Australia se encuentra en medio de una situación crítica en materia de ciberseguridad. Los constantes ataques y violaciones de datos han llevado a que las noticias y los titulares informen sobre brechas de contraseñas, robos de identidad y mal uso de información personal. Según informa ABC News, el año pasado en Australia se produjeron 497 violaciones de datos, la mayoría en los sectores sanitario y financiero, lo que supuso un aumento del 26%.
Tanto en Australia como en España y en resto del mundo, el objetivo de los atacantes es claro: obtener datos sensibles, y cuantos más mejor. Analizar el caso de Australia nos hace reflexionar sobre el aumento mundial de las amenazas, al mismo tiempo que nos hace evaluar la necesidad de proteger de forma estable los datos sensibles.
Las medidas de la Autoridad Australiana de Regulación Prudencial
Empresas como Optus y Medibank sufrieron graves violaciones de seguridad en 2022, lo que recordó a todas las compañías su responsabilidad de proteger y asegurar los datos de sus clientes y la información de identificación personal. Optus comunicó que los ciberdelincuentes accedieron a aproximadamente 9,8 millones de datos confidenciales de clientes, como números de teléfono y direcciones de correo.
Ante este escenario, organismos reguladores como la Autoridad Australiana de Regulación Prudencial (APRA), la Comisión de Valores e Inversiones de Australia (ASIC) y la Oficina del Comisionado de Información de Australia (OAIC) han tomado medidas para exigir a las empresas que notifiquen a los clientes si se ha producido una violación de sus datos.
Esta medida busca ayudar a los clientes a tomar las precauciones necesarias para protegerse de los efectos secundarios de los incidentes de ciberseguridad y prevenir daños mayores. Las empresas que no cumplan con estos requisitos de divulgación obligatoria podrían enfrentar multas significativas si no ejercen la debida diligencia al manejar y asegurar la PII.
El pasado 27 de junio, APRA anunció que se tomaron medidas contra Medibank Private tras un examen de su importante incidente cibernético de octubre de 2022. APRA impondrá un aumento en el requisito de adecuación de capital de Medibank de 250 millones de dólares, lo que refleja las debilidades identificadas en el entorno de seguridad de la información de Medibank. El ajuste de capital, efectivo a partir del 1 de julio de 2023, se aplicará al recargo por riesgo operacional de Medibank en virtud del nuevo Marco de Capital del Seguro Privado de Salud (PHI).
Suzanne Smith, miembro de APRA, dijo que el incidente cibernético de octubre de 2022 que afectó a los clientes de Medibank fue una de las violaciones de datos más importantes jamás experimentadas en Australia. «Al tomar esta acción, APRA busca garantizar que Medibank acelere su programa de remediación», dijo Smith.
Impactos de los incidentes de ciberseguridad
Los incidentes de ciberseguridad tienen impactos directos e indirectos. Entre los impactos directos se encuentran los costos de remediación para restaurar los sistemas y servicios afectados, las pérdidas de productividad debido a interrupciones y los riesgos de multas regulatorias por la falta de medidas de protección adecuadas. Por otro lado, los impactos indirectos incluyen la pérdida de confianza y la disminución de la retención de clientes, lo cual puede afectar negativamente la reputación de la empresa y su crecimiento de ingresos.
Según informa en su artículo Shashi Samar, Partner en Infosys Consulting, un estudio ilustra estos impactos en el incidente ocurrido en Latitude Financial Services, donde se robaron 14 millones de registros de clientes. Esta violación resultó en pérdidas estimadas de más de 100 millones de dólares australianos, sin incluir multas regulatorias adicionales ni costos relacionados con seguros. La confianza de los clientes en la empresa se vio afectada, lo que se tradujo en una posible pérdida de clientes y costos indirectos adicionales.
En un entorno empresarial altamente competitivo, la confianza del cliente se ha convertido en un factor crucial. Los clientes esperan que sus datos y su información personal se manejen de manera segura, y están dispuestos a cambiar de proveedor si sienten que su información está en riesgo. Por lo tanto, las empresas deben invertir en ciberseguridad para proteger los datos sensibles de sus clientes y ganar su confianza. No hacerlo puede resultar en pérdida de clientes y un impacto negativo en el crecimiento de los ingresos.
En este escenario desafiante, es fundamental adoptar enfoques de ciberseguridad más avanzados y seguir fortaleciendo las medidas de protección para mantener la confidencialidad, integridad y disponibilidad de los datos sensibles.