A pesar de la obligación de las organizaciones de reportar cualquier ciberataque que hayan sufrido, algunas deciden encubrir estos hacks, incluso si eso significa correr el riesgo de ver una cierta cantidad de datos revendidos o divulgados en la red. Un estudio publicado por Bitdefender destacó este fenómeno de no informar.
Omitir una violación de la privacidad de los datos personales: una tendencia actual
Este estudio revela que El 42% de los profesionales de TI y seguridad encuestados recibieron instrucciones de no alertar a las autoridades.. Además, el 30% de estos empleados no mencionaron a sus colegas oa su supervisor una violación de la confidencialidad de los datos personales. Aunque todas las empresas están obligadas a hacerlo, algunas organizaciones están dispuestas a ignorar esta obligación para evitar sanciones legales y financieras.
Entre los ejemplos más conocidos está el de Joseph Sullivan, exjefe de seguridad de Uber. En octubre de 2022, el exempleado de la plataforma de comparación de conductores VTC fue declarado culpable de haber ocultado un ciberataque en 2016. En total, 57 millones de usuarios y 7 millones de conductores vieron comprometida la confidencialidad de sus datos. Sin alertar a las autoridades, Uber había pagado 100.000 dólares a un ciberdelincuente para que no revelara ninguno de los datos que había logrado sustraer de los servidores de la empresa.
Pero entonces, ¿por qué tantas empresas presionan a su personal para ocultar estas filtraciones de datos personales? Para Andrei Florescu, director general adjunto y vicepresidente senior de productos de Bitdefender, “ Las organizaciones de todo el mundo están bajo una enorme presión para hacer frente a amenazas en constante evolución, como ransomware, vulnerabilidades de día cero e ingeniería social. “. Estas tres amenazas son las que más preocupan a los profesionales de la ciberseguridad según el informe.
Empresas obligadas a invertir para mejorar su ciberseguridad
Paralelamente al resurgimiento de las ciberamenazas, las empresas deben cumplir cada vez más con el marco legislativo que tiende a reforzarse. Dentro de la Unión Europea, la Cyber Resilience Act presentada en septiembre de 2022 tendrá como objetivo establecer reglas de ciberseguridad que rijan en todo el territorio europeo. En particular, las empresas estarán obligadas a actualizar o aplicar parches a las herramientas digitales que utilicen u ofrezcan al público en general durante un período de cinco años.
Si bien esta regulación es beneficiosa para garantizar que las organizaciones no sean atacadas, las obliga a cumplir. Por lo tanto, las empresas se ven obligadas a contratar personal adecuado para implementar estas medidas correctivas, mientras que la escasez de talento ha estado causando estragos durante varios años. También deben invertir en capacitación y soluciones para prevenir, detectar y responder a las amenazas. Un proceso que lleva tiempo y que puede hacer que las empresas pierdan más dinero del esperado.
Como resultado, algunas organizaciones no tienen en cuenta estas prerrogativas. Así, al alertar a las autoridades, temen ser objeto de un proceso penal a raíz de este hackeo y ser condenados por no haber tomado las medidas necesarias para garantizar de la mejor manera la seguridad y confidencialidad de sus datos personales.