Capital One: 10 lecciones que nos deja el incidente de vulneración de datos

-
El incidente pudo haber sido evitado
Este incidente es el más reciente de una serie de vulneraciones de datos de alto perfil y alto impacto. En este caso, el hacker obtuvo acceso ilegal a información de usuarios de Capital One -que en su mayor parte no estaba cifrada- al explotar un firewall de aplicación web mal configurado. Año tras año, nuestro análisis muestra que más del 90% de las vulneraciones de datos se pueden prevenir: en 2018 esta proporción fue del 95%.El Informe de Tendencias de Vulneraciones e Incidentes Cibernéticos recientemente publicado ofrece orientación sobre lo que las organizaciones pueden hacer para proteger los datos. Proporciona una lista de verificación de los principios básicos de preparación que las organizaciones deben adoptar para proteger los datos del usuario. 
Sebastián Bellagamba, Director para América Latina y el Caribe de Internet Society, opina:
“Este es un recordatorio grave de que las empresas que poseen datos personales y confidenciales deben estar más atentas. La responsabilidad de una buena administración de datos recae en todos los miembros de una organización, no solo en el equipo ejecutivo o en el de seguridad de TI.” 
En este sentido, el incidente deja 10 lecciones que deberían tener en cuenta las organizaciones que recolectan, tratan y almacenan datos personales de sus usuarios:
  1. La responsabilidad por la protección y preparación de incidentes es de toda la organización.
  2. Los datos son el activo más valioso de una organización. Identifique los datos que tiene, dónde están, por qué y cómo los usa, así como los riesgos potenciales para su organización y las personas en caso de que se acceda de forma inapropiada a tales datos o estos se mantengan como rehenes, se publiquen o se borren.
  3. En relación a los datos que tengan un propósito comercial, recopílelos y consérvelos solo durante el tiempo que sea necesario. Los delincuentes no pueden robar ni retener datos que usted no tiene, por lo que dicha minimización puede convertirse en un requisito regulatorio para su organización
  4. El nivel de seguridad que aplique debe ser acorde con el nivel de sensibilidad de los datos almacenados. La seguridad establecida debe reflejar el riesgo de daños a los consumidores y a la organización en caso de que se acceda de manera inapropiada a esa información.
  5. La protección involucra no solo el incidente específico (pérdida de datos, rescate pagado), sino también los costos de la interrupción del negocio. Esto incluye datos bloqueados, interrupciones de la red y del sistema y toma de control de dispositivos.
  6. Tenga un plan para reducir el impacto de un ataque. Un plan de incidentes debe incorporar capacitación para ayudar a prevenir, detectar, mitigar, responder y recuperarse. Al igual que los especialistas, los empleados deben estar regularmente capacitados y equipados para lidiar con una pérdida de datos u otro incidente cibernético.
  7. La seguridad y la privacidad no son absolutas y deben evolucionar. Las organizaciones deben revisar periódicamente sus procedimientos de recopilación, almacenamiento, uso, administración y seguridad de todos los datos (junto con la revisión de tecnologías cambiantes, mejores prácticas y regulaciones).
  8. La seguridad está más allá de los escritorios, redes y muros de la organización. Los servicios en la nube, los procesadores de terceros y los socios comerciales externos amplían el panorama de los ataques. Realice una evaluación de riesgos antes de las alianzas o acuerdos de servicio y vuelva a evaluar periódicamente.
  9. Los dispositivos conectados introducen nuevos niveles de riesgo. La evaluación continua de riesgos de todos los dispositivos de IoT y el desarrollo y la aplicación de una política de empleados para conectar dispositivos a la red corporativa es fundamental, ya que un solo dispositivo conectado puede introducir amenazas en toda la red.
  10. Genere confianza a través de la transparencia. En caso de incidente, mantenga la comunicación clara. Ya sea que se comunique con los clientes, los miembros de la junta directiva o las autoridades de protección de datos, mantener a los interesados ​​importantes informados temprano con actualizaciones periódicas es una parte fundamental para mantener la confianza.

Entradas populares de este blog

Ya llega el Analytics Summit de DACA by amdia

-
Imagen
El Digital Analytics Council de Argentina (DACA), satélite de amdia, reúne una vez más a los big players del negocio de métricas y análisis de datos en un solo evento donde se podrá conocer, de primera mano, cómo empresas líderes hicieron de las métricas un socio estratégico de las organizaciones.  El encuentro se realizará el jueves 10 de octubre, con duración de media jornada, en el Hotel Four Seasons (Buenos Aires). 


Con el auge de las métricas y su importancia para el negocio, amdia abre la inscripción para el Analytics Summit organizado por la Digital Analytics Council de Argentina (DACA), satélite de amdia. En esta edición contará con paneles conformados por referentes y expertos en métricas de empresas líderes del mercado como  L’Oréal Argentina, Telecom, Walmart, Google, IBM Argentina, Microsoft Argentina, YPF, almundo y entre otros. El evento se realizará el próximo jueves 10 de octubre, de 8.30 a 13 horas, en el Hotel Four Seasons, Buenos Aires. Para inscripciones: http://t…
Leer más

LIDE llevó a cabo la segunda edición del Forum Nacional de Talento

-
Imagen
Por segundo año consecutivo, Rodolfo De Felipe lideró el Forum Nacional de Talento, en el Alvear Palace Hotel, bajo la temática “Talento 4.0: Las Metecompetencias de la Era Digital”. En este marco, el Presidente de LIDE Argentina expresó que “en la veloz carrera de la transformación digital, cognitiva y ética, la gestión del talento es una disciplina que dejó de ser operativa, para convertirse en estratégica”.
Ignacio Marseillan, Presidente de LIDE HR, fue el responsable de presentar el primer panel, cuya temática fue la discusión de las sinergias centradas en el talento y cómo pueden sumarse virtudes complementarias. De este mismo panel formaron parte Francisco Ortega, Socio Senior y Líder de McKinsey & Company para América Latina; Joao Adao, Director Regional de Facebook para el Cono Sur; Carlos Menéndez Behety, CMO de YPF; y Diego Prado, Director de Asuntos Corporativos de Toyota Argentina.
Por otro lado, Javier Bajer, CEO Fundador de The Talent Foundation (UK), compartió una ser…
Leer más

La Economía Humana: El nuevo paradigma que cambia la relación entre el ser humano y el dinero

-
Imagen
En el marco del área de Consultoría Sistémica Organizacional del SECI (Sistema de Entrenamiento Continuo Integral) y sus programas de Entrenamiento, y del movimiento hacia una economía consciente, social y participativa, se llevó a cabo la jornada sobre “Economía consciente: nuevos paradigmas”, encabezada por Anni Schuff, creadora y Directora General del Sistema SECI, junto con la participación especial del banquero catalán Joan Melé, actual Presidente de la Fundación Dinero y Conciencia.

Durante la conferencia, que tuvo como ejeprincipal la reflexión sobre las creencias, hábitos, valores y emociones que traemos en torno a la Economía, se profundizó sobre los contextos de nuestra historia familiar, culturas de origen y escenarios actuales que - de acuerdo a los expositores - condicionan nuestra forma de relacionarnos con el dinero y los recursos.
El objetivo de esta actividad es invitar a la reflexión y al diálogo, promoviendo la integración de miradas para inspirarnos a ser protagonis…
Leer más