9 titulares del primer trimestre sobre ciberseguridad, gestión de riesgos y gobierno de datos
¿Cuáles son las historias más grandes e interesantes en los mundos en constante cambio de la ciberseguridad, la mitigación de riesgos y la gobernanza de la información?
Es más difícil que nunca acotar el campo, porque el mundo se mueve así de rápido. Pero haremos nuestro mejor esfuerzo con 9 historias que nos han llamado la atención este trimestre, una interesante mezcla de temas de GRC y ciberseguridad que muestran cuántas fuerzas y tendencias diferentes están actuando en todo el mundo.
> ¿Los empleados y la ciberdelincuencia en las redes sociales? Cuesta miles de millones a las empresas
Una de cada cinco organizaciones ha sido infectada por programas maliciosos distribuidos a través de las redes sociales, y la ciberdelincuencia a través de las redes sociales está generando al menos 3.250 millones de dólares anuales en ingresos mundiales para los delincuentes, según un amplio estudio realizado por un destacado académico de la Universidad de Surrey.
Una amenaza notable proviene del cryptojacking, en el que los ordenadores de empleados o personales son secuestrados para realizar operaciones de minería de criptomonedas, y de hecho ha superado al ransomware como principal amenaza para los sistemas informáticos de particulares y empresas.
Cuatro de los cinco principales sitios web mundiales que alojan código de criptominería son sitios de redes sociales, y estos sitios contienen hasta un 20% más de métodos de distribución de malware que los sitios de comercio electrónico, medios digitales o corporativos. Por tanto, contar con una solución sólida de gestión de políticas de redes sociales como una de las ramas de su estrategia de ciberseguridad es más indispensable que nunca.
> ¿Está Rusia reprimiendo a los ciberdelincuentes o protegiendo a los suyos?
El gobierno ruso impuso duras condenas a un antiguo jefe de sus operaciones de ciberinteligencia y a un ejecutivo de Kaspersky Labs. La "traición" por la que han sido condenados es la verdadera fuente de furor. Organizaciones de noticias y observadores afirman que ambos han sido castigados por informar a los servicios de inteligencia de Estados Unidos sobre los responsables de las actividades de piratería rusa en torno a las elecciones presidenciales estadounidenses de 2016.
Kapersky es una de las principales empresas de ciberseguridad del mundo, por supuesto, y proveedora de herramientas como su hipnótico (y aterrador) mapa de ciberamenazas en tiempo real. Si la definición rusa de "traición" se extiende a los profesionales de la seguridad que cooperan con las fuerzas de seguridad extranjeras, puede tener un efecto escalofriante en la futura cooperación transfronteriza para combatir la ciberdelincuencia. Al menos, es probable que eso ocurra cuando uno de los países en cuestión parece seguir su propia agenda nacionalista en materia de ciberseguridad.
> Las violaciones de datos de los servicios financieros del Reino Unido aumentaron un 480% en 2018
Has leído bien. Según un nuevo informe (de pago) del Financial Times, los piratas informáticos han puesto su punto de mira en las empresas de servicios financieros del Reino Unido. Los datos de la Autoridad de Conducta Financiera del país indican que el año pasado se multiplicaron por 5 las violaciones de datos entre las empresas de servicios financieros.
"Las empresas notificaron 145 infracciones a la FCA el año pasado, frente a las 25 de 2017, siendo los bancos de inversión los que notificaron el mayor número de incidentes, con 34, frente a solo tres el año anterior."
La investigación sugiere que los ciberdelincuentes se dirigen a los bancos de inversión porque creen que sus medidas de seguridad son inferiores a las de los bancos minoristas. Los tipos de datos que almacenan los bancos de inversión son potencialmente más lucrativos; los datos de fusiones y adquisiciones, por ejemplo, podrían aprovecharse para operaciones internas.
¿Otras áreas en las que se han registrado aumentos considerables en los informes de violación de datos de FinServ?
- Las aseguradoras notificaron 33 vulneraciones en 2018, frente a las siete de 2017.
- Las empresas de préstamos minoristas al consumidor informaron de 21 infracciones en 2018, frente a las cuatro del año anterior.
- Las empresas de inversión minoristas sufrieron 11 vulneraciones en 2018, frente a ninguna en 2017.
