Más de la mitad de los fallos de seguridad en el sector público de UK se han debido a un error humano

Un nuevo informe ha revelado que más de la mitad de las pérdidas de datos en el sector público del Reino Unido han sido causados por un error humano.

El estudio ha sido realizado por Govnewsdirect, y ha concluido que el 55% de todas las brechas de seguridad han sido causadas por alguien que estaba autorizado para acceder a los sistemas. Contrariamente a lo que solemos pensar, el robo o la exposición de datos no se han debido a hackers o intrusiones, sino a accidentes, a sucesos fortuitos o a descuidos de los responsables de sistemas.

El estudio se ha realizado tras entrevistar a 600 responsables del sector público del Reino Unido a finales del año pasado. Un 68% pertenecían a autoridades locales, sanidad y educación; un 28% de ellos pertenecían a alta dirección, y un 20% pertenecían al sector IT o de tecnologías dentro del entorno público. Casi dos terceras partes de todos ellos (un 65%) admitían estar seriamente preocupados acerca de la seguridad de sus datos debidos a “errores del personal” o “simples pérdidas de datos”. Sorprendentemente, lo que menos les preocupa en el Reino Unido es la pérdida de servicio debidos a  ataques de hackers u otros agentes externos.

¿Cuándo se tomarán medidas? ¿Cuando se produzca algún suceso crítico? No. En Reino Unido al igual que en España, la cosa cambiará cuando haya multas. La escala de las multas que se considera, para los casos más graves de violación de los datos o la mala administración, son tan significativos que obligarán a cambiar la protección de datos para que deje de ser una cuestión de TI para convertirse en una preocupación también para los directores. A pesar de que las multas pueden ser sustanciales, serán pequeñas en comparación con la pérdida de la reputación de la organización.

El problema está en las personas (es muy difícil que toda la organización esté concienciada y esté instruida en cómo gestionar adecuadamente la seguridad), pero también está en los sistemas con los que estas personas trabajan. Esta misma semana, el gobierno federal de los EE.UU reconocía que sus agencias gubernamentales prácticamente están en pañales en materia de ciberseguridad. La razón principal es que sus agencias han establecido unas listas muy vagas de requisitos de seguridad, por haber sido creadas por los legisladores que desconocían el alcance de dichas medidas, y no han tenido en cuenta los riesgos de esta laxitud. El año pasado por ejemplo, la Oficina Federal de Administración de Personal, una división de los recursos humanos del gobierno estadounidense, divulgó una violación de datos que reveló información sobre unos 22 millones de personas que habían trabajado para el gobierno. La información robada se remonta a décadas atrás, e incluyó datos de huellas dactilares de casi seis millones de personas. La investigación posterior rastreó la brecha hasta llegar al origen: un grupo de hackers con sede en China.

La seguridad quizá sea la mayor amenaza para un sector como el público, históricamente lento de reflejos. ¿Qué hacer cuando la amenaza avanza a pasos agigantados sofisticando cada vez más sus técnicas, ante un sector lento en la legislación, lento en el aprendizaje, y lento en la legislación y en la reacción?

Vía PublicTechnology

Anuncios