Tradicionalmente una preocupación para las personas, el robo de identidad ahora es una preocupación para las empresas. Puede erosionar la lealtad de los empleados y hacer que los clientes piensen que es demasiado arriesgado para asociarse con usted.
Infracciones, multas y daños
CONTENIDOS DE LA PAGINA
Las infracciones de información de identificación personal (PII) o el uso inadecuado de PII pueden resultar en multas importantes. En Europa, la primera ola de multas significativas en virtud de la Ley General de Protección de Datos se ha estrellado contra las empresas desafortunadas. H&M (Hennes & Mauritz Online Shop) ha sido multada por el equivalente a 41 millones de dólares.
Y el RGPD no solo se aplica a las empresas europeas. Si emplea a europeos o comercia u opera en Europa, y si tiene un sitio web accesible desde Europa y hay una dirección de correo electrónico que la gente puede usar para comunicarse con usted, eso cuenta como comercio, el GDPR también se aplica a usted. Así fue como Google fue multado con 58,5 millones de dólares.
Por supuesto, el GDPR es solo una regulación. En los EE. UU., La legislación de protección de datos está dispersa por todo el Código de los Estados Unidos en leyes como la Ley de Protección de la Privacidad del Conductor de 1994 (DPPA), la Ley de Protección de la Privacidad Infantil en Línea (COPPA) y la nueva Ley de Protección al Consumidor de California (CCPA).
Como si las multas no fueran lo suficientemente malas, el daño a la reputación que acompaña a una infracción u otro incumplimiento relacionado con los datos puede tener un impacto tremendo en una empresa y sus relaciones con clientes y clientes. Las relaciones comerciales requieren atención. Se necesita tiempo y esfuerzo para nutrirlos y mantenerlos. Pero pueden romperse y perderse de la noche a la mañana por malas relaciones públicas. A veces, existe la mala publicidad.
Todas las empresas tienen la PII de empleados, proveedores y clientes. Deben ser conscientes de que son responsables de la recopilación, la protección y el uso legítimo de esos datos. Según el informe Costo de una violación de datos de 2020 de IBM, el impacto financiero en una empresa por PII perdida grabar es de USD 150.
Si la PII robada permite que un actor de amenazas se haga pasar por un miembro de su personal para que pueda comunicarse de manera convincente con un cliente, proveedor, el banco o alguien en su departamento de cuentas que tenga la autoridad para transferir dinero, el costo será mucho mayor. .
PII y robo de identidad
El robo de identidad es un término general que cubre una variedad de fraudes relacionados con tarjetas de crédito, acuerdos de compra a plazos, arrendamientos, compras en línea y banca en línea. El robo de identidad a menudo se asocia con PII robada o filtrada.
Desde el momento en que las computadoras se volvieron comunes en el mundo empresarial convencional, las empresas han estado recopilando, almacenando y procesando PII. Cualquier dato sobre una persona es PII. No necesita almacenar todo el rompecabezas digital de datos que identifique definitivamente a alguien para que sus datos cuenten como PII. Si tiene incluso una pieza del rompecabezas, ese fragmento de datos se clasifica como PII y debe protegerse con la misma fuerza que un volcado de datos completo de esa persona.
Desde el punto de vista del actor de amenazas, obtener un registro de datos completo sobre alguien es como hacer trampa. Pero los pequeños fragmentos de información siguen siendo útiles para ellos, al igual que muchas pepitas más pequeñas, si encuentra suficientes, pueden constituir un botín que vale la pena. Mientras más PII tenga, y cuanto mayor sea la cantidad de personas sobre las que tenga datos, más atractivo será el objetivo.
Pero eso no significa que los delincuentes vayan a ignorar a las empresas más pequeñas. Y, de hecho, pueden ser un objetivo preferido porque es poco probable que tengan un conjunto tan riguroso de protecciones y controles de ciberseguridad como una organización a escala empresarial, ni tengan un cuerpo de personal dedicado para implementarlos y supervisarlos.