¿Hay algo positivo? Algunos piensan que este salto es más una señal de que la llegada del GDPR y una mayor concienciación sobre las ciberamenazas han mejorado el nivel de notificación por parte de las empresas de servicios financieros. Puede que no sea una coincidencia que junio de 2018, el primer mes bajo el GDPR, viera el total más alto de informes de violación.
> La protección de la privacidad de los datos se endurece en California
El Estado Dorado ya es una oportunidad de oro para las demandas colectivas a ojos de algunos críticos, gracias a su inclinación por la regulación de la protección de los consumidores. Si la nueva modificaciones de la protección de datos propuestas para la actual Ley de Privacidad del Consumidor de California (CCPA) entren en vigor, los consumidores podrán demandar a los gigantes tecnológicos como Google y Facebook si consideran que se han violado sus derechos de privacidad de datos.
Los grupos de presión y los portavoces de Silicon Valley ya están en pie de guerra contra el proyecto de ley, diciendo que no beneficiará a nadie más que a los abogados de demandas colectivas. Pero sus defensores señalan incidentes como la debacle de Cambridge Analytica de Facebook como prueba de la necesidad de una mayor regulación.
"La industria tecnológica, por su propia naturaleza, se ha opuesto frontalmente a cualquier forma de regulación", afirma la patrocinadora del proyecto de ley, la senadora Hannah-Beth Jackson, demócrata por Santa Bárbara. "Es una industria que ha reencarnado el Salvaje Oeste: sin normas, sin límites, sin regulación. Hemos llegado al punto de inflexión".
Al igual que el RGPD se consideró un modelo para otras normativas, otros estados de EE.UU. están considerando la CCPA como un modelo para sus propias leyes de privacidad de datos; Washington, por ejemplo. Tal como está redactada, la CCPA es en realidad más amplia incluso que el GDPR. Por lo tanto, las empresas que se sientan seguras con el cumplimiento del GDPR podrían tener un duro despertar si entran en conflicto con la CCPA.
> Los reguladores estadounidenses se ponen duros con el cumplimiento de la ciberseguridad
No basta con disponer de un programa de cumplimiento en materia de ciberseguridad. A los ojos de muchos reguladores estadounidenses, tiene que estar a la altura de un estándar más alto, o las sanciones que impondrán pueden acumularse.
Un ejemplo: El 25 de enero, la Corporación Norteamericana de Fiabilidad Eléctrica (NERC) pidió a la Comisión Federal Reguladora de la Energía (FERC) que aprobara un acuerdo, en gran medida redactado, sobre una multa récord de 10 millones de dólares contra "una empresa de servicios públicos no identificada" por incumplimiento de las normas de protección de infraestructuras críticas (PIC) durante varios años.
Aunque la empresa contaba en ese momento con un programa de cumplimiento interno, el NERC lo consideró deficiente debido a la falta de apoyo y responsabilidad por parte de la dirección, a la escasa supervisión, documentación y formación, y a la existencia de silos organizativos que provocaban falta de comunicación y confusión.
¿En otras palabras? Se les llamó la atención por los mismos factores presentes en demasiadas otras empresas. Estos fallos aumentan seriamente el riesgo de un golpe normativo similar si el infractor opera en un sector muy regulado, como los servicios financieros o la sanidad. Por eso esabsolutamente necesario establecer una culturaactiva de cumplimiento de la normativa.
> El "Formjacking" está de moda entre los ciberdelincuentes
Un nuevo informe de ciberseguridad de Symantec explica cómo el formjacking, el "uso de código JavaScript malicioso para robar datos de tarjetas de crédito y otros formularios de pago de información en las páginas de pago de los sitios de comercio electrónico", es un nuevo atractivo para los ciberdelincuentes. Los datos de Symantec muestran que 4.818 sitios web únicos se vieron comprometidos con código formjacking cada mes del año pasado. Robar sólo diez tarjetas de crédito de esta forma podría reportar a los delincuentes hasta 2,2 millones de dólares al mes.
Los ataques a grandes empresas como British Airways y Ticketmaster son noticia, pero Symantec afirma que los pequeños y medianos comerciantes de todo tipo de productos, desde ropa hasta material de jardinería, también suelen ser víctimas. "Se trata de un problema global que puede afectar a cualquier empresa que acepte pagos de clientes en línea", afirma el informe.
