Las secuelas de los ataques de ransomware WannaCry en organizaciones de más de 150 países aún continúan. Y no solo por su impacto económico o a nivel de reputación, sino incluso por la repercusión en la salud pública. Al fin y al cabo, el entorno sanitario es la principal víctima de brechas de seguridad, con datos personales de casi 16 millones de personas sustraídos el pasado año solo en Estados Unidos.
Pero los problemas causados por el ransomware van más allá de recuperar los datos robados. Un ataque puede evidenciar que se han robado datos personales, algo que expone a las organizaciones que lo sufren a las leyes sobre privacidad, y más cuando falta menos de un año para que el GDPR entre en vigor. Este reglamento obliga a las empresas a notificar la brecha de seguridad ante las autoridades y ante las potenciales víctimas en menos de 72 horas desde que se descubre la intrusión. Las organizaciones, por tanto, necesitan una forma de buscar y descubrir qué información ha sido robada en un esfuerzo por determinar el alcance del problema.
Hemos visto un enorme crecimiento de robos de datos mediante distintas técnicas de hackeo, incluyendo phishing y ransomware. El pasado año, la Global Response Intelligent Defense (GRID) Threat Network de SonicWall avisó de que el uso de ransomware había crecido 167 veces en tasa interanual y que era el principal contenido de las campañas de correo electrónico malicioso y de los exploit kits.
La petición de rescate es la primera prueba de que ha habido una intrusión. Esto es particularmente cierto en el caso de los puestos de trabajo, que son gestionados por usuarios con poco conocimiento sobre las políticas de datos de su empresa y que no suelen realizar actualizaciones del sistema. Como en cualquier evento de pérdida de datos, también se puede determinar si ha habido robo de datos personales basándose en el análisis forense. Si los cibercriminales tienen la habilidad de robar los datos o de hacerlos inaccesibles, es muy posible que la utilicen para otros propósitos, además de para cobrar un rescate.
En este caso, el ataque podría requerir la notificación de la brecha de seguridad ante las autoridades y ante las víctimas. La exposición a mala prensa, a que los clientes pierdan la confianza y a las posibles multas, supone un riesgo considerable para cualquier organización.
Más allá de aplicar el sentido común a la infraestructura y a la gestión de los datos, hay cinco lecciones que podemos aprender:
Aunque no tenga evidencia directa de que se hayan perdido datos personales, la posibilidad de que haya podido ocurrir ya le deja abierto a requerimientos.
Con la rápida adopción de la nube y soluciones de tipo SaaS, los datos están cada vez más distribuidos, por lo que es necesaria una protección adecuada. Aunque los datos comprometidos no estuvieran alojados en sus instalaciones, sigue siendo responsabilidad de la firma determinar si ha habido información personal comprometida y, en caso afirmativo, comenzar el proceso de notificación. Se trata de sus clientes, inversores y empleados.
Minimice la superficie de amenaza. Mantenga sólo los datos necesarios para atender las necesidades. Utilice políticas de archivado para identificar instancias de datos personales, eliminar, cifrar y/o trasladar la información a ubicaciones más seguras que puedan rastrearse completamente. La educación es útil, pero la automatización es clave.
Si tiene 72 horas para notificar la brecha a las autoridades supervisoras y a las víctimas, el acceso a la información alojada en servidores, ordenadores portátiles, aplicaciones y entornos SaaS se convierte en absolutamente esencial. La capacidad de buscar en todos estos silos puede suponer la diferencia entre cumplir con la normativa o hacer frente a multas. Le afecte o no directamente el GDPR, se trata de un enfoque respecto a la privacidad que proporciona un marco excelente para la gestión responsable de datos personales.
Entidades