Atrás quedaron los días de escarbar en los contenedores de las personas o en los contenedores de basura de una empresa en busca de información en papel para construir una persona viable de robo de identidad. Este tipo de fraude se ha vuelto de alta tecnología y muy valioso. Inevitablemente, ha llamado la atención del crimen organizado. Los ladrones de datos operan para grupos del crimen organizado, que usarán la PII robada para perpetrar fraudes, o son operaciones ciberdelincuentes más pequeñas que venderán los datos en la Dark Web.
Alguna PII robada proporciona una pequeña ventana de oportunidad a los actores de la amenaza. Poco después de que la información sea utilizada por los actores de la amenaza, la víctima la advierte. La víctima alerta al proveedor de servicios, como el banco, la compañía de tarjetas de crédito, las compras en línea o el Seguro Social, y la cuenta se congela o cualquier otra acción que deba tomarse. Pero a veces, las acciones fraudulentas no se detectan durante bastante tiempo.
Por qué ocurren las infracciones
Errores internos
Los accidentes ocurren, como dejar una computadora portátil en un tren o enviar una hoja de cálculo por correo electrónico a la persona equivocada. Algunos accidentes ocurren porque no se siguen las políticas y procedimientos, a menudo en momentos de presión o estrés, y se ignoran las prácticas obligatorias o se cortan las esquinas.
Los agentes de amenazas utilizan los ataques de phishing y spear-phishing para obligar a los miembros del personal a instalar de forma inadvertida malware, como rootkits y troyanos de acceso remoto (RAT). La presión laboral también entra en juego aquí. Es menos probable que el personal acosado y con dificultades se detenga y revise una lista de verificación mental para determinar si un correo electrónico o su archivo adjunto es real o malicioso.
Insiders maliciosos
Los empleados descontentos pueden diseñar violaciones de datos de PII para promulgar lo que consideran una justicia vengativa contra la empresa. Otros podrían robar PII para intentar beneficiarse económicamente. Pueden ser plantas que lograron conseguir un trabajo en su empresa, pero en realidad están trabajando para un competidor y están realizando espionaje industrial.
RELACIONADO: El empleado descontento y el daño que pueden causar
Ataques externos
La mayoría de las filtraciones de datos de PII se deben a agentes externos de amenazas. Debido a que el robo de identidad se ha convertido en un negocio lucrativo (criminal) y el crimen organizado se ha interesado, los ataques son coordinados y sofisticados. Pueden montar ataques de phishing, explotar vulnerabilidades o usar ataques de diccionario para averiguar qué contraseñas están en uso.
RELACIONADO: Cómo proteger a su organización contra ataques de diccionario de contraseñas
El cifrado es tu amigo
El cifrado es su amigo, pero no es una panacea universal de ciberseguridad. Aún necesita usar las defensas tecnológicas adecuadas, un gobierno de TI sólido con políticas y procedimientos, y capacitación del personal en conciencia de ciberseguridad para tratar de proteger sus sistemas.
Los datos deben estar encriptados en dispositivos de almacenamiento, como discos duros, discos externos y sistemas de respaldo. Tanto las copias de seguridad locales como las externas deben estar cifradas. Todos los dispositivos móviles, incluidos ordenadores portátiles, teléfonos inteligentes, tabletas, tarjetas de memoria y CD-ROM deben estar encriptados.
El cifrado no detendrá el robo de datos. Con suerte, sus otras medidas defensivas lo harán. Pero cifrar los datos debería evitar que los ciberdelincuentes se beneficien de tenerlos. Es como usar un paquete de tinte con papel moneda. Si la caja fuerte es robada, el paquete de tinte explota, manchando indeleblemente el dinero e inutilizándolo. El paquete de tinte no evitará que una caja fuerte sea robada y abierta, pero no hay recompensa para los criminales.
Además, una violación de datos cifrados es un delito menor mucho menos pernicioso a los ojos de la legislación de protección de datos que la pérdida de PII de texto sin formato.
