El incidente de Capital One pudo haber sido evitado

El incidente de Capital One pudo haber sido evitado
Los datos son el activo más valioso de una organización.

Internet Society y Sophos analizaron este caso.

Este incidente es el más reciente de una serie de vulneraciones de datos de alto perfil e impacto. En este caso, el hacker obtuvo acceso ilegal a información de usuarios de Capital One -que en su mayor parte no estaba cifrada- al explotar un firewall de aplicación Web mal configurado. Año tras año, nuestro análisis muestra que más del 90% de las vulneraciones de datos se pueden prevenir: en 2018 esta proporción fue del 95%.

El informe de tendencias de vulneraciones e incidentes cibernéticos recientemente publicado ofrece orientación sobre lo que las organizaciones pueden hacer para proteger los datos. Proporciona una lista de verificación de los principios básicos de preparación que las organizaciones deben adoptar para proteger los datos del usuario.

Sebastián Bellagamba, director para América Latina y El Caribe de Internet Society, opinó: “este es un recordatorio grave de que las empresas que poseen datos personales y confidenciales deben estar más atentas. La responsabilidad de una buena administración de datos recae en todos los miembros de una organización, no solo en el equipo ejecutivo o en el de seguridad de TI”.

Chet Wisniewski, científico investigador principal de la compañía de ciberseguridad Sophos, analizó la necesidad de controles de acceso y encriptación como un paso crítico para salvaguardar el suministro cadena.

Por lo que sabemos en este momento, la pérdida de información del consumidor en Capital One es otro ejemplo de una tendencia en los incidentes de pérdida de datos que se están volviendo cada vez más comunes, especialmente en los últimos meses. La seguridad de la cadena de suministro es un componente crítico para la seguridad de la información y, a medida que las organizaciones adoptan la tecnología de la nube, necesitan comprender y abordar los riesgos inherentes a la información almacenada allí. Asegurar cada aspecto de la cadena de suministro nunca ha sido más importante, y eso no solo incluye los componentes físicos y de software de los sistemas de información, sino también el personal y el personal de quienes le brindan los servicios necesarios para entregar su producto”, indicó.

El viejo adagio sobre la seguridad de no confiar en nadie es cierto y la protección de la información confidencial que se le ha confiado se aplica si esos datos se almacenan en su propio equipo informático o en el de otra persona. El cifrado y el control de acceso son esenciales independientemente de dónde, y especialmente si está almacenando datos comerciales confidenciales”, concluyó Wisniewski.

En este sentido, el incidente deja 10 lecciones que deberían tener en cuenta las organizaciones que colectan, tratan y almacenan datos personales de sus usuarios:

  1. La responsabilidad por la protección y preparación de incidentes es de toda la organización.
  2. Los datos son el activo más valioso de una organización. Identifique los datos que tiene, dónde están, por qué y cómo los usa, así como los riesgos potenciales para su organización y las personas en caso de que se acceda de forma inapropiada a tales datos o estos se mantengan como rehenes, se publiquen o se borren.
  3. En relación con los datos que tengan un propósito comercial, recopílelos y consérvelos sólo durante el tiempo que sea necesario. Los delincuentes no pueden robar ni retener datos que usted no tiene, por lo que dicha minimización puede convertirse en un requisito regulatorio para su organización.
  4. El nivel de seguridad que aplique debe ser acorde con el nivel de sensibilidad de los datos almacenados. La seguridad establecida debe reflejar el riesgo de daños a los consumidores y a la organización en caso de que se acceda de manera inapropiada a esa información.
  5. La protección involucra no solo el incidente específico (pérdida de datos, rescate pagado), sino también los costos de la interrupción del negocio. Esto incluye datos bloqueados, interrupciones de la red y del sistema y toma de control de dispositivos.
  6. Tenga un plan para reducir el impacto de un ataque. Un plan de incidentes debe incorporar capacitación para ayudar a prevenir, detectar, mitigar, responder y recuperarse. Al igual que los especialistas, los empleados deben estar regularmente capacitados y equipados para lidiar con una pérdida de datos u otro incidente cibernético.
  7. La seguridad y la privacidad no son absolutas y deben evolucionar. Las organizaciones deben revisar periódicamente sus procedimientos de recopilación, almacenamiento, uso, administración y seguridad de todos los datos (junto con la revisión de tecnologías cambiantes, mejores prácticas y regulaciones).
  8. La seguridad está más allá de los escritorios, redes y muros de la organización. Los servicios en la nube, los procesadores de terceros y los socios comerciales externos amplían el panorama de los ataques. Realice una evaluación de riesgos antes de las alianzas o acuerdos de servicio y vuelva a evaluar periódicamente.
  9. Los dispositivos conectados introducen nuevos niveles de riesgo. La evaluación continua de riesgos de todos los dispositivos de IoT y el desarrollo y la aplicación de una política de empleados para conectar dispositivos a la red corporativa es fundamental, ya que un solo dispositivo conectado puede introducir amenazas en toda la red.
  10. Genere confianza a través de la transparencia. En caso de incidente, mantenga la comunicación clara. Ya sea que se comunique con los clientes, los miembros de la junta directiva o las autoridades de protección de datos. Mantener a los interesados informados temprano con actualizaciones periódicas es una parte fundamental para mantener la confianza.
Print Friendly, PDF & Email

Ultimas Noticias

Deje su comentario

Su dirección de correo no será publicada. Los campos obligatorios están marcados con *

Cancelar respuesta

+ Leídas

+ Comentadas


Videos Destacados


Estudio de Cisco reveló una división entre el valor de IoT y la confianza

Los negocios necesitan enfocarse en asuntos relacionados a la confianza de los consumidores para a su vez incrementar la credibilidad...

Cerrar