Una violación de datos es una violación de la seguridad, en la que un individuo no autorizado copia, transmite, visualiza, roba o utiliza datos sensibles, protegidos o confidenciales. [1] Otros términos son divulgación de información no intencional , fuga de datos, fuga de información y derrame de datos . Los incidentes van desde ataques concertados de personas que piratean para beneficio personal o con malicia ( sombreros negros ), crimen organizado , activistas políticos o gobiernos nacionales , hasta sistemas de seguridad mal configurados o eliminación descuidada de equipos informáticos usados omedios de almacenamiento de datos . La información filtrada puede abarcar desde asuntos que comprometen la seguridad nacional hasta información sobre acciones que un gobierno o funcionario considera vergonzosas y quiere ocultar. Una violación de datos deliberada por parte de una persona al tanto de la información, generalmente con fines políticos, se describe más a menudo como una "fuga". [2]
Las violaciones de datos pueden involucrar información financiera, como detalles de tarjetas de crédito y débito, datos bancarios, información de salud personal (PHI), información de identificación personal (PII), secretos comerciales de corporaciones o propiedad intelectual . Las violaciones de datos pueden involucrar datos no estructurados vulnerables y sobreexpuestos : archivos, documentos e información confidencial. [3]
Las violaciones de datos pueden ser bastante costosas para las organizaciones con costos directos (remediación, investigación, etc.) y costos indirectos (daños a la reputación, brindar seguridad cibernética a las víctimas de datos comprometidos, etc.).
Según la organización de consumidores sin fines de lucro Privacy Rights Clearinghouse, un total de 227 052 199 registros individuales que contenían información personal confidencial estuvieron involucrados en violaciones de seguridad en los Estados Unidos entre enero de 2005 y mayo de 2008, excluyendo incidentes en los que aparentemente la información confidencial no estuvo realmente expuesta. [4]
Muchas jurisdicciones han aprobado leyes de notificación de violaciones de datos , que exigen que una empresa que ha sido objeto de una violación de datos informe a los clientes y tome otras medidas para remediar posibles daños.
Una violación de datos puede incluir incidentes como el robo o la pérdida de medios digitales , como cintas de computadora , discos duros o computadoras portátiles con información no cifrada , la publicación de dicha información en la red mundial sin las precauciones de seguridad de la información adecuadas , la transferencia de dicha información a un sistema que no es completamente abierto pero no está debidamente o formalmente acreditado para la seguridad, como el correo electrónico sin cifrar , o la transferencia de dicha información a los sistemas de informaciónde una agencia posiblemente hostil, como una corporación competidora o una nación extranjera, donde puede estar expuesta a técnicas de descifrado más intensivas. [5]