La tecnología de cifrado está disponible para empresas en una variedad de productos en la actualidad. A menudo, es una parte integral de la oferta de un producto, como el correo electrónico de Microsoft 365.
Los productos también están disponibles para permitirle cifrar sus sistemas locales. Tenga en cuenta que después de elegir e implementar un producto de cifrado, debe revisar periódicamente los distintos productos de cifrado. Incluso se podría demostrar que el mejor programa de cifrado tiene un defecto en sus algoritmos que deja su cifrado vulnerable a la explotación. Por lo tanto, no haga su elección de producto y olvídese. Asegúrese de que su decisión de producto siga siendo válida hoy.
El cifrado conlleva sus propios gastos generales de gobernanza y mantenimiento. Las rutinas de cifrado utilizan claves de cifrado. Estas son cadenas de caracteres y símbolos aparentemente aleatorios que se utilizan con el algoritmo para codificar y decodificar los datos. Y como todas las claves importantes, deben ser salvaguardadas y el acceso a ellas gobernado y controlado. Debe abordar estos temas cuando planee implementar el cifrado a gran escala en su empresa.
Implementación de cifrado
Si no tiene un registro de activos de datos, realice una auditoría de datos y cree una. Como mínimo, necesita saber qué datos tiene, dónde están almacenados, quién necesita acceder a ellos y qué tan sensibles o críticos son. La legislación local, como GDPR, puede requerir que sea mucho más granular que esto.
Categoriza tus datos
Categorice los datos en bandas, como:
- Datos restringidos: Las infracciones de los datos de esta categoría causarán un daño significativo a la empresa, de una forma u otra. Se deben aplicar los más altos niveles de control y protección a estos datos.
- Datos privados: Todos los datos de la empresa que no están restringidos y no son públicos se consideran privados. El acceso no autorizado a datos privados conlleva un riesgo moderado para la empresa. Se debe aplicar un nivel razonable de control y protección a estos datos.
- Datos públicos: Requiere poco o ningún control y protección.
Establecer el período de vencimiento de los datos
Si los datos tienen una fecha después de la cual es poco probable que sean útiles y usted sabe que su cifrado no puede ser anulado dentro de ese período de tiempo, sus datos pueden considerarse seguros.
Algunos datos, como las tarjetas de crédito, tienen una fecha de caducidad clara. Si alguien obtiene el número de tarjeta de crédito y el código de valor de verificación de tarjeta (CVV), solo tiene hasta la fecha de vencimiento de la tarjeta para usarlos.
Otros datos, como los elementos de PII, tendrán un período dentro del cual es razonable esperar que una víctima de fraude relacionado con la identidad note que algo anda mal, como entradas extrañas en un extracto bancario.
Realizar investigación de mercado y diligencia debida
Guiado por los pasos anteriores y su registro de activos de datos, y su presupuesto, por supuesto, revise las herramientas de cifrado disponibles y seleccione la que mejor se adapte a sus necesidades.
Establecer políticas y procedimientos
Cree o actualice políticas y procedimientos existentes para proporcionar control y orientación en el uso de la herramienta de cifrado y el control y protección de las claves de cifrado.
Realice la capacitación del personal
Ofrezca sesiones de formación a su personal para que comprendan las razones de los cambios, cuáles son los nuevos métodos de trabajo y qué se espera de ellos. Deje en claro que estas medidas están diseñadas para protegerlos a ellos y a sus datos.
Incluya este tipo de sesión informativa como parte del proceso de inducción para nuevos empleados.
RELACIONADO: ¿Cuáles son los tres pilares de la ciberseguridad?
No olvides lo básico
Las conexiones remotas a su empresa oa recursos basados en la nube deben realizarse mediante protocolos seguros y cifrados, y todas las aplicaciones y sistemas operativos deben estar parcheados con las últimas actualizaciones y parches de seguridad.
Recuerde que el cifrado protege los datos robados, no evitará que los datos sean robados.