Con las brechas de eBay y Target todavía frescas en nuestras mentes, es un buen momento para considerar cómo asimilamos este tipo de incidentes de seguridad de datos: mientras que "brecha" describe lo sucedido en ambos casos, el término lejos se encuentra de capturar la magnitud de cada evento y lo que significó -o aún significa- para ambas organizaciones y los individuos involucrados.
Meses después de que Brian Krebs anunciara que sus sistemas de pago habían sido comprometidos -y con las consecuencias aún acaeciendo- es seguro decir que la violación de los datos de Target ha sido mucho más perjudicial para sus afectados que la brecha más reciente que afectó a eBay. Sin embargo, a pesar de las diferencias en los tipos de datos accedidos y exfiltrados, ambos incidentes fueron retratados ante el público general con la misma idea de gravedad, bajo un enfoque principalmente numérico: 40 millones de clientes en Target y 140 millones de dólares en eBay.
Que ambos incidentes generaran un estado similar de alarma nos dice algo respecto a la comprensión del público sobre los riesgos inherentes a datos personales que logran caer en las manos equivocadas. Las organizaciones deben tener en cuenta que su respuesta a una violación de datos influencia y moldea la reacción del público. El tratamiento genérico de todos los incidentes de seguridad de datos como una "brecha" impulsa el concepto erróneo de que todas las violaciones son creadas de igual manera, perpetúa la tendencia de los medios de comunicación a centrarse en los elementos equivocados, y puede producir en los afectados una respuesta guiada por información inexacta, en el contexto de una violación de seguridad sobrevalorada, o usuarios agobiados por la excesiva cobertura de los medios.
Un usuario promedio que se enfrenta a la palabra "brecha”, sintiendo que ha sido “atacado" -junto con todas las connotaciones negativas-, debe luchar para determinar qué hacer a continuación. Esto lo sitúa en la precaria situación de tener que hacer de inmediato una evaluación de impacto y remediación, algo que toma a analistas de riesgos meses en lograr.
En el caso de eBay, la recuperación implicó un simple cambio de contraseña, mientras que las acciones de remediación para Target derivaron en un proceso complicado, confuso y costoso de presentación de reclamos, sustitución de tarjetas de crédito y seguimiento de actividad crediticia. Aunque las diferencias pueden haber sido evidentes, no fueron comunicadas a los medios de comunicación que cubrieron los acontecimientos, y por lo tanto estas no fueron bien entendidas por el público.
Abordar esta problemática comienza mediante la identificación, clasificación y valoración de los datos con mayor precisión y una mejor comprensión de las consecuencias de su exfiltración a través de un marco de gestión de riesgos empresariales. Es necesario hacer una evaluación completa de todos los tipos de datos por los que la organización es responsable, y luego de cada categoría de datos en función de la probabilidad de riesgo e impacto para los actores afectados. En seguida, establecer planes de contingencia para responder a cada riesgo de manera tal de transmitir la información justa al público para informar medidas apropiadas a tomar.
En conclusión…
Si hay una lección aprendida de lo acontecido, es que debe existir un proceso continuo y transparente de comunicación si se pretende afianzar la confianza del público. Se presentan a continuación algunas formas en que las organizaciones pueden colaborar tanto a nivel interno como con usuarios externos para reducir la probabilidad de generar una percepción errónea:
- Asegurar que el comité de gestión de riesgos incluya representantes del área de marketing y comunicaciones.
- En lugar de mostrar una lista de información afectada, comunicar en detalle el impacto tanto para la organización como para los diferentes afectados.
- Aconsejar formas inmediatas de mitigación o remediación: lo que se está haciendo desde la organización, y lo que el usuario puede hacer.
- Aceptar el hecho de que ninguna brecha puede ser absolutamente prevenida, y comprometerse con los usuarios para discutir las implicancias de esto antes de que ocurra, no después.