FeaturedNOTICIAS

Robo de identidad: por qué se apunta a las empresas: CloudSavvy IT


Manojo de llaves plateadas en hoja cifrada.
Shutterstock / Cousin_Avi

Tradicionalmente una preocupación para las personas, el robo de identidad ahora es una preocupación para las empresas. Puede erosionar la lealtad de los empleados y hacer que los clientes piensen que es demasiado arriesgado para asociarse con usted.

Infracciones, multas y daños

Las infracciones de información de identificación personal (PII) o el uso inadecuado de PII pueden resultar en multas importantes. En Europa, la primera ola de multas significativas en virtud de la Ley General de Protección de Datos se ha estrellado contra las empresas desafortunadas. H&M (Hennes & Mauritz Online Shop) ha sido multada por el equivalente a 41 millones de dólares.

Y el RGPD no solo se aplica a las empresas europeas. Si emplea a europeos o comercia u opera en Europa, y si tiene un sitio web accesible desde Europa y hay una dirección de correo electrónico que la gente puede usar para comunicarse con usted, eso cuenta como comercio, el GDPR también se aplica a usted. Así fue como Google fue multado con 58,5 millones de dólares.

Por supuesto, el GDPR es solo una regulación. En los EE. UU., La legislación de protección de datos está dispersa por todo el Código de los Estados Unidos en leyes como la Ley de Protección de la Privacidad del Conductor de 1994 (DPPA), la Ley de Protección de la Privacidad Infantil en Línea (COPPA) y la nueva Ley de Protección al Consumidor de California (CCPA).

Como si las multas no fueran lo suficientemente malas, el daño a la reputación que acompaña a una infracción u otro incumplimiento relacionado con los datos puede tener un impacto tremendo en una empresa y sus relaciones con clientes y clientes. Las relaciones comerciales requieren atención. Se necesita tiempo y esfuerzo para nutrirlos y mantenerlos. Pero pueden romperse y perderse de la noche a la mañana por malas relaciones públicas. A veces, existe la mala publicidad.

Todas las empresas tienen la PII de empleados, proveedores y clientes. Deben ser conscientes de que son responsables de la recopilación, la protección y el uso legítimo de esos datos. Según el informe Costo de una violación de datos de 2020 de IBM, el impacto financiero en una empresa por PII perdida grabar es de USD 150.

TE INTERESA>>  '3 Body Problem' Viewing Figures Released For Week 1 And It's Not A Smash Hit Yet

Si la PII robada permite que un actor de amenazas se haga pasar por un miembro de su personal para que pueda comunicarse de manera convincente con un cliente, proveedor, el banco o alguien en su departamento de cuentas que tenga la autoridad para transferir dinero, el costo será mucho mayor. .

PII y robo de identidad

El robo de identidad es un término general que cubre una variedad de fraudes relacionados con tarjetas de crédito, acuerdos de compra a plazos, arrendamientos, compras en línea y banca en línea. El robo de identidad a menudo se asocia con PII robada o filtrada.

Desde el momento en que las computadoras se volvieron comunes en el mundo empresarial convencional, las empresas han estado recopilando, almacenando y procesando PII. Cualquier dato sobre una persona es PII. No necesita almacenar todo el rompecabezas digital de datos que identifique definitivamente a alguien para que sus datos cuenten como PII. Si tiene incluso una pieza del rompecabezas, ese fragmento de datos se clasifica como PII y debe protegerse con la misma fuerza que un volcado de datos completo de esa persona.

Desde el punto de vista del actor de amenazas, obtener un registro de datos completo sobre alguien es como hacer trampa. Pero los pequeños fragmentos de información siguen siendo útiles para ellos, al igual que muchas pepitas más pequeñas, si encuentra suficientes, pueden constituir un botín que vale la pena. Mientras más PII tenga, y cuanto mayor sea la cantidad de personas sobre las que tenga datos, más atractivo será el objetivo.

Pero eso no significa que los delincuentes vayan a ignorar a las empresas más pequeñas. Y, de hecho, pueden ser un objetivo preferido porque es poco probable que tengan un conjunto tan riguroso de protecciones y controles de ciberseguridad como una organización a escala empresarial, ni tengan un cuerpo de personal dedicado para implementarlos y supervisarlos.

