Las múltiples puertas de entrada llevan a sanciones millonarias por brechas de datos
Las brechas de seguridad relativa a los datos constituyen uno de los incidentes graves más comunes que sufren las compañías. En este aspecto, las empresas tuvieron un 2019 muy malo. Fue uno de los años en los que se han impuesto sanciones más altas por infringir la normativa sobre protección de datos, como la multa a Google LLC con 50 millones de euros por incumplimiento de las reglas del GDPR acerca de la transparencia y de la ausencia de una base legal válida de procesamiento de los datos personales destinados a fines publicitarios. También vimos la sanción impuesta a British Airways, multada con 183 millones de libras por la Oficina del Comisionado de Información (ICO) de Reino Unido en relación con una brecha de datos que ocurrió en septiembre de 2018. Los atacantes consiguieron robar la información personal de unos 500.000 clientes de la aerolínea, incluidos sus nombres, números de tarjetas de crédito y sus códigos CVV y direcciones correo electrónico. El artículo 32 del nuevo reglamento requiere que las empresas implementen medidas técnicas y organizacionales para asegurar la seguridad de la información.
Se han producido, por tanto, incumplimientos muy destacados por parte de algunas grandes organizaciones que, como consecuencia, han recibido cuantiosas multas por parte de las autoridades nacionales. Unas multas que pueden suponer hasta 20 millones de euros o un 4% de la facturación anual de la compañía.
Pero las compañías de menor tamaño tampoco están exentas: una compañía polaca fue multada con 220.000 euros por recoger datos de empresas y particulares sin el consentimiento expreso de éstos. Además, en noviembre de 2018 las autoridades del estado alemán de Baden-Wurtemberg impusieron una sanción de 20.000 euros a un proveedor de redes sociales cuyo nombre no desvelaron públicamente. Aunque la prensa alemana apuntó a Knuddels, un servicio de chat online que sufrió un ciberataque en el que quedaron expuestos 808.000 direcciones de email y 1.872.000 nombres de usuario y contraseñas.
Según la aplicación Enforcementtracker, el total de sanciones impuestas por autoridades europeas de protección de datos rondan los 600 millones de Euros desde que el RGPD resulta aplicable. Y no solo tenemos ejemplos del año pasado. A comienzos de este mismo mes de octubre de 2020, la compañía de moda textil H&M se convirtió en la segunda empresa en Europa en recibir una sanción que superaba los 35 millones de Euros, aunque en esta ocasión el motivo se debe a que, a juicio de la autoridad de protección de datos de Hamburgo, se considera probado que la empresa sueca habría obtenido, de forma ilícita, registros extensos de detalles sobre la vida privada de los empleados de uno de sus centros en Nüremberg desde, al menos, el año 2014.
Un ranking de sanciones ejemplarizantes
Según un estudio publicado recientemente por ‘Finbold’ y a razón del análisis de las multas y sanciones que las autoridades de protección de datos han impuesto en la UE en el intervalo temporal de enero 2020 – agosto 2020, España es el país con mayor número de sanciones, acumulando un importe total de 1.952.810 €. Eso sí, si atendemos a otras medidas, como por ejemplo el importe o valor total abonado por la suma de todas las multas asumidas por las personas físicas o jurídicas en un mismo país, España sería superado por Países Bajos con 2.080.000 €, Suecia con 7.031.800 € e Italia con la singular cifra de 45.609.000 € en lo que llevamos de año.
Y no solo ocurre en Europa. Este escenario parece repetirse al otro lado del Atlántico, como en el caso de Estados Unidos, donde, por ejemplo, la aseguradora Anthem recientemente acaba de anunciar el pago de una sanción de 39,5 millones de dólares impuesta como consecuencia de una brecha de seguridad sufrida en 2015, que afectó a datos personales y de salud de 80 millones de norteamericanos. Esta sanción se suma al pago de 115 millones de dólares que la compañía ya abonó en 2017 en concepto de compensación a sus clientes por estos errores.
Varias puertas de entrada, distintas soluciones de ciberseguridad.
Desafortunadamente, las brechas de datos son una realidad muy común en el mundo empresarial; un incidente que lleva a las graves consecuencias económicas de incumplir el GDPR , ya no solo por las multas, sino por las repercusiones serias en la reputación de la empresa y el efecto sobre su cuenta de resultados. Teniendo en cuenta de que una brecha de datos puede darse por múltiples puertas de entrada a tu red corporativa, es esencial contar con la protección más avanzada y adecuada a cada situación.
Gracias a la visibilidad que Panda Adaptive Defense 360 nos da y las capacidades de prevención, detección y de entrega de las medidas necesarias para responder inmediatamente, nuestra organización estará protegida frente ataques de hacking, ataques zero-day o avanzados que pueden concluir en una brecha de datos. Además, cuenta con un módulo adicional, Panda Data Control, que descubre y audita todos los datos personales desestructurados en los endpoints de tu empresa. Panda Data Control genera informes y alertas en tiempo real del uso no autorizado de los datos, para evitar filtraciones, que te ayudará a implementar medidas proactivas de acceso y operación. Y si lo que te preocupa son las vulnerabilidades críticas , en auge en los últimos meses, reduce ahora la superficie de ataque de los servidores y estaciones Windows con Panda Patch Management.
Teniendo en cuenta este histórico, es esencial que en las empresas cale la importancia de contar con una solución de ciberseguridad avanzada, controlar los datos en tu organización y parchear las aplicaciones y software que utilizan. Todas estas soluciones de seguridad y sus módulos de operaciones de seguridad de punto final y TI están ya disponibles en WatchGuard.