¿Recuerda cuando 40 millones era un gran número? Cuarenta millones de dólares en ventas, 40 millones de clientes, 40 millones de seguidores en Twitter, 40 millones de manifestantes, todos transmitieron alguna vez algo sustancial.

Si solo fuera así para las filtraciones de datos.

Como académico que ha estudiado la gobernanza de datos durante los últimos 20 años y ha trabajado con cientos de juntas directivas y miles de directores y ejecutivos, Estoy consternado y preocupado de que el alcance y la gravedad de las violaciones de datos sigan creciendo sin cesar.

Crecientes infracciones

En 2011, los piratas informáticos atacaron RSA Security, una empresa de seguridad de redes, robó 40 millones de registros de tokens de seguridad (dispositivos físicos utilizados para iniciar sesión en las redes). Dos años después, otros 40 millones de registros que contenían contraseñas de clientes e información personal fueron robados de la empresa de software Adobe.

En el momento, los consumidores parecían sorprendidos por el tamaño de estas brechas y, al menos temporalmente, perdieron la confianza en estas organizaciones. Se solicitó controles más estrictos y sanciones más severas.

Desde entonces, Las violaciones de datos y el robo han aumentado tanto en tamaño como en frecuencia. Los piratas informáticos violaron Sony y robaron 77 millones de registros en 2011. Hicieron lo mismo con Target Corporation por 110 millones de registros en 2013, eBay por 145 millones de registros en 2014, Equifax por 143 millones de registros en 2017, y Marriott International por 500 millones de registros en 2018; hubo muchos otros.

Todos estos fueron eclipsados ​​por los tres mil millones de registros comprometidos en una colosal violación de Yahoo Inc. Cuando la compañía reveló inicialmente la violación en 2013, dijo que había afectado solo mil millones de registros. Reveló el número real en 2017.

Esta es una era de grandes filtraciones de datos. La disponibilidad general y la capacidad de recopilación de datos. y la disposición a menudo pasiva de los consumidores de compartir su información personal ha llevado a un aumento en la velocidad, la visibilidad y la inmensidad de las infracciones aumentan a un ritmo alarmante.

Reacciones del gobierno

El Congreso aprobó la Ley Sarbanes-Oxley en 2002, en reacción al comportamiento atroz y fraudulento a gran escala de empresas como Enron, WorldCom, Tyco, Adelphia y sus auditores cómplices (en particular Arthur Andersen en el caso de Enron).

Entre sus muchas disposiciones, Sarbanes-Oxley obliga a los accionistas de una empresa a elegir auditores externos que reporten directamente a la junta directiva de la organización en lugar de a la gerencia. La ley penaliza la falsificación de estados financieros, y obliga al director ejecutivo ya los directores financieros a certificar trimestralmente que los estados financieros de la organización cumplen con los requisitos.

Sarbanes-Oxley marcó el comienzo de una nueva era de gobierno corporativo, con los directorios y la gerencia bajo un escrutinio cada vez mayor.

El punto de inflexión de la ciberseguridad

Creo que la ciberseguridad ha llegado a su momento Sarbanes-Oxley. Norton, la empresa de seguridad de Internet, publicó un informe de mitad de año de 2019 que indica que ha habido 3, 800 infracciones denunciadas públicamente, exponiendo 4.100 millones de registros hasta el momento, un aumento del 54 por ciento con respecto a 2018.

Estas infracciones no tenían en cuenta la geografía o el sector, golpeando los servicios financieros, entretenimiento, cuidado de la salud y gobierno. Han incluido información personal y registros de atención médica de las personas; alarmantemente, todas estas infracciones fueron perpetradas por delincuentes que aún no han sido identificados.

En mi opinión, las respuestas de la empresa siguen siendo inadecuadas, e infracciones evitables. Los legisladores han comenzado a llenar este vacío de supervisión.