Atrás quedaron los días de escarbar en los contenedores de las personas o en los contenedores de basura de una empresa en busca de información en papel para construir una persona viable de robo de identidad. Este tipo de fraude se ha vuelto de alta tecnología y muy valioso. Inevitablemente, ha llamado la atención del crimen organizado. Los ladrones de datos operan para grupos del crimen organizado, que usarán la PII robada para perpetrar fraudes, o son operaciones ciberdelincuentes más pequeñas que venderán los datos en la Dark Web.

Alguna PII robada proporciona una pequeña ventana de oportunidad a los actores de la amenaza. Poco después de que la información sea utilizada por los actores de la amenaza, la víctima la advierte. La víctima alerta al proveedor de servicios, como el banco, la compañía de tarjetas de crédito, las compras en línea o el Seguro Social, y la cuenta se congela o cualquier otra acción que deba tomarse. Pero a veces, las acciones fraudulentas no se detectan durante bastante tiempo.

TE INTERESA>>  The Best Spring Break Travel Essentials From Amazon's Big Spring Sale

Por qué ocurren las infracciones

Errores internos

Los accidentes ocurren, como dejar una computadora portátil en un tren o enviar una hoja de cálculo por correo electrónico a la persona equivocada. Algunos accidentes ocurren porque no se siguen las políticas y procedimientos, a menudo en momentos de presión o estrés, y se ignoran las prácticas obligatorias o se cortan las esquinas.

Los agentes de amenazas utilizan los ataques de phishing y spear-phishing para obligar a los miembros del personal a instalar de forma inadvertida malware, como rootkits y troyanos de acceso remoto (RAT). La presión laboral también entra en juego aquí. Es menos probable que el personal acosado y con dificultades se detenga y revise una lista de verificación mental para determinar si un correo electrónico o su archivo adjunto es real o malicioso.

Insiders maliciosos

Los empleados descontentos pueden diseñar violaciones de datos de PII para promulgar lo que consideran una justicia vengativa contra la empresa. Otros podrían robar PII para intentar beneficiarse económicamente. Pueden ser plantas que lograron conseguir un trabajo en su empresa, pero en realidad están trabajando para un competidor y están realizando espionaje industrial.

RELACIONADO: El empleado descontento y el daño que pueden causar

Ataques externos

La mayoría de las filtraciones de datos de PII se deben a agentes externos de amenazas. Debido a que el robo de identidad se ha convertido en un negocio lucrativo (criminal) y el crimen organizado se ha interesado, los ataques son coordinados y sofisticados. Pueden montar ataques de phishing, explotar vulnerabilidades o usar ataques de diccionario para averiguar qué contraseñas están en uso.

RELACIONADO: Cómo proteger a su organización contra ataques de diccionario de contraseñas

El cifrado es tu amigo

Archivos bloqueados y desbloqueados.
Shutterstock / Pavel Ignatov

El cifrado es su amigo, pero no es una panacea universal de ciberseguridad. Aún necesita usar las defensas tecnológicas adecuadas, un gobierno de TI sólido con políticas y procedimientos, y capacitación del personal en conciencia de ciberseguridad para tratar de proteger sus sistemas.

Los datos deben estar encriptados en dispositivos de almacenamiento, como discos duros, discos externos y sistemas de respaldo. Tanto las copias de seguridad locales como las externas deben estar cifradas. Todos los dispositivos móviles, incluidos ordenadores portátiles, teléfonos inteligentes, tabletas, tarjetas de memoria y CD-ROM deben estar encriptados.

El cifrado no detendrá el robo de datos. Con suerte, sus otras medidas defensivas lo harán. Pero cifrar los datos debería evitar que los ciberdelincuentes se beneficien de tenerlos. Es como usar un paquete de tinte con papel moneda. Si la caja fuerte es robada, el paquete de tinte explota, manchando indeleblemente el dinero e inutilizándolo. El paquete de tinte no evitará que una caja fuerte sea robada y abierta, pero no hay recompensa para los criminales.

Además, una violación de datos cifrados es un delito menor mucho menos pernicioso a los ojos de la legislación de protección de datos que la pérdida de PII de texto sin formato.

La tecnología de cifrado está disponible para empresas en una variedad de productos en la actualidad. A menudo, es una parte integral de la oferta de un producto, como el correo electrónico de Microsoft 365.

TE INTERESA>>  La película más optimista de 2023 dio nueva vida a un personaje mítico y ahora regresa con su versión definitiva. Así es el deseado steelbook de una de las mejores películas de Timothée Chalamet

Los productos también están disponibles para permitirle cifrar sus sistemas locales. Tenga en cuenta que después de elegir e implementar un producto de cifrado, debe revisar periódicamente los distintos productos de cifrado. Incluso se podría demostrar que el mejor programa de cifrado tiene un defecto en sus algoritmos que deja su cifrado vulnerable a la explotación. Por lo tanto, no haga su elección de producto y olvídese. Asegúrese de que su decisión de producto siga siendo válida hoy.

