se garantiza que la información siga un ciclo de vida adecuado, desde su recolección hasta su eventual eliminación, disminuyendo riesgos en cada fase.
• Limitar el acceso a datos sensibles: Para aplicar correctamente las buenas prácticas de manejo de datos sensibles y garantizar la privacidad individual, es crucial restringir el acceso a la información bajo la regla del menor acceso, que establece que solo las personas que realmente necesiten los datos para desempeñar sus funciones deben tener acceso a ellos. Además, es fundamental anonimizar la información sin comprometer su utilidad, utilizando técnicas como el enmascaramiento de datos, tokenización, pseudonimización o aleatorización.
• Garantizar la seguridad sin comprometer la evidencia: Muchas empresas almacenan registros o logs que contienen información personal sensible, como direcciones IP, actividades del usuario o credenciales de acceso. Estos logs son esenciales para monitorear el rendimiento del sistema y detectar incidentes de seguridad, pero es crucial proteger la identidad de los individuos dentro de los registros. Es vital establecer controles rigurosos para acceder a estos logs y realizar auditorías periódicas para asegurar que solo el personal autorizado tenga acceso y que su uso esté alineado con las políticas de protección de datos.
• Obtener consentimiento de los usuarios: La comunicación clara y transparente con los usuarios es fundamental para que comprendan el propósito y alcance de la recopilación de sus datos personales. Según las regulaciones de protección de datos, como el GDPR y la Ley 1581 de 2012 en Colombia, es obligatorio obtener el consentimiento explícito, informado y por escrito antes de proceder con cualquier tipo de recopilación de datos. Este consentimiento debe detallar el uso, la retención y el tratamiento de los datos, garantizando que los usuarios tengan pleno control sobre su información y evitando posibles sanciones legales por el manejo inadecuado de los datos.
• Trabajar con un proveedor de almacenamiento confiable: a la hora de seleccionar un proveedor de almacenamiento de datos es necesario hacer un estudio minucioso de la empresa almacenadora. No sería extraño que un grupo de delincuentes se haga pasar por proveedor de dicho servicio y termine accediendo de forma sencilla a los datos que pretenden ser protegidos. Una forma de cerciorarse de la transparencia de la empresa y de las personas que trabajan en ella es revisar la información de estas con la herramienta de Tusdatos.co que no solo garantiza información confiable, actualizada y rápida, sino que también puede generar información sobre reputación empresarial. 
• Establecer políticas sólidas: Es indispensable que las empresas desarrollen y mantengan políticas claras y robustas para la protección de datos. Estas políticas deben definir los parámetros, procedimientos y responsabilidades para el manejo seguro de la información, asegurando el cumplimiento de normativas aplicables.

Finalmente, es crucial recordar que, aunque estas medidas son fundamentales, no pueden garantizar al 100% la prevención de una filtración de datos. Por ello, es indispensable implementar auditorías periódicas para identificar posibles vulnerabilidades y asegurar el cumplimiento de las normativas vigentes. Asimismo, es necesario actualizar continuamente las políticas de protección de datos y los sistemas de seguridad para adaptarse a las nuevas amenazas. Trabajar en colaboración con aliados estratégicos, como proveedores de seguridad y consultores especializados, puede fortalecer las defensas de la empresa, ayudando a mitigar los riesgos y proteger mejor los datos de clientes y colaboradores.

‍