Capital One: 10 lecciones que nos deja el incidente de vulneración de datos

-
El incidente pudo haber sido evitado
Este incidente es el más reciente de una serie de vulneraciones de datos de alto perfil y alto impacto. En este caso, el hacker obtuvo acceso ilegal a información de usuarios de Capital One -que en su mayor parte no estaba cifrada- al explotar un firewall de aplicación web mal configurado. Año tras año, nuestro análisis muestra que más del 90% de las vulneraciones de datos se pueden prevenir: en 2018 esta proporción fue del 95%.El Informe de Tendencias de Vulneraciones e Incidentes Cibernéticos recientemente publicado ofrece orientación sobre lo que las organizaciones pueden hacer para proteger los datos. Proporciona una lista de verificación de los principios básicos de preparación que las organizaciones deben adoptar para proteger los datos del usuario. 
Sebastián Bellagamba, Director para América Latina y el Caribe de Internet Society, opina:
“Este es un recordatorio grave de que las empresas que poseen datos personales y confidenciales deben estar más atentas. La responsabilidad de una buena administración de datos recae en todos los miembros de una organización, no solo en el equipo ejecutivo o en el de seguridad de TI.” 
En este sentido, el incidente deja 10 lecciones que deberían tener en cuenta las organizaciones que recolectan, tratan y almacenan datos personales de sus usuarios:
  1. La responsabilidad por la protección y preparación de incidentes es de toda la organización.
  2. Los datos son el activo más valioso de una organización. Identifique los datos que tiene, dónde están, por qué y cómo los usa, así como los riesgos potenciales para su organización y las personas en caso de que se acceda de forma inapropiada a tales datos o estos se mantengan como rehenes, se publiquen o se borren.
  3. En relación a los datos que tengan un propósito comercial, recopílelos y consérvelos solo durante el tiempo que sea necesario. Los delincuentes no pueden robar ni retener datos que usted no tiene, por lo que dicha minimización puede convertirse en un requisito regulatorio para su organización
  4. El nivel de seguridad que aplique debe ser acorde con el nivel de sensibilidad de los datos almacenados. La seguridad establecida debe reflejar el riesgo de daños a los consumidores y a la organización en caso de que se acceda de manera inapropiada a esa información.
  5. La protección involucra no solo el incidente específico (pérdida de datos, rescate pagado), sino también los costos de la interrupción del negocio. Esto incluye datos bloqueados, interrupciones de la red y del sistema y toma de control de dispositivos.
  6. Tenga un plan para reducir el impacto de un ataque. Un plan de incidentes debe incorporar capacitación para ayudar a prevenir, detectar, mitigar, responder y recuperarse. Al igual que los especialistas, los empleados deben estar regularmente capacitados y equipados para lidiar con una pérdida de datos u otro incidente cibernético.
  7. La seguridad y la privacidad no son absolutas y deben evolucionar. Las organizaciones deben revisar periódicamente sus procedimientos de recopilación, almacenamiento, uso, administración y seguridad de todos los datos (junto con la revisión de tecnologías cambiantes, mejores prácticas y regulaciones).
  8. La seguridad está más allá de los escritorios, redes y muros de la organización. Los servicios en la nube, los procesadores de terceros y los socios comerciales externos amplían el panorama de los ataques. Realice una evaluación de riesgos antes de las alianzas o acuerdos de servicio y vuelva a evaluar periódicamente.
  9. Los dispositivos conectados introducen nuevos niveles de riesgo. La evaluación continua de riesgos de todos los dispositivos de IoT y el desarrollo y la aplicación de una política de empleados para conectar dispositivos a la red corporativa es fundamental, ya que un solo dispositivo conectado puede introducir amenazas en toda la red.
  10. Genere confianza a través de la transparencia. En caso de incidente, mantenga la comunicación clara. Ya sea que se comunique con los clientes, los miembros de la junta directiva o las autoridades de protección de datos, mantener a los interesados ​​importantes informados temprano con actualizaciones periódicas es una parte fundamental para mantener la confianza.

Entradas populares de este blog

Icatu Seguros utiliza plataforma CXone@home da NICE para transferir equipe de contact center para o trabalho remoto

-
Imagen
A migração completa aconteceu em menos de cinco dias desde o início da negociação entre as empresas, mantendo as operações em pleno funcionamento A pandemia do novo coronavírus acelerou algumas tendências como o home office. Para garantir a segurança dos colaboradores e manter as operações em plena atividade, muitas empresas buscaram soluções para minimizar os impactos impostos pela Covid-19. Foi o que aconteceu com a  Icatu  Seguros, maior seguradora entre as independentes, considerando o consolidado das suas linhas de negócio como Vida, Previdência e Capitalização, que encontrou na  NICE  um parceiro estratégico para realizar a transição de sua equipe do Centro de Relacionamento com o Cliente (CRC) para o trabalho remoto. “Tivemos a primeira conversa numa sexta-feira. No dia seguinte, as negociações avançaram e, no domingo, a equipe da NICE, juntamente com a integradora  A5 Solutions , estava mobilizada para iniciar a virada. Na segunda-feira, a operação começou a rodar em nuvem, per
Leer más

#SMDayBA | El 31 de julio llega una nueva edición de Social Media Day Buenos Aires

-
Imagen
El Social Media Day Buenos Aires Se llevará a cabo el próximo martes 31 de Julio de en La Usina del Arte en el barrio de La Boca. Social Media Day Buenos Aires , el evento sobre redes sociales, comunicación y negocios digitales  más importante de Argentina, llega en su 9° edición a la ciudad de Buenos Aires será el martes 31 de Julio de 13:30 a 19:30 hs. en La Usina del Arte, Agustin R. Caffarena 1, La Boca. Las entradas ya están a la venta a precio promocional en www.smday.com.ar/buenosaires Desde Tarjeta Naranja, Yair Numan y Paulina Soria nos contarán cómo reinventar la relación con el cliente, y de esa manera, cambiar la forma de hacer marketing en su charla   ¿Y por casa cómo andamos? Guillermo Navarro, de Bildenlex Abogados , nos propone encarar la cuestión legal de proteger nuestra privacidad en una época de constante viralización de la información personal y hablará del “ Reglamento General de Protección de Datos” . Por su parte, Gabriel Weitz de Google,
Leer más

Plataforma CXone@home amplia funcionalidades para tornar o trabalho remoto mais produtivo em tempos de pandemia

-
A partir de agora, oferta passa a incluir recursos de otimização e engajamento da força de trabalho A  NICE inContact  decidiu ampliar as funcionalidades de sua oferta  CXone@home , que passa a incluir recursos de  otimização  e  engajamento  da força de trabalho (WFO), para garantir que os agentes sejam mais  produtivos  enquanto trabalham em casa. Muitas empresas recorreram ao home office para proteger a saúde dos funcionários e continuar atendendo às demandas dos consumidores, porém enfrentam desafios para envolver e garantir o desempenho da força de trabalho. O CXone@home fornece  flexibilidade , velocidade e capacidade de gerenciar custos com uma alternativa superior aos sistemas locais, que originariamente não foram criados para trabalho remoto. Com a atualização, a plataforma se torna uma boa opção para empresas e agências governamentais que precisam manter a produtividade total do contact center. Os benefícios do CXone@home incluem: Atendimento dos clientes nos canais de
Leer más