weerapat1003 - stock.adobe.com

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

¿Cómo han evolucionado las brechas de datos?

Las empresas deben hacer que sus abogados, contadores o consultores cumplan con los mismos estándares de integridad de datos que aplican en sus oficinas. La protección de datos comienza con los fundamentos.

Incluso las compañías con sistemas de seguridad de datos redundantes tienen puntos ciegos en las formas sociales o no técnicas donde los detalles corporativos están en riesgo. Los proyectos que enfatizan la seguridad física, las nuevas compras y el monitoreo de los patrones de uso, ganan financiamiento y atención, mientras que las amenazas más mundanas apenas consiguen un pensamiento.

Todo comienza con recordar cerrar la puerta de la sala de servidores.

Considere que unos pequeños ladrones se hicieron con $2.8 millones de dólares en el Gran Asalto de Brinks de 1950, usando tan sólo un pedazo de plástico para abrir una cerradura. En 2014, el pirateo de Sony Pictures fue posible gracias a los inicios de sesión y las contraseñas almacenadas en un archivo sin cifrar llamado "Contraseñas".

Las empresas deben comenzar con lo básico, como capacitar a los empleados para detectar e informar sobre actividades sospechosas. Al igual que la tinta que cambia de color o la tira de seguridad 3D junto al retrato de Ben Franklin pueden detectar un billete falso de $100 dólares, los empleados deben conocer las marcas reveladoras de correos electrónicos fraudulentos o sitios web falsos.

Puede parecer contrario a la intuición que cuanto más alto se ascienda en la jerarquía corporativa, mayor será la necesidad de capacitación en seguridad de datos y conocimiento de la situación. Los malos hábitos y las contraseñas débiles son solo una parte de la historia.

Si se sospecha de una intrusión, todos deberían estar preparados con los pasos adecuados para escalar preguntas e informar a los jefes de departamento, al personal de seguridad de TI o incluso a expertos técnicos externos.

Es importante destacar que los encargados de responder a los incidentes deben adoptar un enfoque de equipo para lanzar una red amplia, investigar si otros departamentos o ubicaciones están afectados y discutir cuándo alertar a las agencias de aplicación de la ley.

Deben configurarse protocolos y practicarse en ejercicios de mesa, para que todos sepan a quién llamar. Los simulacros de incendio son comunes en los campus corporativos.

También se deben practicar simulacros de protección de datos o respuestas a una violación.

Múltiples puntos de fallo, lejos de su oficina

Los empleados que se van con la antigüedad o el acceso a secretos comerciales son otro punto débil.

Los datos de alto valor se deben separar y se debe monitorear el comportamiento inusual (fallas de inicio de sesión, actividades de descarga o eliminación) para detectar o predecir la eliminación de los activos de la compañía.

Si un empleado se retira repentinamente, la primera prioridad de la gerente de recursos humanos debe ser preservar de manera forense todos los datos de los dispositivos emitidos por su compañía para proteger los secretos y establecer un registro en papel electrónico para sentar las bases para una acción legal en caso de que se hayan violado las reglas del lugar de trabajo.

El bloqueo de datos confidenciales también se vuelve más desafiante cuando el curso normal de los negocios requiere que se envíe información confidencial a un bufete de abogados, un contador externo o una agencia de relaciones públicas.

Los ejecutivos que analizan las ofertas de adquisición o las ofertas públicas iniciales (IPO) tienden a dar pistas a los abogados en una etapa temprana. Si bien la confidencialidad es una tradición consagrada en el tiempo en la profesión legal, muchos bufetes de abogados adoptan la tecnología con retraso y pueden tener recursos internos de TI limitados.

El truco legal más notorio es el caso de Panamá Papers. En 2015, más de 11 millones de documentos relacionados con más de 200,000 clientes fueron traspasadas de una firma de abogados con sede en Panamá hacia entidades offshore.

Los archivos de litigios son otra búsqueda del tesoro para los ladrones de datos. Los estándares de protección de datos en las demandas colectivas son confusos; por ejemplo, provocan que los detalles personales o de los clientes, producidos en el proceso de descubrimiento, sean tentadores para los delincuentes cibernéticos. Se puede permitir a los testigos expertos que revisen estos conjuntos de datos, lo que crea otra debilidad pasada por alto. Nunca se sabe quién más puede ver sus documentos y cuál es su comprensión de seguridad, especialmente para las personas sin lealtades corporativas.

Las empresas deben hacer que sus abogados, contadores o consultores cumplan con los mismos estándares de integridad de datos que aplican en sus oficinas. Los grandes bancos o minoristas a menudo envían largos cuestionarios sobre seguridad de TI a los consultores que licitan un contrato, seguidos de una rigurosa inspección en el lugar y la firma de compromisos de confidencialidad.

La protección de datos comienza con los fundamentos. Ignorar los protocolos de seguridad básicos o comprender otras debilidades es tan inútil como esconder la plata en el armario de su casa, pero dejar la puerta principal abierta.

Sobre el autor: Peggy Daley es directora general de Berkeley Research Group en Chicago, y se especializa en seguridad de datos, investigaciones y análisis.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close