¿Cómo evitar riesgos de datos?
Pensemos en una pregunta: ¿Cuál es la mayor amenaza a la seguridad de los datos empresariales? Si su respuesta es el comportamiento ilegal de los piratas informáticos o del personal de TI, eso no es del todo correcto. De hecho, la gente siempre concede gran importancia a los ataques maliciosos de los piratas informáticos y no se pueden tolerar intrusiones maliciosas por parte del personal de TI. De hecho, sin embargo, los empleados con mayor probabilidad de filtrar datos corporativos suelen ser aquellos que no tienen ninguna intención maliciosa. En otras palabras, es más probable que los empleados internos utilicen archivos de red para disfrutar o hagan un mal uso de las computadoras portátiles para provocar fugas de datos.
Según el último informe de la encuesta del Ponemon Institute, el descuido de los empleados internos es, con diferencia, la mayor amenaza para la seguridad de los datos corporativos y provoca hasta el 78 % de los incidentes de seguridad de los datos. El informe también señaló que, si bien las empresas prueban y aplican constantemente las últimas tecnologías de protección de datos internos, no son plenamente conscientes de los riesgos de seguridad que plantean las computadoras portátiles y otros dispositivos de almacenamiento extraíbles de los empleados internos.
La Asociación de la Industria de Redes de Almacenamiento (SNIA) ha publicado un método de autoevaluación de la seguridad del almacenamiento empresarial para probar el alcance de la protección de datos empresariales. Los resultados muestran que la mayoría de las empresas se ven afectadas actualmente por violaciones de datos. Según ITRC (Identity That Resource Center), en Estados Unidos el número de violaciones de datos aumentó un 47% en 2008 en comparación con el año anterior. "Además, estos son sólo números registrados. A menudo recibo promociones en correos electrónicos. Es obvio que mi información personal se ha filtrado a través de algunos canales", explica Craig Mueller, fundador de ITRC y Certified Management Professional.
De hecho, la gente ahora debería ser plenamente consciente de la gravedad del problema. Otra encuesta realizada por el Instituto Ponemon en 2008 mostró que más de la mitad de los 65.438+0.795 encuestados dijeron haber sido informados de una violación de datos más de dos veces en los últimos 24 meses, mientras que el 8% dijo haber recibido avisos de este tipo más de cuatro veces. Sin embargo, hasta ahora las empresas no han sabido cómo protegerse. Según una encuesta del Ponemon Institute, sólo el 16% de 577 expertos en seguridad cree que las medidas de seguridad actuales son adecuadas para proteger los datos corporativos.
En la actualidad, la única forma de resolver el problema es aprender de las lecciones de otras empresas y evitar que ocurran problemas similares. A continuación presentamos cinco violaciones de datos comunes y, en cada caso, hemos incluido recomendaciones para evitar riesgos de seguridad.
Robo de información privilegiada
5438 de junio+065438+octubre de 2007, un administrador senior de bases de datos en CerteEgy Check Services, una subsidiaria de Fidelity National Information Services, aprovechó el acceso a datos privilegiados. Los permisos robaron los datos de Más de 8,5 millones de clientes. Luego vendió los datos a un intermediario por 500.000 dólares, quien luego los vendió a otras empresas. Después de que se reveló el incidente, el empleado fue sentenciado a cuatro años de prisión y se le ordenó pagar 3,2 millones de dólares en pérdidas económicas. Los funcionarios de Certegy Check Services afirmaron que el asunto se resolvió rápidamente y que no se filtró la información personal del cliente. Pero sus clientes aún recibieron mensajes promocionales de otros proveedores que simplemente compraron los datos robados.
En otro caso, un experto técnico que trabajaba en DuPont copió secretos comerciales por valor de 400 millones de dólares antes de dejar su trabajo y luego se trasladó a una empresa asiática que competía con DuPont. Según los registros judiciales, descargó aproximadamente 22.000 resúmenes y 65.438+06.700 archivos PDF con acceso privilegiado que documentan las principales líneas de productos de DuPont, incluidas algunas nuevas tecnologías en desarrollo. Negoció con los rivales de DuPont durante dos meses antes de descargar los datos y finalmente llegó a un acuerdo. Con base en estos antecedentes penales, el tribunal lo condenó a 18 meses de prisión.
