Capital One: 10 lecciones que nos deja el incidente de vulneración de datos

-
El incidente pudo haber sido evitado
Este incidente es el más reciente de una serie de vulneraciones de datos de alto perfil y alto impacto. En este caso, el hacker obtuvo acceso ilegal a información de usuarios de Capital One -que en su mayor parte no estaba cifrada- al explotar un firewall de aplicación web mal configurado. Año tras año, nuestro análisis muestra que más del 90% de las vulneraciones de datos se pueden prevenir: en 2018 esta proporción fue del 95%.El Informe de Tendencias de Vulneraciones e Incidentes Cibernéticos recientemente publicado ofrece orientación sobre lo que las organizaciones pueden hacer para proteger los datos. Proporciona una lista de verificación de los principios básicos de preparación que las organizaciones deben adoptar para proteger los datos del usuario. 
Sebastián Bellagamba, Director para América Latina y el Caribe de Internet Society, opina:
“Este es un recordatorio grave de que las empresas que poseen datos personales y confidenciales deben estar más atentas. La responsabilidad de una buena administración de datos recae en todos los miembros de una organización, no solo en el equipo ejecutivo o en el de seguridad de TI.” 
En este sentido, el incidente deja 10 lecciones que deberían tener en cuenta las organizaciones que recolectan, tratan y almacenan datos personales de sus usuarios:
  1. La responsabilidad por la protección y preparación de incidentes es de toda la organización.
  2. Los datos son el activo más valioso de una organización. Identifique los datos que tiene, dónde están, por qué y cómo los usa, así como los riesgos potenciales para su organización y las personas en caso de que se acceda de forma inapropiada a tales datos o estos se mantengan como rehenes, se publiquen o se borren.
  3. En relación a los datos que tengan un propósito comercial, recopílelos y consérvelos solo durante el tiempo que sea necesario. Los delincuentes no pueden robar ni retener datos que usted no tiene, por lo que dicha minimización puede convertirse en un requisito regulatorio para su organización
  4. El nivel de seguridad que aplique debe ser acorde con el nivel de sensibilidad de los datos almacenados. La seguridad establecida debe reflejar el riesgo de daños a los consumidores y a la organización en caso de que se acceda de manera inapropiada a esa información.
  5. La protección involucra no solo el incidente específico (pérdida de datos, rescate pagado), sino también los costos de la interrupción del negocio. Esto incluye datos bloqueados, interrupciones de la red y del sistema y toma de control de dispositivos.
  6. Tenga un plan para reducir el impacto de un ataque. Un plan de incidentes debe incorporar capacitación para ayudar a prevenir, detectar, mitigar, responder y recuperarse. Al igual que los especialistas, los empleados deben estar regularmente capacitados y equipados para lidiar con una pérdida de datos u otro incidente cibernético.
  7. La seguridad y la privacidad no son absolutas y deben evolucionar. Las organizaciones deben revisar periódicamente sus procedimientos de recopilación, almacenamiento, uso, administración y seguridad de todos los datos (junto con la revisión de tecnologías cambiantes, mejores prácticas y regulaciones).
  8. La seguridad está más allá de los escritorios, redes y muros de la organización. Los servicios en la nube, los procesadores de terceros y los socios comerciales externos amplían el panorama de los ataques. Realice una evaluación de riesgos antes de las alianzas o acuerdos de servicio y vuelva a evaluar periódicamente.
  9. Los dispositivos conectados introducen nuevos niveles de riesgo. La evaluación continua de riesgos de todos los dispositivos de IoT y el desarrollo y la aplicación de una política de empleados para conectar dispositivos a la red corporativa es fundamental, ya que un solo dispositivo conectado puede introducir amenazas en toda la red.
  10. Genere confianza a través de la transparencia. En caso de incidente, mantenga la comunicación clara. Ya sea que se comunique con los clientes, los miembros de la junta directiva o las autoridades de protección de datos, mantener a los interesados ​​importantes informados temprano con actualizaciones periódicas es una parte fundamental para mantener la confianza.

Entradas populares de este blog

G Suite de Google Cloud ahora disponible con IONOS

-
Imagen
IONOS, líder europeo en alojamiento web y cloud computing, comparte las principales novedades en sus servicios.
G Suite de Google Cloud ahora disponible a precio de lanzamiento
G Suite, la solución de oficina flexible, está ahora disponible con IONOS. G Suite, en colaboración con IONOS, no sólo incluye todas las aplicaciones de Google online en una ubicación central, sino que también ofrece la posibilidad de utilizar Gmail con un dominio de IONOS - el dominio está disponible de forma gratuita el primer año. Además, los clientes de IONOS disponen de un asesor personal con el que se puede contactar directamente a través de una extensión. Como oferta de bienvenida, los usuarios se benefician de G Suite Basic (también como paquete para 5 equipos) a mitad de precio durante un tiempo limitado. Puede encontrar más información aquí
Private Cloud Muchas empresas medianas están subcontratando actualmente sus cargas de trabajo desde sus propios centros de datos a una nube híbrida. Para responder a e…
Leer más

‘Data Science’ y la experiencia de los clientes

-
Imagen
Creando nuevas posibilidades para las ventas y el marketingPor Rubén Belluomo, Gerente Comercial de Infor para el Cono Sur La ciencia de los datos abre la puerta a una cantidad enorme de posibilidades en la gestión de la experiencia del cliente. La Data Science, traducida como “ciencia de los datos”, juega un rol cada vez más importante en todas las áreas del ciclo de vida de la gestión de la relación con los clientes, pero una gran cantidad de empresas todavía tiene que hacer que esta tecnología de avanzada sea parte de sus herramientas de marketing. Una de las principales razones es la falta de visibilidad de sus beneficios para relacionarse mejor con los clientes, y además la imposibilidad de poder cuantificar las mejoras potenciales. Para entender mejor cómo puede la ciencia de los datos hacer más efectivas las acciones de ventas y marketing, ayuda a pensar en una de las principales responsabilidades de estos grupos: la adquisición de nuevos clientes.  Tantos datos de los clientes y t…
Leer más

El freelancer gana cada vez más terreno en el mercado laboral latinoamericano: mitos y verdades del trabajo remoto

-
Imagen
Descarga el pdf Las plataformas digitales son parte fundamental en el futuro del trabajo y vienen promoviendo una nueva forma de realizarlo en el mercado laboral latinoamericano, diferente a los modelos de negocios tradicionales que conocíamos hasta hace unos años. En este contexto dinámico del trabajo, estos profesionales llevan adelante sus tareas desde cualquier lugar y momento, eligiendo los proyectos que desean hacer.  Las grandes empresas no contratan trabajadores remotos (Mito) En América Latina, las habilidades que más buscan las empresas son las relacionadas a la programación informática. En México, Colombia, Argentina y Chile lo que más se solicita en las búsquedas laborales son personas que sepan de Personal Home Page Hypertext Preprocessor, o simplemente PHP. Para poder acceder a estas nuevas formas de trabajo existen plataformas que sirven como mediador entre los profesionales y las empresas. Workana, marketplace líder en la contratación de trabajadores independientes en Lati…
Leer más