La violación de la privacidad del Ministerio de Defensa del Reino Unido revela la seguridad cibernética …

El Departamento de Defensa del Reino Unido no ha protegido la información de identificación personal (PII) de los intérpretes afganos; El incidente muestra cómo las fallas prevenibles de ciberseguridad pueden tener consecuencias devastadoras.

El 20 de septiembre de 2021, se reveló que el Departamento de Defensa (MoD) del Reino Unido había cometido un error fundamental: había enviado las direcciones de correo electrónico de cientos de intérpretes afganos, muchos de los cuales, según los informes, todavía se esconden en Afganistán, en un correo electrónico saliente. Correo agregado.

Hoy se descubrió una segunda violación de datos del Departamento de Defensa que involucra direcciones de correo electrónico de intérpretes afganos, lo que agrava el error.

Esto es más que una mera violación de la privacidad; Las consecuencias incluyen la amenaza potencial para la vida de estas personas y sus familias.

La seguridad de la información como disciplina se enfoca en proteger la confidencialidad, integridad y disponibilidad (CIA) de la información; La ciberseguridad, como subconjunto de la seguridad de la información, se centra en proteger a la CIA de la información digital.

La dirección de correo electrónico de una persona (comercial o personal) se clasifica como Información de identificación personal, o PII, y la mayoría de las organizaciones están obligadas por reglamentación a mantener la PII de forma confidencial. Según los informes, la violación del Departamento de Defensa incluyó direcciones de correo electrónico y, en algunos casos, fotos de personas.

Este incidente es un fuerte recordatorio de que la ciberseguridad no se trata solo de proteger los sistemas informáticos y los datos que no podemos tocar. La seguridad cibernética protege a las personas. El hecho de que el Ministerio de Defensa no proteja la PII de los intérpretes afganos tiene implicaciones que van mucho más allá de una violación de cumplimiento. Si esta información cae en las manos equivocadas (y con 250 destinatarios de correo electrónico que amplían masivamente la capacidad de los actores malintencionados para acceder a ese correo electrónico y actuar sobre su contenido), se pone en riesgo la vida de los intérpretes y sus familias.

Mantener la protección de datos no solo debe ser una «mejor práctica» en las empresas, sino que debe ser una práctica estándar. Los controles de seguridad requieren personas, procesos y tecnología para funcionar con éxito, y descuidar todos los aspectos significa que estos controles pueden volverse ineficaces. La violación de la protección de datos del Departamento de Defensa subraya la importancia de los tres: las personas deben estar capacitadas y capacitadas para comprender no solo qué hacer con la protección de datos, sino también por qué deben hacerlo; Los procesos deben ser sólidos, claros y cumplidos; La tecnología debe ser capaz de identificar errores potenciales e, idealmente, prevenirlos antes de que ocurra el peor de los casos.

La combinación de personas, procesos y tecnología crea controles de seguridad para proteger la confidencialidad de la información confiada a la empresa por un individuo. La estratificación de los controles de seguridad ayuda a las organizaciones no solo a proteger los datos de los que son responsables, sino, en muchos casos, las vidas de las personas cuya PII se guarda.

Las disculpas del Departamento de Defensa son sin duda probables. Sin embargo, una disculpa después de un evento de esta magnitud es demasiado poco, demasiado tarde.

Maxine lidera la investigación de ciberseguridad de Omdia y desarrolla un programa de investigación integral en apoyo de proveedores, proveedores de servicios y clientes empresariales. Trabajando con empresas de diversas industrias en el mundo de la seguridad de la información, Maxine tiene un fuerte … Ver biografía completa

Literatura recomendada:

Más información