Costo: En el caso de DuPont, aunque el gobierno estadounidense finalmente le compensó por pérdidas de 654,38 dólares + 800.000 dólares, el valor de sus secretos comerciales filtrados se estimó en más de 400 millones de dólares. Además, no hay pruebas de que los datos filtrados por DuPont hayan sido obtenidos por competidores, es decir, "cómplices" de los expertos técnicos antes mencionados, lo que imposibilita que DuPont resuelva el problema a través de canales legales más eficaces.
Según la investigación de Semple, las pérdidas causadas por el robo de información de los clientes son mayores que las pérdidas causadas por el robo de propiedad intelectual. En 2008, Certegy Check Services pagó 20.000 dólares cada uno por la pérdida de información de sus clientes.
Análisis: Según el informe del ITRC, el 16% de las violaciones de registros en 2008 fueron causadas por robo interno, el doble que en 2007. La razón es que muchos "headhunting" corporativos ahora van acompañados de delitos comerciales: según una investigación del Equipo de Respuesta a Emergencias Informáticas (CERT) de la Universidad Carnegie Mellon, de 1996 a 2007, la mitad de los delitos internos fueron robo de secretos comerciales.
CERT señaló que hay dos motivaciones principales para que los insiders roben secretos comerciales: primero, pueden obtener dinero; segundo, pueden obtener ventajas comerciales.
Si bien estos últimos comenzaron principalmente cuando los empleados se preparaban para irse, la mayoría de estos casos se descubrieron después de que los empleados se fueron porque dejaron registros de acceso secreto a datos. Se puede ver que las amenazas internas son uno de los problemas difíciles en la gestión de la seguridad de los datos, especialmente para aquellos empleados con privilegios.
Recomendación: en primer lugar, se recomienda que las empresas supervisen el acceso anormal a la base de datos y limiten los derechos de acceso disponibles actualmente para los diferentes usuarios, para que el sistema pueda detectar fácilmente si los empleados responsables de un trabajo específico han accedido más allá del límite. Por ejemplo, DuPont descubrió su comportamiento ilegal tras detectar que expertos técnicos habían accedido de forma anormal a bases de datos electrónicas. Además, una vez que se descubre una violación de datos, lo más importante es actuar rápidamente para reducir la posibilidad de difusión de información y enviarla a las autoridades legales para una investigación rápida.
En segundo lugar, las empresas deben utilizar herramientas de control de acceso personal para garantizar que el sistema registre a todos los que hayan accedido a información importante. Además, el acceso a las bases de datos que almacenan información de clientes y empleados debe estar estrictamente restringido. De hecho, en términos de trabajo diario, ¡cuántas personas tienen la necesidad de verificar su número de identificación y número de seguro social en privado! Por tanto, la información personal debe tener el mismo nivel de confidencialidad que los secretos comerciales.
Nuevamente, se recomienda utilizar herramientas de prevención de pérdida de datos para evitar que los datos personales se filtren a través del correo electrónico, la impresión o la copia a dispositivos de almacenamiento externos, como computadoras portátiles. Estas herramientas pueden alertar a los administradores cuando alguien intenta copiar y registrar datos de identificación personal. Sin embargo, muchas empresas aún no han aplicado herramientas similares de registro de auditorías.
Además, también es importante fortalecer los controles y auditorías internas. Por ejemplo, las empresas pueden realizar supervisión estableciendo auditorías en línea o registrando la actividad de la base de datos. Es posible que simplemente mantener registros detallados no sea suficiente; las empresas deben realizar auditorías para verificar si los registros han sido alterados o si se ha accedido ilegalmente a ellos. Por supuesto, no se puede confiar únicamente en medios técnicos. Las empresas también deben asegurarse de que los usuarios de datos en los que confían sean realmente dignos de confianza.