El Parlamento de la Unión Europea fue uno de los primeros en llenar el vacío cuando promulgó su Reglamento General de Protección de Datos (GDPR) en 2016, que entró en vigor el 25 de mayo, 2018. El RGPD se aplica a todas las personas que residen en la UE, y prevé multas estrictas (20 millones de euros o el cuatro por ciento de la facturación anual mundial de la organización del año anterior, el que sea mayor) en caso de violaciones de la privacidad. La UE ha sido agresiva en su aplicación, imponiendo más de 100 multas hasta el momento.

La Comisión de Bolsa y Valores de EE. UU. (SEC) aprobó por unanimidad la emisión de obligaciones de divulgación para incidentes cibernéticos a principios de 2018. En Canadá, el gobierno federal ha comenzado a modificar su Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA), para definir cuándo se debe divulgar públicamente una violación de la privacidad y los requisitos de divulgación.

La iniciativa más reciente también es quizás la más estricta. La Ley de Privacidad del Consumidor de California (CCPA), que entrará en vigor el 1 de enero de 2020, se aplica a cualquier organización en California que reciba o divulgue información personal o que obtenga el 50 por ciento o más de sus ingresos de la venta de información personal.

Propiedad de los datos

La CCPA multará a las organizaciones y proporcionará pagos a aquellos que se vean afectados por violaciones de datos. Pero el principio más revolucionario de la CCPA es afirmar que los consumidores son dueños de sus datos, ya sea que se revele voluntariamente o no, y puede optar por no divulgarlo sin discriminación.

En otras palabras, un consumidor puede optar por evitar que Facebook recopile información sobre su comportamiento en línea sin que se le impida utilizar las funciones de Facebook. El impacto en Facebook y empresas similares podría ser catastrófico, ya que la mayoría de sus ingresos se derivan de la publicidad.

Entonces, ¿Qué puede hacer una organización? Primero y ante todo, la junta directiva o el organismo de supervisión debe tener la privacidad y la ciberseguridad en su radar y discutirlo en cada reunión. La ciberseguridad y la privacidad deben incluirse en la planificación de riesgos de la empresa y monitorearse activamente.

Los directores no solo deben estar familiarizados con los problemas de cumplimiento normativo, sino también de los datos que posee la organización, procesos y, más importante, pasa. La protección de los activos de datos de la organización se convierte en un proceso mucho más transparente y priorizado. Como resultado, se confiere un doble beneficio, para proteger la información del cliente que es de valor para la organización también tiene el efecto de proteger a las personas. Se produce un círculo virtuoso.

Una brecha reciente en Desjardins Group, una cooperativa canadiense de cooperativas de ahorro y crédito, proporciona un plan de respuesta ejemplar. La brecha fue pequeña según los estándares globales:4,2 millones de registros, pero casi todos los clientes individuales y comerciales de la empresa.

Guy Cormier, el presidente y director ejecutivo de Desjardins, anunció la infracción poco después de que el banco la confirmara, y proporcionó a los clientes tres medidas correctivas:protección contra el robo de identidad por hasta cinco años; apoyo individual de Desjardins para acompañar a los clientes a través de cualquier proceso para restablecer sus identidades electrónicas, incluida la indemnización por cualquier pérdida financiera; y hasta $ 50, 000 por cliente para compensar los gastos legales o contables incurridos como resultado del incumplimiento.

Este compromiso activo de las partes interesadas, además de accionistas y clientes, subraya un compromiso auténtico.

Sarbanes-Oxley se ha convertido en el estándar para prácticas sólidas de gobierno. El GDPR, PIPEDA, Las directrices de la CCPA y la SEC anuncian colectivamente una nueva era en la privacidad y protección de los datos.

A falta de tomar la iniciativa, las organizaciones se encontrarán bajo una legislación cada vez más estricta y un escrutinio concomitante. La elección es dura, pero simple:comience a tomarse en serio la privacidad de los datos, o que se lo imponga. La ciberseguridad ha llegado a su momento Sarbanes-Oxley.

Este artículo se ha vuelto a publicar de The Conversation con una licencia de Creative Commons. Lea el artículo original.