El 20 de septiembre de 2021, salió a la luz que el Ministerio de Defensa (MoD) del Reino Unido había cometido un error básico: había incluido las direcciones de correo electrónico de cientos de intérpretes afganos, muchos según los informes todavía escondidos en Afganistán, dentro de un correo electrónico saliente. .

Hoy mismo, se descubrió una segunda violación de datos del Ministerio de Defensa que involucraba direcciones de correo electrónico de intérpretes afganos, lo que agravó el error.

Esto es más que una simple violación de la privacidad de los datos; las ramificaciones incluyen poner en peligro la vida de estas personas y sus familias.

La seguridad de la información, como disciplina, se enfoca en proteger la confidencialidad, integridad y disponibilidad (CIA) de la información; La ciberseguridad, como un subconjunto de la seguridad de la información, se centra en proteger a la CIA de la información digital.

La dirección de correo electrónico de un individuo (comercial o personal) se clasifica como información de identificación personal, o PII, y la mayoría de las organizaciones están obligadas por regulaciones a mantener la PII confidencial. En la violación de seguridad del Ministerio de Defensa, se incluyeron direcciones de correo electrónico y, en algunos casos, fotografías de personas.

Este incidente es un claro recordatorio de que la ciberseguridad no se trata solo de proteger los sistemas informáticos y los datos que no podemos tocar. La ciberseguridad protege a las personas. El hecho de que el Ministerio de Defensa no proteja la PII de los intérpretes afganos tiene implicaciones que van mucho más allá de una violación de cumplimiento. Si esa información llega a las manos equivocadas (y tener 250 destinatarios de correo electrónico amplía enormemente la oportunidad de que los actores malintencionados accedan a este correo electrónico y actúen sobre su contenido), existe la posibilidad de que las vidas de los intérpretes y sus familias corran peligro.

Mantener la privacidad de los datos no debe ser simplemente una «mejor práctica» en las organizaciones, debe ser una práctica estándar. Los controles de seguridad requieren que las personas, los procesos y la tecnología funcionen con éxito, y descuidar cualquier aspecto de esto significa que estos controles pueden volverse ineficaces. La violación de datos del Ministerio de Defensa destaca la importancia de los tres: las personas deben estar capacitadas y educadas para comprender no solo lo que deben hacer cuando se trata de la privacidad de los datos, sino también por qué deben hacerlo; los procesos deben ser sólidos, claros y cumplidos; la tecnología debe ser capaz de identificar errores potenciales e idealmente prevenirlos antes de que ocurra el peor de los casos.

La combinación de personas, procesos y tecnología crea controles de seguridad para proteger la confidencialidad de la información que un individuo confía a la organización. Los controles de seguridad en capas ayudan a las organizaciones no solo a proteger los datos de los que son responsables, sino que, en muchos casos, también ayudan a proteger las vidas de las personas cuya PII se guarda.

Las disculpas del Ministerio de Defensa son sin duda probables. Sin embargo, disculparse después de un evento de esta magnitud es poco, demasiado tarde.

Author

Write A Comment