11 ene 2019

Diligencia Debida: aprender de los incidentes de ciberseguridad

Los incidentes de ciberseguridad siguieron afectando a las empresas en 2018. Los expertos analizan las lecciones aprendidas y las respuestas de los consumidores a las mayores violaciones de seguridad de la información del año.

Dado que las violaciones de datos se están convirtiendo en una realidad cotidiana, es casi imposible saber qué brechas seguirán siendo influyentes o impactantes a lo largo de un año. Para este resumen de ciberseguridad, decidimos centrarnos en analizar Under Armour, Cambridge Analytica-Facebook, Uber y Marriott Hotels como los incidentes de ciberseguridad más poderosos de 2018.
No todos los riesgos de seguridad de la información son violaciones de datos, pero todas las violaciones de datos son un riesgo de seguridad. Las violaciones de datos del consumidor pueden revelar información personal, métodos de pago o información de seguridad sobre una empresa, sus empleados o sus usuarios. Si bien las infracciones pueden estar en la seguridad, como malware o hacks de mainframe, o la adquisición de datos, el costo y el impacto de una brecha continúan disparándose.

El estudio del Costo de una brecha de datos 2018 [PDF] de Ponemon Institute encontró que el costo total promedio de los incumplimientos de datos se ha disparado 6,4% a $ 3,86 millones de dólares. Las brechas de datos afectan los resultados finales de una empresa al afectar la confianza del consumidor, pero las infracciones recientes han comenzado a tener en cuenta el costo del tiempo entre la brecha y la divulgación: su diligencia debida y el plan de respuesta a la infracción.

Diligencia debida y divulgación

¿Cuáles son las formas concretas en que las empresas deben garantizar la seguridad de los datos y reducir el riesgo de brechas en 2019? Los expertos recomiendan diligencia debida, auditorías internas y un procedimiento de divulgación, especialmente cuando leyes como la Ley de Privacidad del Consumidor de California y GDPR comienzan a entrar en vigencia en 2019 y 2020.

Uno de los incidentes masivos de ciberseguridad en 2018 fue cuando los hoteles Marriott/Starwood sufrieron una brecha masiva de la información de los clientes (más de 327 millones de registros con direcciones, números de teléfono, direcciones de correo electrónico, información de llegadas y salidas) a principios de 2018, y esperaron casi dos meses para revelarlo. Tras la divulgación, Marriott reveló que la violación había afectado a los usuarios desde 2014. Aunque se realizó la divulgación, el proceso de monitoreo de Marriott no utilizó la diligencia debida para monitorear constantemente el marco de seguridad.

La violación de Uber comenzó en 2016, y la diligencia debida en materia de divulgación, notificación y seguridad no comenzó hasta 2018. Su brecha anterior requería un oficial de privacidad independiente, pero su departamento legal rastreó a los hackers y les pagó para negar que se había producido una violación.

"Fue menos la infracción y más el encubrimiento lo que enfureció a todo el mundo. La conclusión de esto es que debe haber transparencia con sus clientes si hay una infracción", dijo Paige Boshell, miembro gerente de Privacy Counsel LLC.

¿Pero qué sucede cuando la compañía adquiere otra compañía y hereda un sistema heredado o lo subcontrata? En caso de incumplimiento, ¿quién es responsable?

Poner la culpa sobre alguien requiere profundizar y asignar un nivel de responsabilidad en cascada, dijo Vijay Pullur, CEO de ThumbSignIn.

"Es realmente difícil cuando hay sistemas realmente complejos en funcionamiento. Solo puede señalar el punto final donde ocurrió la pérdida; por ejemplo, puede encontrar el lugar de la pérdida de información. Pero si retrocede y profundiza, muchas veces ni siquiera es algo incluso en [control de una compañía, como Marriott], sino más bien una compañía en red", dijo Pullur.

Seguridad como ventas

El estudio de Ponemon también observó que una parte importante del cálculo del costo de una violación de datos es tener en cuenta la disminución de la reputación de la marca y la pérdida de confianza de los consumidores; el impacto de la violación se extiende a la pérdida de clientes actuales y futuros.

Después de su reciente divulgación de incumplimiento, las acciones de Under Armour cayeron más del 3% cuando los usuarios comenzaron a eliminar aplicaciones y se alejaron de la marca, a pesar del hecho de que el aviso de incumplimiento ocurrió en unos pocos días. Los expertos dicen que durante el 2019 la ciberseguridad, los incumplimientos mínimos y los planes adecuados de respuesta a la violación de datos se convertirán en un diferenciador de negocios.

"Los clientes serán mucho menos tolerantes con las marcas de alta calidad; los compradores tienen la expectativa de que van a tener una mejor seguridad. Como dice Apple: 'No vendemos sus datos de clientes; tenemos un chip de seguridad en nuestras nuevas computadoras portátiles’. Ellos hacen todo lo posible por decir que tomamos su privacidad muy en serio", dijo Marty Puranik, CEO de Atlantic.Net y experto en ciberseguridad.

Si el año anterior de violaciones de datos y la reacción de los consumidores a ellos les ha enseñado algo a las empresas, es que 2019 debería ser una forma de crear seguridad como medio para reforzar la confianza del consumidor y la marca.

Mirando hacia 2019

Las empresas, conferencias y programas dedicados a la ciberseguridad siguieron aumentando en popularidad en respuesta a los muchos incidentes de ciberseguridad de 2018. Los expertos alientan a las empresas a seguir desempeñando un papel activo en la seguridad de sus datos, especialmente cuando entren en vigor las regulaciones de cumplimiento.

"La idea de ser un guardabosques solitario que trata de protegerse contra todas las amenazas actuales va a disminuir con el tiempo", dijo Puranik.

"El futuro será de las firmas de seguridad de datos que analicen la postura de las amenazas y la evaluación, y que las empresas podrán contratar. La ciberseguridad cambia tan rápido que realmente necesita trabajar con alguien que tiene datos agregados sobre todas las demás amenazas en otras compañías".

Fuente: SDC

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!