El cifrado conlleva sus propios gastos generales de gobernanza y mantenimiento. Las rutinas de cifrado utilizan claves de cifrado. Estas son cadenas de caracteres y símbolos aparentemente aleatorios que se utilizan con el algoritmo para codificar y decodificar los datos. Y como todas las claves importantes, deben ser salvaguardadas y el acceso a ellas gobernado y controlado. Debe abordar estos temas cuando planee implementar el cifrado a gran escala en su empresa.

Implementación de cifrado

Si no tiene un registro de activos de datos, realice una auditoría de datos y cree una. Como mínimo, necesita saber qué datos tiene, dónde están almacenados, quién necesita acceder a ellos y qué tan sensibles o críticos son. La legislación local, como GDPR, puede requerir que sea mucho más granular que esto.

Categoriza tus datos

Categorice los datos en bandas, como:

  • Datos restringidos: Las infracciones de los datos de esta categoría causarán un daño significativo a la empresa, de una forma u otra. Se deben aplicar los más altos niveles de control y protección a estos datos.
  • Datos privados: Todos los datos de la empresa que no están restringidos y no son públicos se consideran privados. El acceso no autorizado a datos privados conlleva un riesgo moderado para la empresa. Se debe aplicar un nivel razonable de control y protección a estos datos.
  • Datos públicos: Requiere poco o ningún control y protección.

Establecer el período de vencimiento de los datos

Si los datos tienen una fecha después de la cual es poco probable que sean útiles y usted sabe que su cifrado no puede ser anulado dentro de ese período de tiempo, sus datos pueden considerarse seguros.

Algunos datos, como las tarjetas de crédito, tienen una fecha de caducidad clara. Si alguien obtiene el número de tarjeta de crédito y el código de valor de verificación de tarjeta (CVV), solo tiene hasta la fecha de vencimiento de la tarjeta para usarlos.

Otros datos, como los elementos de PII, tendrán un período dentro del cual es razonable esperar que una víctima de fraude relacionado con la identidad note que algo anda mal, como entradas extrañas en un extracto bancario.

Realizar investigación de mercado y diligencia debida

Guiado por los pasos anteriores y su registro de activos de datos, y su presupuesto, por supuesto, revise las herramientas de cifrado disponibles y seleccione la que mejor se adapte a sus necesidades.

Establecer políticas y procedimientos

Cree o actualice políticas y procedimientos existentes para proporcionar control y orientación en el uso de la herramienta de cifrado y el control y protección de las claves de cifrado.

Realice la capacitación del personal

Ofrezca sesiones de formación a su personal para que comprendan las razones de los cambios, cuáles son los nuevos métodos de trabajo y qué se espera de ellos. Deje en claro que estas medidas están diseñadas para protegerlos a ellos y a sus datos.

Incluya este tipo de sesión informativa como parte del proceso de inducción para nuevos empleados.

RELACIONADO: ¿Cuáles son los tres pilares de la ciberseguridad?

No olvides lo básico

Las conexiones remotas a su empresa oa recursos basados ​​en la nube deben realizarse mediante protocolos seguros y cifrados, y todas las aplicaciones y sistemas operativos deben estar parcheados con las últimas actualizaciones y parches de seguridad.

Recuerde que el cifrado protege los datos robados, no evitará que los datos sean robados.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Botón volver arriba
hentai creampir hentairulz.com saoff summer xxxx hot zoztube.mobi xhamsted ماياخليفة سكس parabg.com سكس قذف جماعى سكس جنوب افريقيا arab-porno.net سكس بنات محجبة freefuck redwap2.com karnataka blue film نيك خادمة freetvtube.info قصص نيك محارم الارشيف 23 sexy rapes teenextube.mobi latest scandals in bollywood milf manga truehentai.com la blue girl manga ang probinsyano june 19 pinoyshowstv.com enchong pokemon henatai hentaicredo.com boku no pico nokare .com gotporn.mobi www.freesexdoor.com indian first night xxx pornxvideos.info xxx six india sex samantha sex zatube.mobi cuddling porn mom son sleeping sex hdtporno.org velamma episode 74 indian free porn mms youjizz.sex velamma episode 79