Robo de equipos
En mayo de 2006, un trabajador del Departamento de Asuntos de Veteranos de EE. UU. perdió su computadora portátil, lo que provocó la pérdida de datos personales de 26,5 millones de veteranos. Afortunadamente, el ladrón finalmente fue arrestado y no se produjeron consecuencias más graves. Aunque el FBI afirmó más tarde que los datos no se habían visto comprometidos, el incidente tuvo un gran impacto en el Departamento de Asuntos de Veteranos. Casualmente, en junio de 2007, una computadora portátil del Departamento de Asuntos de Veteranos fue robada del Hospital Central de Alabama, lo que provocó la filtración de datos personales de 535.000 veteranos y más de 6.543.800 médicos.
Costo: Durante más de un mes después del incidente, el VA gastó 200.000 dólares al día apoyando un centro de llamadas para responder las preguntas de la gente sobre el robo de datos. Además, deberán pagar $654,38 millones en concepto de impresión y envío de cartas de notificación.
Por lo tanto, el Departamento de Asuntos de Veteranos también fue demandado conjuntamente, incluida una solicitud de compensación de 65.438 dólares estadounidenses + 0.000 yuanes por las pérdidas causadas a todos. El Departamento de Asuntos de Veteranos pagó más de 20 millones de dólares a soldados en servicio activo y retirados después de una segunda filtración de datos en 2007, resolviendo una demanda conjunta. Con este fin, el gobierno estadounidense también asignó 25 millones de dólares para compensar las pérdidas.
Análisis: El robo de dispositivos se ha convertido en la principal causa de filtraciones de datos: en 2008, representó alrededor del 20%. Según Bart Schmidt, socio del bufete de abogados Seyfarth Shaw de Chicago, la mayoría de los casos de violación de datos que maneja involucran la pérdida de computadoras portátiles.
Recomendación: Primero, limite la información de identificación personal almacenada en su computadora portátil. Por ejemplo, no almacene los nombres de clientes y empleados junto con sus números de identificación, números de Seguro Social, números de tarjetas de crédito y otra información de identificación. Puede "truncar" estos números y almacenarlos, o considerar crear información personal, como vincular el apellido de cada persona con los últimos cuatro dígitos de su número de Seguro Social.
En segundo lugar, existe la necesidad de cifrar la información personal almacenada en las computadoras portátiles, aunque esto generará algún costo potencial (alrededor de $50 a $100 por computadora portátil), así como cierta pérdida de rendimiento. Blair Semple, vicepresidente de seguridad de almacenamiento de la Storage Networking Industry Association, dijo una vez que cifrar datos requiere que las empresas y los empleados formen una conciencia tan fuerte. En muchos casos, cifrar datos no es difícil, pero la gente no lo hace. No es difícil ver que el problema a nivel gerencial es el mayor.
Finalmente, se recomienda establecer una contraseña más protectora en el soporte de datos.
Intrusión externa
Del 5 de junio al 38 de octubre de 2007, el minorista TJX Company descubrió que su sistema de transacciones de clientes había sido pirateado. Inexplicablemente, la intrusión comenzó en 2003 y duró hasta febrero de 2006, cuando los piratas informáticos obtuvieron acceso a la información de las cuentas de 94 millones de clientes, y el robo de datos sólo se descubrió cuatro años después, durante un incidente con una tarjeta de crédito falsificada. En el verano de 2008, 11 personas fueron acusadas en relación con este incidente, que fue el caso de robo de piratería más grande jamás manejado por las agencias policiales estadounidenses.
Costo: Se estima que TJX perdió aproximadamente 256 millones de dólares en esta violación de datos, incluida la recuperación del sistema informático, honorarios legales, investigación y otros costos de soporte, y la pérdida también incluyó compensaciones a VISA y MasterCard.
Además, la Comisión Federal de Comercio de EE. UU. también exige que TJX encargue a una agencia independiente la realización de inspecciones de seguridad cada dos años durante 20 años.
