Saltar al contenido

7 pasos para proteger a su compañía de una violación de datos

Millones de archivos de personal del gobierno fueron recientemente comprometidos como parte de una piratería informática maliciosa de la Oficina de Gestión de Personal (OPM) del gobierno federal y el Departamento del Interior. Como departamento de recursos humanos del gobierno federal, la OPM mantiene los archivos de personal de todos los empleados y también emite autorizaciones de seguridad, lo que hace que esta violación de la seguridad cibernética sea particularmente perjudicial.

Si bien el gobierno federal es un blanco probable para la piratería informática maliciosa, los objetivos más comunes históricamente han sido los minoristas y otras empresas que mantienen bases de datos de información de tarjetas de crédito.

7 pasos para proteger a su compañía de una violación de datos
7 pasos para proteger a su compañía de una violación de datos

Una de las brechas más notables de los últimos años fue el compromiso masivo de 2013 de los sistemas de Target Corp., que afectó hasta 110 millones de clientes durante la temporada de compras más concurrida del año. Desde el 27 de noviembre hasta mediados de diciembre, los hackers accedieron a nombres de clientes, direcciones postales, números de teléfono, direcciones de correo electrónico e información de tarjetas de crédito. Para el 15 de diciembre, Target contaba con un equipo forense externo y el ataque fue mitigado. El 18 de diciembre, la historia salió a la luz como resultado de una publicación de un blogger de seguridad. Finalmente, Target informó a los compradores afectados con tarjetas de crédito/débito que habían hecho compras en una de las tiendas de la compañía durante el ataque, que su información personal y financiera había sido comprometida. El evento también llevó a la eventual renuncia del CEO de la compañía en 2014.

Como resultado de la brecha, Target mejoró la seguridad cibernética: Su sitio web corporativo describe varios cambios realizados en los procedimientos y protocolos de seguridad, incluyendo la mejora de la vigilancia, los cortafuegos y el uso de contraseñas.

Muchos expertos han analizado cómo se produjo la brecha y han evaluado la respuesta de Target, y han identificado varias medidas que las empresas -sin importar su tamaño- pueden tomar para protegerse mejor. Recuerden: Aparte de los pagos resultantes de los juicios o acuerdos con los demandantes, así como de los honorarios y sanciones importantes, una empresa puede perder importantes ingresos debido a los daños de reputación.

1. Nombrar a un jefe de seguridad de la información para supervisar el programa de seguridad de la información. Tener un oficial con conocimiento de las mejores prácticas de seguridad de datos permitirá a la compañía desarrollar un plan sobre cómo protegerse mejor de un pirateo de datos, incluyendo el establecimiento de programas de capacitación de concienciación sobre seguridad y la implementación de tecnología relacionada con la seguridad. El nombramiento de un jefe de seguridad de la información también demuestra al resto de la organización que la empresa considera la seguridad de los datos con seriedad y ayuda a apoyar una cultura sensible a la protección de los datos.

2. Implementar tecnología de seguridad actualizada. La actualización de la tecnología suele ser una decisión de costo-beneficio. Los expertos de la industria han señalado que la mayoría de las empresas â?” y los Estados Unidos como país â?” utilizan datos anticuados y tecnología de seguridad de tarjetas de crédito. Por ejemplo, la tecnologÃa de tarjetas de chip en las tarjetas de crédito se utiliza en Europa, pero no se aplicará plenamente en los Estados Unidos hasta dentro de unos pocos años.

3. Realice auditorías de seguridad periódicas. Una auditoría de seguridad es una evaluación medible de las políticas de seguridad de una empresa. Después del ataque al objetivo, la compañía admitió que había pasado por alto ciertas señales de advertencia sobre posibles lagunas de seguridad, que podrían haber aparecido en una auditoría de seguridad. Muchas empresas tienen auditorías frecuentes que figuran como uno de sus procedimientos de información y seguridad, pero que en realidad no llevan a cabo. Si bien debería realizarse periódicamente una auditoría de seguridad detallada, todos los sistemas con acceso a Internet deberían someterse a una exploración de la vulnerabilidad al menos trimestralmente para identificar cualquier amenaza o actualización que deba aplicarse. El software para realizar esas exploraciones de vulnerabilidades está disponible en el mercado.

4.Establecer una política de â??escritorio limpioâ?. Todos los empleados de una organización deben ser conscientes de que deben asegurarse de no dejar información sensible o confidencial en ningún lugar al que puedan acceder personas no autorizadas. Esto incluye los datos en papel que pueden dejarse en una sala de conferencias o en una oficina, asà como los archivos electrónicos que pueden dejarse en una red, en una computadora desprotegida o en un buzón de correo electrónico. El establecimiento de protocolos de protección de contraseñas con cambios obligatorios y frecuentes de las mismas y un programa de concienciación sobre la seguridad debería formar parte de la iniciativa de seguridad de datos de toda empresa.

5. Establezca un plan de respuesta a incidentes. Después de que se descubre una brecha, la prioridad principal es generalmente arreglar la brecha a toda costa. Este es el enfoque correcto para el equipo técnico; sin embargo, otros dentro de la empresa deben comenzar a considerar simultáneamente cómo se comunicará la ruptura al público y a los afectados, así como la creación de un plan de respuesta para mitigar cualquier consecuencia negativa. El plan tiene que abordar las medidas que se han de adoptar en toda la empresa en esferas ajenas a la tecnología de la información, como los recursos humanos, el aspecto jurídico, el servicio de atención al cliente, la gestión ejecutiva y las relaciones entre la empresa y los inversores. Muchos clientes de Target querían hablar con alguien de la empresa sobre la infracción, pero no pudieron hacerlo, lo que agravó el daño existente.

6. Comunicar un problema de inmediato. Aunque el momento de la filtración de datos no estaba bajo el control de Target y ocurrió en la peor época del año, la compañía tenía pleno control sobre cuándo y cómo dar la noticia al público. Target esperó días después de descubrir el problema antes de alertar a los clientes. Una empresa debe estar dispuesta a revelar problemas como este de inmediato para controlar el flujo de información y asegurarse de que la información correcta se difunde a tiempo.

7. Ampliar las prácticas de seguridad a los clientes y proveedores. Una empresa puede tener las mejores prácticas de seguridad del mundo, pero si comparte datos con clientes y/o proveedores a través de sus sistemas, una debilidad en los sistemas o procesos de los proveedores o clientes podría volver a entrar inadvertidamente en los sistemas de la empresa. Es fundamental que las empresas desarrollen algún tipo de proceso de gestión de proveedores/clientes que supervise el cumplimiento de los parámetros básicos de seguridad por parte de los proveedores/clientes que comparten datos electrónicos. Si bien es difícil controlar los sistemas mantenidos por una parte externa, una empresa puede al menos comprender los riesgos y tomar las medidas necesarias para mitigarlos. Los piratas informáticos que atacaron a Target demostraron una extraordinaria capacidad para orquestar con éxito la violación de datos de 2013.

El creciente número de violaciones de datos muestra el valor actual de los datos de las tarjetas de crédito en el mercado delictivo. El hecho de que su empresa sea consciente de la importancia de las mejores prácticas de seguridad de datos y de la aplicación de las medidas de seguridad adecuadas ayudará a evitar que su empresa se convierta en la próxima víctima.

Sobre los autores:

Stuart Nussbaum es socio y Michael Pinna es director de WeiserMazars LLP.