> Aumentan los lugares de trabajo exclusivos para mujeres como respuesta al #MeToo
En opinión de algunas empresas y empresarios, ¿hay una forma de reducir las demandas por acoso sexual y prejuicios sexistas? Es sencilla: Eliminar a los hombres.
Cada vez son más los espacios de trabajo exclusivos para mujeres y centrados en ellas que se han establecido en EE.UU. Algunos se crearon antes de que el #MeToo prendiera fuego, pero sin duda se han beneficiado del movimiento. También han aprovechado el deseo de las trabajadoras de crear entornos de trabajo favorables que se aparten de la cultura empresarial tradicional.
Hasta qué punto tendrá éxito es una buena pregunta. Sobre todo porque al mitigar un tipo de riesgo se ha creado otra fuente de exposición que ha ocupado el lugar de las demandas por acoso sexual: Los hombres han presentado demandas por discriminación de género contra algunas de estas empresas, lo que ha obligado a cambiar las políticas de afiliación en al menos un caso.
> En la era del #MeToo, las empresas recurren a empresas de gestión de la reputación
A medida que el movimiento #MeToo sigue avanzando, con algunas demostraciones recientes muy notables de su alcance, las empresas están cada vez más preocupadas por su potencial de daño reputacional y exposición a las demandas #MeToo. Según una investigación de CNBC, alrededor del 30% de los informes anuales de 2018 de las empresas exigidos por la Comisión de Bolsa y Valores de Estados Unidos (SEC) incluyeron el "riesgo reputacional" entre sus factores de riesgo en 2018.
Por eso recurren a consultores de gestión de la reputación que analizan en profundidad la dirección y la cultura corporativa de una empresa, identifican los casos de acoso sexual y recomiendan cómo resolverlos antes de que se hagan públicos. A veces, eso implica enseñar la puerta a los altos ejecutivos.
Las empresas se enfrentan a responsabilidades legales condenatorias por malas prácticas, y no están preparadas para ello. Las demandas por acoso sexual en el lugar de trabajo aumentaron más del 12% en el año fiscal 2018, según la Comisión para la Igualdad de Oportunidades en el Empleo de Estados Unidos (EEOC). La EEOC recuperó 70 millones de dólares de las empresas para las víctimas de acoso sexual en 2018, frente a los 47,5 millones de 2017.
> El "riesgo de fatiga", un peligro que afecta a 9 de cada 10 empresarios estadounidenses
El riesgo de los empleados adopta formas distintas de la ciberseguridad o el acoso sexual. ¿Otra fuente? La fatiga. Al menos eso es lo que dice el Consejo Nacional de Seguridad (NSC), que afirma que el 90% de las empresas estadounidenses se han visto afectadas negativamente por trabajadores cansados.
De hecho, el 43% de los empleados que participaron en el estudio admitieron que podrían estar demasiado cansados para trabajar con seguridad, lo que convierte a la fatiga en un riesgo creciente en el lugar de trabajo. El NSC hizo un llamamiento a todos los empresarios del país para que implanten sistemas integrales de gestión del riesgo de fatiga que puedan ayudar a prevenir el 13% de las lesiones laborales atribuidas a problemas de sueño.
¿El coste acumulado? La fatiga cuesta a la economía estadounidense más de 400.000 millones de dólares al año. Una empresa con 1.000 empleados puede perder más de un millón de dólares al año en días de trabajo perdidos, menor productividad y aumento de los costes sanitarios.
Algunas de las formas en que los programas de gestión del riesgo de fatiga abordan este reto? Combinando la educación y la formación de los empleados con cambios culturales, modificaciones en el lugar de trabajo y análisis basados en datos para reconocer y solucionar los problemas.
Otros recursos relacionados con la GRC que pueden resultarle interesantes
-
Guía del experto: Las 7 señas de identidad de un cumplimiento eficaz
-
Blog Post: Cómo ayuda la tecnología a crear un programa de cumplimiento eficaz
-
Infografía: GRC Hurdles & High Jumps in Building a Culture of Compliance (Obstáculos y grandes saltos de GRC en la creación de una cultura de cumplimiento)
