El socio cibernético de Clayton Utz, Brenton Steenkamp, ha sufrido una buena cantidad de ataques cibernéticos. Al regresar a Australia en octubre después de un período de siete años en Ámsterdam, trajo a casa historias sobre cómo lidiar con múltiples grandes ataques de ransomware en Europa, así como las lecciones de gobernanza de datos que proporcionaron.
Steenkamp dijo que ha observado que muchas organizaciones australianas aún no han asumido la visión de “cambio de paradigma” del riesgo en torno a los conjuntos de datos que es necesaria para la gobernanza de datos futura, y pronto, los CISO locales podrían verse atrapados en la mira regulatoria como una nueva ola global de regulaciones. La acción se interrumpe en las costas locales.
Recomienda que las organizaciones controlen los conjuntos de datos utilizando medidas como clasificar mejor los registros de datos, preguntar si es necesario retener los datos y minimizarlos mediante la eliminación de datos. Al involucrar a todas las partes interesadas, los CISO también deberían poder presentar una instantánea del riesgo de datos en cualquier momento.
Las organizaciones australianas no afrontan los riesgos de sus tenencias de datos
Steenkamp dijo que no ha pasado mucho tiempo desde que las organizaciones, a medida que despegaba la era del big data, querían recopilar la mayor cantidad de información posible. Luego tendrían esa información disponible para hacer lo que necesitaran, como facilitar la personalización del marketing y las ventas.
Sin embargo, ahora hay una creciente comprensión, alentada por el aumento de las filtraciones de datos, de que esto ha traído “un nuevo nivel de riesgo”. Dijo que una y otra vez las organizaciones quedan atrapadas, a menudo sin darse cuenta de qué datos tienen en el banco y de que su cumplimiento y sus procesos “no han asumido el riesgo”.
VER: Descargue una política de gestión de riesgos de TechRepublic Premium
Si bien dijo que en Australia hay conciencia sobre los Principios de Privacidad del país, un menor volumen de acción regulatoria significa que las organizaciones aún no han “sentido el dolor” en forma de multas o sanciones, como que los CISO o los miembros de la junta directiva rindan cuentas, por lo que los riesgos de datos no se tienen en cuenta en su totalidad.
El caso de la OAIC contra los laboratorios clínicos australianos
Una llamada de atención es el caso de la Oficina del Comisionado de Información de Australia contra los laboratorios clínicos australianos. En el caso, la OAIC alegó que la organización, debido a su tamaño, no tomó medidas razonables para proteger la información personal del acceso no autorizado ni adoptó una postura de seguridad razonable.
Steenkamp dijo que el caso plantea dos cuestiones. La primera es cómo las empresas protegen los datos que poseen, el dominio típico del CISO. El segundo es la evaluación y gestión eficaz del riesgo asociado a los datos desde una perspectiva de ciberseguridad.
Se insta a las organizaciones a comprender el alcance total del riesgo de los datos
Según Steenkamp, las organizaciones australianas necesitan hacer una evaluación más profunda y holística de los riesgos asociados con sus conjuntos de datos. Si las organizaciones no comprenden los riesgos asociados con sus datos y los vinculan con la seguridad, tendrán un “punto de vista dispar que podría ser riesgoso”, dijo.
“Va a requerir un enfoque totalmente nuevo en torno a la identificación de riesgos”, dijo. “No se puede aumentar la apuesta en torno a su postura de seguridad si al mismo tiempo no aborda el riesgo real, el riesgo inherente a los datos que tiene incorporados en sus organizaciones y a través de terceros”.
Esto requerirá que las organizaciones den un paso atrás y analicen sus políticas y procesos en torno a qué es el riesgo, qué significa para los datos que conservan y cómo pueden tomar medidas razonables para mitigar ese riesgo. Esto también es algo que deberá evaluarse e implementarse de forma continua.
Los riesgos organizacionales que existen en un mundo de “asumir incumplimiento”
En febrero de 2024, los piratas informáticos vulneraron con éxito UnitedHealth, una importante aseguradora de salud de EE. UU. que procesa alrededor del 50% de las reclamaciones médicas de EE. UU. A pesar del pago de un rescate, la salud y los datos personales de una “parte sustancial de la gente en Estados Unidos” fueron robados, según un comunicado de la empresa.
Steenkamp dijo que si bien la investigación sobre la violación aún está en curso, parece que a pesar de tener suficientes controles de seguridad, la organización aún fue violada. En situaciones como esta, dijo, la pregunta desde una perspectiva de riesgo es: ¿Qué hicieron entre bastidores en términos de datos?
Si las organizaciones no abordan los aspectos de riesgo más amplios de sus tenencias de datos y no implementan controles de seguridad y gobernanza de datos para minimizar y mitigar el riesgo, Steenkamp dijo que lo que el hackeo de UnitedHealth muestra es que la “viabilidad de la organización se ve potencialmente perjudicada”.
Pronto podría llegar una ola regulatoria y de aplicación de la ley a las costas australianas
Una ola de medidas regulatorias podría llegar a las costas australianas después de que los cambios propuestos actualmente a la Ley de Privacidad se conviertan en ley.
