El nuevo esquema de violación de datos de Australia podría costarle a su empresa 2 millones de dólares.

El nuevo sistema de notificación de violaciones de datos de Australia lleva varios meses en funcionamiento. El plan exige a las empresas -así como a los organismos públicos y a las organizaciones sin ánimo de lucro- que manejan información personal y facturan más de 3 millones de dólares al año que notifiquen a las personas afectadas por violaciones graves de datos.

También deben informar a la Oficina del Comisionado de Información de Australia (OAIC). El incumplimiento de sus obligaciones puede costar a las empresas hasta 2,1 millones de dólares en multas.

El informe estadístico trimestral sobre las violaciones de datos notificables de abril a junio de 2018 reveló que las organizaciones habían notificado al OAIC 242 violaciones, de las cuales el 59% se debieron a ataques maliciosos o delictivos. Otro 36% se debió a un error humano, mientras que solo el 5% fue causado por fallas del sistema. Mientras que el 89% de las violaciones de datos comprometían la información de contacto, un preocupante 42% afectaba a datos financieros, el 39% a información de identidad y el 25% a datos sanitarios.

El error humano más común fue el envío de un correo electrónico a la persona equivocada, seguido de la divulgación o publicación involuntaria de información personal. Sin embargo, el OAIC observó que las violaciones de datos relacionadas con la pérdida de dispositivos de almacenamiento afectaron al mayor número de personas, con una media de 1.199 personas afectadas por violación.

El Centro Australiano de Ciberseguridad (ACSC) descubrió que al menos el 77% de los incidentes cibernéticos del trimestre se produjeron por el robo de credenciales, como nombres de usuario y contraseñas.

Puede obtener más información en la OAIC y la ACSC.

Así pues, ¿qué lecciones pueden extraer las pequeñas empresas del lanzamiento del plan y del informe de abril-junio? La clave está en contratar o crear internamente capacidades de seguridad para cumplir los requisitos del plan de notificación de violaciones de datos. La segunda es implantar sistemas, políticas y procesos de seguridad sólidos para minimizar el riesgo de violación de datos.

Es importante destacar que no se trata de un ejercicio de "fijar y olvidar": estos sistemas, políticas y procesos deben actualizarse periódicamente para combatir las nuevas amenazas y garantizar que los trabajadores y los directivos sigan siendo conscientes de sus obligaciones. Hable con Roger y su equipo de expertos hoy mismo en el teléfono +61 2 9409 7000 para saber más sobre la protección de su empresa.