Violación de datos

Una violación de datos es un incidente de seguridad durante el cual datos sensibles, protegidos o confidenciales han sido accedidos o expuestos a entidades no autorizadas. Las violaciones de datos ocurren en organizaciones de todos los tamaños, desde escuelas hasta pequeñas empresas y grandes corporaciones. Estos incidentes pueden exponer información protegida o información de salud personal (PHI), información de identificación personal (PII), propiedad intelectual, información clasificada u otros datos confidenciales. 

Algunos tipos de información personal protegida incluyen: 

• Números de licencia de conducir
• Expedientes médicos
• Biometría
• Registros financieros
• Números de seguro social 
• Antecedentes penales

Para las empresas, los datos sensibles también pueden incluir listas de clientes, código fuente, información de tarjetas de crédito y débito, datos de usuarios y otra información confidencial. 

Las violaciones de datos pueden ser causadas por diferentes tipos de ciberataques, como malware, virus, ataques de phishing, ransomware o el robo de dispositivos físicos. Las violaciones de datos también pueden deberse a errores de configuración, vulnerabilidades de seguridad sin parchear, empleados malintencionados u otros tipos de errores internos. Permitir la entrada de personas no autorizadas a un edificio o piso, adjuntar o compartir el documento equivocado, o incluso copiar a la persona equivocada en un correo electrónico, todo ello puede exponer datos y resultar en una violación de datos significativa. 

Muchas industrias, particularmente las de servicios financieros y salud, exigen controles sobre los datos sensibles. Las directrices del sector y las regulaciones gubernamentales cada vez más requieren controles estrictos, reglas de divulgación si ocurre una brecha, y sanciones o multas para las organizaciones que no protejan los datos bajo su cuidado. 

El Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) aplica a las instituciones financieras y a las empresas que manejan información financiera. La Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) regula quién tiene acceso para ver y usar la PHI en la industria de la salud.

El Reglamento General de Protección de Datos (RGPD) de la Unión Europea aumenta el control y los derechos de las personas sobre sus datos personales e incluye la posibilidad de imponer multas significativas a las organizaciones que no cumplan con el reglamento. Otros países también cuentan con regulaciones importantes en materia de protección de datos. Estados Unidos tiene varias leyes a nivel federal y estatal destinadas a proteger los datos personales de los residentes de ese país.

Los impactos negativos para un negocio debido a una filtración de datos incluyen multas; costos relacionados con investigar, mitigar y recuperarse del incidente; pérdida de reputación; litigios; y posiblemente incluso la imposibilidad de operar el negocio.