Pocas veces ha pasado una semana en 2017 sin que los medios informen sobre otra amenaza a la ciberseguridad. Una de las últimas incorporaciones a la lista fue Uber, que apenas en noviembre pasado admitió que la información personal de 57 millones de sus clientes se vio comprometida y escondida por la empresa durante más de 12 meses.

Si las empresas no estaban prestando atención a la ciberseguridad, este último ataque debe ser una señal de advertencia para todas las organizaciones.

Uber no es una compañía heredada que lucha con la tecnología. Es una marca sinónimo de la era digital. Que puedan haber robado su información pone de relieve que todas las empresas se enfrentan a la misma amenaza, y que la continua vulnerabilidad de ciberseguridad no se está tomando con la suficiente seriedad.

Nadie está sugiriendo que es culpa de Uber que fue el objetivo de los piratas informáticos. Le puede ocurrir a toda compañía, de cualquier tamaño, en todos los sectores; de hecho, el 90% de todas las compañías que cotizan en ASX han experimentado una brecha de algún tipo.

El cibercrimen es un negocio en auge y lucrativo, cada vez más ayudado por las mismas herramientas tecnológicas utilizadas en muchos negocios importantes. Más de 700 empresas del sector privado de “interés nacional” se vieron afectadas el año pasado y, según estimaciones de gobiernos como el australiano, se estima que el cibercrimen le cuesta a la economía nacional hasta 17 mil millones al año. Para las empresas, ya no se trata de si su información está comprometida, sino cuándo.

Infracciones de datos, una lección para todos

Esta es una nueva realidad de las empresas en la era digital. Y con este telón de fondo, dejar datos sin cifrar es un acto negligente. Queda por ver si esto se convierte en una realidad legal, pero ciertamente es el caso a los ojos de los clientes, como se ve por la reacción a la admisión de Uber.

Los consumidores cada vez hacen más preguntas sobre cómo las empresas protegen sus datos y si están haciendo lo suficiente. Es un acuerdo tácito: “Si le doy acceso a mi información personal, espero que usted se encargue de eso”.

La brecha de Uber es una prueba de que almacenar datos de forma segura no es suficiente: debe protegerse de manera que la haga inutilizable, incluso si un hacker puede encontrarla. El cifrado de información confidencial debe ser no negociable.

En algunas organizaciones, este ya es el caso, pero es demasiado raro dada la importancia de la amenaza. Nuestro reciente Australian Encryption Trends Study descubrió que la barrera clave para el cifrado para el 55% de las organizaciones australianas es encontrar dónde residen estos datos.

Es particularmente problemático para las empresas que no han dedicado tiempo a inventariar y priorizar sus datos, dejando vulnerabilidades críticas en el negocio. Esto es especialmente preocupante dado que las amenazas más importantes para la exposición de datos confidenciales o confidenciales son, por lejos, errores de los empleados, según el 80% de los encuestados en el estudio.

La necesidad de abordar esto será aprovechada por el gobierno interviniendo para garantizar el cumplimiento del esquema nacional de violación de datos (NDB). Su efecto será evitar que las empresas se comporten como lo hizo Uber después de la violación de datos y esconderlo de los consumidores afectados. En cambio, las brechas cibernéticas serán públicas, muy rápidamente.

Esto significa que ya no es el momento de la complacencia. Desde un punto de vista reputacional, financiero y de deber de cuidado, es importante que las empresas busquen superar, no sólo cumplir, los estándares mínimos con un sólido sistema de encriptación de datos.

Conducir esto es un cambio en la propiedad para el cumplimiento de datos, ya que los líderes senior se dan cuenta del impacto en sus negocios de no lograr la seguridad de los datos correctamente. Nuestra investigación descubrió que la influencia del departamento de TI sobre la estrategia de cifrado se ha reducido a más de la mitad en los últimos cinco años del 59% al 28.

Al mismo tiempo, la influencia de los líderes de las unidades de negocios ha aumentado al 27%. Significa que la responsabilidad de la seguridad de los datos finalmente se está trasladando del departamento de TI a la sala de juntas. Thales cree que esto es algo bueno y un paso positivo en la dirección correcta.

Como hemos visto en los últimos años, las apuestas cibernéticas son más altas que nunca, y cada vez son más grandes. Y con tantas compañías mal preparadas para amenazas de datos, ya sea por un error inocente dentro de la organización o por terceros malintencionados, la responsabilidad debe situarse a nivel directivo si las actitudes sobre la seguridad de los datos en los negocios van a cambiar. Las agujas se mueven en esta área, pero aún queda mucho por hacer.

Uber no es la primera o la última empresa en experimentar una violación de datos. Pero si las empresas quieren evitar ser las próximas en los titulares, ya no pueden quedarse sentadas y ver cómo se desarrolla la noticia. Más bien, necesitan aprender de ese error.

Por Kelly Taylor, Country Manager de Thales eSecurity en Australia y Nueva Zelanda.