Steenkamp dijo que los CISO podrían ser perseguidos por negligencia en los casos en los que tergiversan la preparación de seguridad de la organización, no implementan controles apropiados o no señalan los problemas a la atención de la junta.
En algunos casos, se informa que los profesionales de seguridad en mercados extranjeros evitan por completo ser promovidos a roles de CISO por temor a que nuevas responsabilidades los vean expuestos a fallas de seguridad y datos organizacionales, que a veces pueden parecer fuera de su competencia directa. control.
Los casos globales muestran un movimiento para tomar medidas enérgicas contra la mediocre gobernanza de datos
Steenkamp dijo que pronto se podrían replicar en Australia varios ejemplos de los mercados globales.
- La Comisión de Bolsa y Valores de EE. UU. está procesando al ex director financiero de Uber, entre otras cosas, por engañar y dar una impresión errónea sobre el riesgo de los datos y la postura de seguridad de la empresa, poniendo en riesgo grandes cantidades de datos de conductores y clientes.
- La SEC también inició un procedimiento contra el CISO de SolarWinds, Timothy Brown, alegando que mintió a los inversores cuando exageró las prácticas de ciberseguridad de SolarWinds y subestimó o no reveló los riesgos conocidos, que salieron a la luz después de un importante evento de piratería en 2021.
- Recientemente, los reguladores franceses multaron a Google con 250 millones de euros (271,73 millones de dólares estadounidenses) por tergiversaciones que se descubrió que la empresa había dado sobre los datos que estaba capturando sin el consentimiento de los editores franceses. Google estaba usando los datos para entrenar modelos de IA.
“Creo que esto es una llamada de atención seria”, dijo Steenkamp. “Existe una tendencia en todo el mundo, en Estados Unidos, pero también entre los reguladores de Europa, particularmente en Europa continental e Irlanda, a adoptar una postura agresiva contra toda la cuestión de los datos”, dijo.
Las organizaciones deberán pasar la “prueba razonable”
La Comisión Australiana de Valores e Inversiones ha dejado claro que, en caso de violaciones de datos, tratará de dar ejemplo al emprender acciones legales contra cualquier miembro de la junta directiva o ejecutivo cuyas empresas no estén tan preparadas como deberían para los ataques cibernéticos.
Steenkamp dijo que, en última instancia, la “prueba razonable” será el listón que las organizaciones australianas deben cumplir. Esto requerirá que las organizaciones hayan comprendido la naturaleza específica del panorama de riesgos de datos que enfrentan, hayan implementado medidas adecuadas para salvaguardar los datos o estén tomando medidas para abordar cualquier brecha de seguridad identificada que pueda identificarse.
Pasos prácticos que pueden ayudar a las organizaciones a obtener un mayor control sobre el riesgo de los datos
Hay pasos prácticos que los líderes de TI y seguridad pueden seguir para manejar mejor el riesgo de los datos. Steenkamp dijo que “ahora menos es más” cuando se trata de datos, y las prioridades incluyen un proceso continuo de conocer los datos que se tienen, clasificarlos y retener solo lo que se necesita mientras lo necesite.
Este punto queda claro por el impulso de las actuales demandas colectivas contra Medibank y Optus tras importantes violaciones de datos en esas organizaciones. Los casos tratan, en primer lugar, de si existían controles de seguridad adecuados para proteger los datos y, en segundo lugar, de si las organizaciones necesitaban los datos.
Las organizaciones recomendadas por Steenkamp deberían priorizar pasos como los siguientes:
Mejore la clasificación de datos y los períodos de retención
Las organizaciones deben auditar y clasificar los registros de datos de su patrimonio e implementar directrices prácticas sobre retención y eliminación de datos. Steenkamp dijo una y otra vez que las grandes violaciones de datos involucran datos que las organizaciones se dan cuenta de que “nunca habrían conservado si lo hubieran sabido”.
Participar en la minimización de datos en lugar de la maximización
Minimizar el riesgo de los datos implica minimizar los datos. Steenkamp recomendó aprovechar los diagnósticos y las tecnologías para ayudar a identificar dónde se encuentran los datos almacenados y luego minimizarlos, particularmente cuando se trata de datos confidenciales, como datos de salud o información de identificación personal.
Comprender el riesgo lo suficientemente bien como para proporcionar una instantánea del mismo.
Los CISO y los responsables de riesgos comerciales deberían poder demostrar o pintar una imagen de la postura de riesgo de la organización en relación con los datos en cualquier momento. Esto mostraría que la organización ha abordado los riesgos necesarios y que se están tomando medidas adecuadas para mitigar cualquier brecha potencial.
Dar a conocer a la junta directiva los riesgos y las mitigaciones de los datos.
Las juntas directivas deben estar informadas sobre el panorama de riesgos de los datos. Si bien puede ser tentador evitar esto preguntando si realmente se trata de una cuestión legal o de la junta directiva, Steenkamp dijo que si los datos quedan expuestos, la primera pregunta que hará la junta directiva es por qué no se les informó o no se les dio la información necesaria sobre los riesgos que existen. datos.
