En mayo de 2025, la Oficina del Comisionado de Información de Australia (OAIC) informó de que se le notificaron 1113 filtraciones de datos durante 2024. Estas últimas cifras indican un aumento del 25 % en comparación con las 893 filtraciones de datos notificadas en Australia en 2023. Fue el total anual más alto desde que las notificaciones de filtraciones se hicieron obligatorias en virtud del plan de Notificación de Filtraciones de Datos (NDB) en 2018.
Estas cifras son un claro recordatorio para las organizaciones en Australia y más allá de que deben fortalecer sus medidas de ciberseguridad o correr el riesgo de aparecer en los titulares. Cada vez más empresas confían en un modelo operativo digital, utilizando una variedad de sistemas y aplicaciones para gestionar sus negocios. Hoy en día, no solo el personal de oficina está equipado con ordenadores portátiles y de sobremesa, sino que el personal de hospitales, tiendas, fábricas y entornos industriales, así como el personal en ruta, utiliza tabletas y dispositivos móviles. Esto permite a las empresas recopilar datos y comunicarse con el personal desde cualquier lugar en el que estén trabajando.
El amplio uso de dispositivos móviles y tabletas para que el personal complete las tareas ha agilizado los procesos operativos y proporciona a las empresas una gran cantidad de datos para respaldar la toma de decisiones, pero también ha ampliado la superficie de ataque para los ciberdelincuentes. Un simple error humano, como dejar un dispositivo desbloqueado, puede significar que datos confidenciales caigan en las manos equivocadas y que los sistemas se vean comprometidos.
Si bien las empresas no prescindirían de esos sistemas y dispositivos debido a la eficiencia que aportan, las organizaciones deben estar atentas e implementar medidas para gestionar el riesgo cibernético, resolver los incidentes cibernéticos y cumplir con las regulaciones de privacidad de datos para salvaguardar los sistemas y proteger los datos de la empresa.
¿Qué industrias están experimentando la mayor cantidad de filtraciones de datos?
Según las últimas cifras de la OAIC, los cinco sectores con más filtraciones de datos en Australia incluyeron la atención médica, el gobierno, los servicios financieros, los servicios legales, de contabilidad y de gestión, y el comercio minorista. Estos sectores tienden a contener una gran cantidad de datos personales y, en algunos casos, detalles de pago, lo que los convierte en un objetivo principal para los ciberdelincuentes. Estos también tienden a ser sectores donde la mayoría del personal utilizará algún tipo de dispositivo digital para completar sus tareas, lo que brinda a los ciberdelincuentes más puntos de acceso y aumenta las posibilidades de errores humanos que podrían conducir a filtraciones de datos.
¿Cómo pueden las organizaciones reducir la probabilidad de ciberataques?
Las empresas pueden reducir la probabilidad de que sus sistemas se vean comprometidos a través de ciberataques y filtraciones de datos estableciendo procesos eficaces de gestión de riesgos cibernéticos, implementando procedimientos de gobernanza y controles eficaces, y garantizando una resolución rápida de los incidentes cibernéticos. Aquí hay 5 formas en que las organizaciones pueden reducir la probabilidad de ciberataques.
1. Gestión de riesgos cibernéticos
Para gestionar eficazmente el riesgo cibernético, las empresas deben crear un registro de riesgos cibernéticos y supervisar activamente el riesgo cibernético; esto se gestiona mejor utilizando un software GRC. Cada riesgo cibernético debe registrarse, categorizarse y clasificarse, y deben establecerse indicadores clave de riesgo (KRI). Los niveles de riesgo deben supervisarse periódicamente con respecto a los KRI para detectar niveles de riesgo crecientes. Los niveles de riesgo deben supervisarse a través de evaluaciones de riesgos cibernéticos periódicas y mediante la supervisión de cualquier dato de TI relevante. Si las empresas utilizan un software GRC para gestionar el riesgo cibernético, estas soluciones a menudo pueden integrarse con sus otros sistemas de TI para extraer datos en la plataforma a través de API para realizar un seguimiento de los niveles de riesgo en función de los datos operativos en vivo y las amenazas reales.
2. Controles
Una vez que se identifica la gama completa de riesgos cibernéticos y se supervisan los niveles de riesgo, las empresas deben buscar implementar controles para garantizar que los niveles de riesgo permanezcan dentro del apetito de riesgo deseado. En el caso del riesgo cibernético, un control podría ser una pieza de software para proteger contra malware y ransomware, podría ser un firewall o cifrado, podría ser capacitación del personal o una política de uso de TI, o podría ser una verificación o inspección periódica. Cualesquiera que sean los controles, deberán verificarse y probarse periódicamente para garantizar que sean eficaces para mitigar el riesgo asociado.
