El error humano se convierte en la tendencia de violación de datos GDPR en 2020
Se ha informado ampliamente que el error humano causó el 90% de las violaciones de datos cibernéticos en 2019. La información proporcionada por la Oficina del Comisionado de Información del Reino Unido (ICO) ha llevado a los expertos en seguridad a creer que nueve de cada diez de las 2376 violaciones cibernéticas informadas fueron causadas por errores cometidos por los usuarios finales.
Si bien, de un vistazo, esa estadística se puede utilizar para sacar conclusiones rápidas y generalizaciones, en realidad es menos útil de lo que parece originalmente. En los datos brutos proporcionados por el ICO, el "error humano" cubre una gran variedad de casos, desde fallas del sistema hasta revelaciones no autorizadas y campañas exitosas de phishing o spear-phishing. Entonces, si bien es una buena línea pegadiza, la declaración de algunos expertos en seguridad de que nueve de cada diez violaciones han sido causadas por un error humano es bastante poco informativa.
Lo que es bueno saber es que aproximadamente el 32% de las violaciones de datos confirmadas en el último año han involucrado phishing de un tipo u otro. Naturalmente, este número puede variar según diferentes factores, pero se origina en el Informe de investigaciones de violación de datos de 2019 (DBIR) de Verizon. Según dicho informe, aproximadamente un tercio de todas las violaciones de datos reportadas involucraban phishing de un tipo u otro.
Los informes también indican que, a pesar de las campañas y cursos destinados a crear conciencia sobre el tema, el mundo, en general, no está preparado para tales ataques. Una organización líder de capacitación en ciberciencia señala en su Informe de evaluación comparativa de suplantación de identidad de 2020 que casi el cuarenta por ciento de los usuarios que no se someten a algún tipo de capacitación dedicada a la ciberciencia es probable que sean víctimas de un ataque de suplantación de identidad bien pensado.
Ese es un problema grave cuando se considera el hecho de que la investigación indica que el 84% de las pequeñas y medianas empresas que tienen algo que hacer en línea han informado que han sido blanco de ataques de phishing.
Una encuesta de violación de datos de GDPR realizada en enero de 2020 informó que hubo 160,921 violaciones de datos personales dentro del área económica europea desde el 25 de mayo de 2018 hasta el momento de la encuesta. Las empresas confirmaron que las autoridades de protección de datos manejaron mal los datos de los usuarios y han incurrido en multas GDPR por un total de € 153 millones. A pesar de esto, y la amenaza inminente de una multa que podría alcanzar los 20 millones de euros o el 4% de los ingresos anuales mundiales de la compañía, lo que sea mayor, las empresas aún son reacias a informar las violaciones de datos correctamente, y los expertos en seguridad de TI estiman que cientos de miles de infracciones observadas en las estadísticas GDPR están lejos de ser precisas.
Entonces, ¿qué debe hacer con todo esto?
Los usuarios de Internet deben ser conscientes de los peligros que acechan en línea . Es una buena idea que tanto los usuarios habituales como los proveedores de servicios en línea se mantengan al tanto de las mejores prácticas de la industria de seguridad de TI. Además, las personas deben ser conscientes de que no hay sustituto para una solución de seguridad de TI sólida, y que ir sin una o con una mediocre puede tener consecuencias nefastas.
