Informe sobre Filtraciones de Datos de Terceros en 2024
Introducción
Las filtraciones de datos de terceros se refieren a incidentes en los cuales la información confidencial o sensible de una organización, que está en manos de un proveedor o socio comercial (tercero), es accedida, expuesta, robada o comprometida sin autorización. Estas filtraciones pueden tener graves consecuencias para la organización afectada, incluyendo pérdidas financieras, daños a la reputación y sanciones regulatorias es por ello la necesidad efectiva de la Gestión de riesgos con proveedores.
Fuentes de las Filtraciones de Datos de Terceros
Proveedores de servicios: Proveedores que manejan datos de clientes o empleados en nombre de la organización, como servicios de tercerización, nómina, almacenamiento en la nube y servicios de TI.
Contratistas y consultores: Profesionales externos que tienen acceso a datos sensibles durante sus tareas de consultoría o contratación.
Herramientas y plataformas de software de terceros: Soluciones tecnológicas que la organización utiliza y que requieren acceso a datos internos.
Socios comerciales: Entidades con las que la organización colabora estrechamente y comparte datos, como distribuidores o alianzas estratégicas.
Causas Raíz de las Filtraciones de Datos de Terceros
Deficiencias en la seguridad de los proveedores: Proveedores que no implementan medidas de seguridad adecuadas, facilitando el acceso no autorizado a los datos.
Falta de contratos y políticas claras: Ausencia de acuerdos y políticas específicas sobre la protección y seguridad de datos entre la organización y el tercero.
Errores humanos: Fallos por parte de los empleados del proveedor, como enviar datos sensibles a destinatarios incorrectos o no proteger adecuadamente la información.
Ataques de hackers: Actores maliciosos que atacan a los proveedores para acceder a los datos de las organizaciones.
Gestión inadecuada de privilegios de acceso: Provisión y gestión insuficiente de los privilegios de acceso a los datos por parte de los proveedores.
Uso de tecnologías obsoletas: Empleo de software y tecnologías anticuadas que son altamente vulnerables a los ataques.
Impacto y Consecuencias para las Organizaciones
Pérdida y exposición de datos sensibles: Daños a la confianza de los clientes y socios en la organización.
Multas y sanciones regulatorias: Penalizaciones impuestas por las autoridades debido al incumplimiento de normativas de protección de datos.
Publicidad negativa: Impacto negativo en la imagen pública de la organización.
Gastos adicionales: Costos asociados con la gestión de la crisis, investigación del incidente, notificación a las partes afectadas y posibles demandas legales.
Pérdida de productividad: Tiempo y recursos dedicados a abordar la filtración y mejorar las medidas de seguridad.
Ventaja competitiva perdida: Información sensible utilizada por competidores para ganar ventaja.
Perfecciona tus habilidades
Desarrolla tus capacidades a través de nuestros programas formativos, membresías y contenidos multimedia interactivos.
Estadísticas Clave de Filtraciones de Datos en 2024
Según el Thales Cloud Security Report, más del 60% de los datos corporativos globales están almacenados en la nube, y el 82% de las filtraciones de datos en 2023 involucraron datos almacenados en la nube.
Se espera que el 15% de todas las filtraciones de datos en 2024 involucren compromisos de la cadena de suministro, incluyendo vulnerabilidades de software de terceros, un aumento significativo desde el 4% en 2020.
El costo promedio de una filtración de datos en 2023 fue de U$S 4.35 millones, con un costo mayor en los EE. UU., donde la cifra ascendió a U$S 9.44 millones.
La industria de la salud sigue siendo la más afectada, con un aumento del 53.3% en el costo de las filtraciones desde 2020, alcanzando un promedio de U$S 10.93 millones en 2023. Otros sectores altamente afectados incluyen servicios bancarios, financieros y manufactura.
Las credenciales robadas son utilizadas en el 24% de las filtraciones, y los ataques a aplicaciones web representan el 25% de las filtraciones.
La técnica de phishing es responsable del 22% de todos los casos de filtraciones, en la que los atacantes engañan a las personas para que revelen información confidencial haciéndose pasar por una entidad de confianza a través de comunicaciones electrónicas fraudulentas.
ISO/IEC 27001: Sistema de Gestión de Seguridad de la Información
La norma internacional ISO/IEC 27001 define los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información (SGSI), alineado con los objetivos y contexto específicos de la organización. Esta norma abarca la identificación, evaluación y tratamiento de los riesgos relacionados con la seguridad de la información, ajustándose a las necesidades particulares de cada entidad. Si deseas obtener más información sobre nuestras próximas actividades de capacitación en esta materia, puedes consultarlas aquí.
Relevancia en el Contexto de Filtraciones de Datos de Terceros
Proporciona un marco estructurado para proteger la información sensible, incluyendo los datos manejados por terceros y almacenados en la nube.
Define controles estrictos para gestionar el acceso a la información, reduciendo el riesgo de que terceros no autorizados accedan a datos sensibles.
Permite identificar y evaluar las amenazas y vulnerabilidades específicas que podrían afectar la seguridad de la información gestionada por terceros.
Establece procedimientos para responder a incidentes de seguridad, incluyendo las filtraciones de datos, garantizando una respuesta rápida y eficiente.
Ayuda a las organizaciones a cumplir con las regulaciones y normativas de seguridad de la información a nivel global, cruciales para evitar sanciones y pérdidas financieras debidas a filtraciones de datos.
Integración con Otras Normas ISO
ISO 27701 (Gestión de la Privacidad de la Información): Complementa la ISO/IEC 27001 enfocándose específicamente en la gestión de datos personales y el cumplimiento de regulaciones de privacidad como el GDPR.
ISO 31000 (Gestión Integral del Riesgo): Proporciona directrices y un enfoque más amplio para la gestión integral de riesgos, incluyendo riesgos operacionales y estratégicos, más allá de la seguridad de la información.
ISO 22301 (Gestión de la Continuidad del Negocio): Garantiza que las organizaciones puedan continuar entregando productos y servicios durante y después de incidentes de seguridad, minimizando el impacto de las filtraciones de datos en la continuidad del negocio.
Conclusión
- La incorporación de ISO/IEC 27001 junto con ISO 27701, ISO 31000 e ISO 22301 ofrece una estrategia robusta y completa para gestionar los riesgos de seguridad de la información, proteger datos sensibles y asegurar la continuidad del negocio ante incidentes de filtraciones de datos. Implementar y mejorar estos sistemas de gestión de manera integrada y eficiente proporciona una defensa multifacética contra las amenazas cibernéticas y fortalece la resiliencia organizacional.
¿Te has preguntado cómo gestionar eficazmente estos riesgos?.
¡No busques más!
En Iberoamericana Educación Ejecutiva, hemos creado programas pensando en tus necesidades de información y formación.
Nuestros expertos internacionales han diseñado un completo Programa al respecto para brindarte las herramientas necesarias para comprender y enfrentar estos desafíos de manera efectiva.
¡No esperes más para inscribirte!
Los programas de formación ya están disponibles y estamos aquí para ayudarte a ampliar tus conocimientos y habilidades en esta área crucial.
Entradas recientes
- Gestión de Riesgos Futuros ISO 31050
- Impacto del Cambio Climático en Organizaciones
- Diversidad Generacional en el Trabajo
- Fomentar la Resiliencia Empresarial
- Técnica Análisis de Escenarios, cómo se aplica
- Gestión de Riesgos Emergentes en Negocios
- Estrategias Efectivas para Riesgos de Ciberseguridad
- Gestión de Riesgos con Proveedores
- Gestión dinámica de riesgos emergentes