Las empresas deben informar periódicamente sobre la exposición al riesgo cibernético y la eficacia del control, y abordar activamente los niveles de riesgo crecientes y los controles fallidos o ineficaces para mantener el riesgo dentro de su apetito de riesgo deseado.
3. Gestión de incidentes cibernéticos
En un modelo operativo en gran medida digital, los incidentes cibernéticos y las filtraciones de datos ocurrirán, y lo que importa es cómo las empresas responden y abordan estos incidentes. Las empresas deben establecer rutas de notificación claras para que el personal registre los incidentes cibernéticos y las filtraciones de datos, y deben definirse rutas de escalamiento claras.
Muchas empresas utilizan las capacidades de gestión de incidentes dentro del software GRC para capturar, escalar y resolver sus incidentes cibernéticos. El personal utiliza formularios en línea para registrar los incidentes y puede cargar fácilmente fotos, pruebas y URL para capturar toda la extensión del incidente. Los incidentes se escalan automáticamente a las partes interesadas relevantes y las acciones de remediación se capturan utilizando flujos de trabajo de gestión de casos hasta que se resuelve el incidente. Las empresas pueden realizar un análisis de la causa raíz para comprender por qué están ocurriendo los incidentes, informar sobre las causas y consecuencias e implementar controles para evitar futuras ocurrencias.
4. Cumplimiento de las normas de privacidad de datos y ciberseguridad
Para garantizar que la organización esté alineada con los protocolos de ciberseguridad modernos, la mayoría de las empresas deben lograr el cumplimiento de una variedad de normas de privacidad de datos y ciberseguridad. Los marcos comúnmente adoptados incluyen ISO 27001, GDPR, CPS 234, NIST, NIS2 y Cyber Essentials, y hay muchos más.
Para garantizar el cumplimiento, las empresas maduras utilizan el software GRC para crear un registro de obligaciones, capturando cada regulación o estándar y sus requisitos. Luego documentan las acciones de cumplimiento tomadas para cumplir con cada requisito. Estas acciones podrían ser una política o un procedimiento operativo, podrían ser una verificación o inspección periódica, o podrían ser software o equipo de seguridad. Capturar estos pasos y procesos vitales ayuda a las empresas a lograr el cumplimiento de cada requisito.
Dado que la mayoría de las empresas deben seguir las mismas regulaciones, muchas plataformas de software GRC ofrecen marcos de cumplimiento listos para usar para ayudar a las empresas a alinear sus procesos con los marcos de ciberseguridad y privacidad de datos ampliamente utilizados, incluidos ISO 27001, GDPR, CPS 234, NIST, NIS2 y más. Estos marcos permiten a las empresas implementar las verificaciones y los controles necesarios para alinear sus procesos con los estándares. Estas herramientas también ofrecen flujos de trabajo para la gestión de cambios regulatorios. Cada regulación se asigna a los procesos, políticas y acciones de cumplimiento relevantes. Por lo tanto, cuando una regulación cambia, las empresas pueden comprender fácilmente qué políticas y procedimientos deberán modificarse, y pueden documentar completamente qué se cambió y cuándo, proporcionando un registro de auditoría completo para los reguladores.
5. Gestión de activos cibernéticos
Para tener una infraestructura de TI segura, las organizaciones deben asegurarse de que su hardware esté actualizado y sus licencias de software estén al día. Esto requiere una gestión eficaz de los activos cibernéticos. Las empresas deben mantener una lista completa de sus activos cibernéticos, lo que les permite supervisar el uso, la antigüedad y las fechas de vencimiento. Esto no solo ayuda a las organizaciones a garantizar que su infraestructura de TI sea lo suficientemente sólida como para satisfacer las demandas modernas, sino que también ayuda a los equipos a presupuestar el reemplazo de equipos antiguos y financiar las renovaciones de licencias.
¿Por qué la gestión del riesgo cibernético debería ser una prioridad?
Aunque las filtraciones de datos están en aumento, hay muchas maneras en que las empresas pueden fortalecer su postura de ciberseguridad. Al gestionar eficazmente el riesgo cibernético y el riesgo tecnológico con los controles relevantes, capturar y resolver los incidentes cibernéticos rápidamente y garantizar el cumplimiento de las regulaciones y normas de privacidad de datos, las empresas pueden reducir significativamente las posibilidades de una filtración de datos.
Al implementar el software GRC y gestionar y mitigar eficazmente el riesgo cibernético, las empresas pueden sentirse seguras de que están haciendo todo lo posible para reducir la probabilidad de una filtración de datos o un ciberataque. Para descubrir cómo el software GRC de Riskonnect puede ayudar a su organización a identificar y mitigar el riesgo cibernético e implementar controles eficaces, solicite una demostración.
