Inmersos en la era tecnológica, como fenómeno que ha arrastrado a una implacable evolución del Derecho de las Nuevas Tecnologías (con normas como LSSICE y LOPD), sorprende la tibieza con la que las empresas abordan la seria amenaza de las brechas de la información. O al menos, si bien no cabe interpretar escasa concienciación ante el problema, sí se pone de manifiesto cierta cicatería a la hora de implementar medios para gestionar el riesgo de un ciberataque que pudiera ocasionar efectos de cuantiosas pérdidas.
Pero la realidad dice que la casuística de la brecha de datos progresa aceleradamente dentro del tejido empresarial, como atestigua el elevado número de empresas cuya preciada información fue objeto de la voracidad de los profesionales de la ciberdelincuencia. Las consecuencias de sufrir una brecha de datos no se limitan a los efectos estratégicos de la pérdida del control de la información, con la subsiguiente merma de credibilidad y confianza por parte de los clientes, sino que pueden acarrear un considerable dispendio. No en vano, se habla de costes promedio en torno a 4 millones de dólares, en una tendencia al alza de un 30 % interanual.
En el monto de las pérdidas ocasionadas por una brecha tiene gran influencia la cantidad de datos filtrados, guardando ambos parámetros una proporcionalidad directa. Buena prueba de ello la constituye el balance arrojado en 2016, con una media de casi 30 000 registros vulnerados asociados a los anteriormente citados 4 millones de euros, lo que debe ponerse en contraste con casos puntuales en los que la cifra de registros ascendió hasta 50 000, generando pérdidas cercanas a los 7 millones, o con otros cuyas pérdidas no superaron los 2 millones al haberse limitado el percance a la filtración de menos de 10 000 registros.
No obstante, se conocen otros factores que modifican el coste de una violación de la seguridad de la información, complicando las posibilidades de anticipar una cantidad precisa. Algunos de ellos son:
El tipo de datos filtrados en un ciberataque es uno de los factores más influyentes en el lastre económico. Tratándose de direcciones de correo electrónico la merma no sería del calibre que supondría suministrar información altamente sensible como datos confidenciales de clientes, información de medios de pago o datos sanitarios, sin ánimo de agotar el catálogo.
La causa de la violación, que al condicionar el número o tipo de registros vulnerados, influye indirectamente en el coste. Así lo atestigua un reciente estudio, que señala a las violaciones de las organizaciones de terceros como las más onerosas.
Si la clientela renuncia a utilizar los servicios o comprar los productos tras una catarsis de esta índole, la reputación de la empresa podría estar en juego, siendo ya indeterminado el coste que acarrearía.
Es preciso contar con el apoyo de una consultoría de protección de datos que pertreche sólidamente la infraestructura de la empresa y conozca todos los resortes del Derecho de las Nuevas Tecnologías (el Reglamento General de Protección de Datos que ya ha entrado en vigor pero será de aplicación directa a partir de mayo de 2018 introduce la obligatoriedad de notificar las brechas tanto a las autoridades como a los afectados), dado el enorme peligro económico ( y para sus derechos) que entraña ser víctima de una brecha de datos.