Algunas personas incluso predicen que TJX sufrirá pérdidas de más de 654,38 mil millones de dólares estadounidenses, porque incluirá costos de acuerdos legales y el costo de perder muchos clientes. Según un estudio de Ponemon de abril de 2008, las empresas que normalmente sufren una filtración de datos perderán el 365.438+0% de su base de clientes y flujos de ingresos. Según el informe estadístico anual más reciente de Ponemon sobre pérdidas por violaciones de datos, las empresas pierden 202 dólares por cada pieza de información de los clientes comprometida, frente a 197 dólares en 1997, siendo la pérdida de oportunidades de negocio como resultado de las violaciones de datos la parte más significativa del aumento de las pérdidas.
Análisis: Según la investigación de Ponemon, la fuga de datos causada por ataques de piratas informáticos ocupa el quinto lugar entre las amenazas a la seguridad. Según una encuesta del ITRC, el 14% de las violaciones de datos registradas en 2008 fueron causadas por ataques de piratas informáticos. Pero esto no significa que las empresas deban no hacer nada o incluso dejar que las cosas sucedan.
En el caso de TJX, los piratas informáticos utilizaron tácticas de guerra para infiltrarse en los sistemas e irrumpir en las redes corporativas. Esto se debe principalmente a que la codificación de red utilizada por TJX está por debajo de las especificaciones estándar, las computadoras en la red no tienen firewalls instalados y los datos transmitidos no están encriptados, lo que permite a los piratas informáticos instalar software en la red y acceder a la información del cliente en el sistema. e incluso interceptar comprobaciones de precios. Flujos de datos entre dispositivos, cajas registradoras y ordenadores de la tienda.
Recomendación: si el acceso a la base de datos es muy fácil, se recomienda que las empresas utilicen medidas de seguridad y codificación de datos de alto nivel.
Descuido del empleado
Un empleado de Pfizer ha estado trabajando de forma remota a través de Internet y una computadora portátil. Inesperadamente, su esposa instaló un software no autorizado para compartir archivos en su computadora portátil para trabajar, lo que permitió a personas externas obtener la información personal de 17.000 empleados actuales y anteriores de Pfizer, incluidos nombres, cuentas de seguridad social, direcciones e información de bonificaciones. Las estadísticas muestran que alrededor de 15.700 personas descargaron los datos a través de software P2P y otras 1.250 personas los enviaron.
Costo: Para minimizar el daño de una violación de datos y evitar que ocurran incidentes similares, Pfizer celebró un contrato de "soporte y protección" con las agencias de crédito, que incluye una cobertura de un año de información relacionada con la violación de datos. Servicios de monitoreo de crédito y pólizas de seguro para cubrir pérdidas personales resultantes de una violación de datos.
Análisis: Los empleados descuidados (aunque sin querer) son la mayor amenaza para la seguridad de los datos, según una nueva investigación de Ponemon. Según las estadísticas, el 88% de las filtraciones de datos están relacionadas con el descuido de los empleados. Si los empleados de una empresa pueden tener una mayor conciencia de seguridad, la cantidad de violaciones de datos se reducirá considerablemente. En el caso de Pfizer, fue porque la esposa del empleado instaló un software para compartir archivos en su computadora portátil que otros pudieron acceder a los datos de la computadora portátil, incluida la información de datos internos de Pfizer, a través de un software P2P.
Empleados descuidados que agregan archivos * * * para disfrutar del software es definitivamente una combinación peligrosa. Una investigación realizada por Dartmouth College en 2007 mostró que, aunque la mayoría de las empresas no permiten la instalación de software P2P en redes corporativas, muchos empleados lo han instalado en computadoras remotas y domésticas. El estudio encontró que los empleados de 30 bancos estadounidenses utilizaban software P2P para compartir música y otros archivos y, sin darse cuenta, filtraban datos de cuentas bancarias a posibles ciberdelincuentes. Una vez que se filtren datos comerciales, se difundirán a muchas computadoras en todo el mundo a través de software P2P.
Recomendación: Los departamentos de TI de la empresa deberían prohibir completamente a los empleados el uso de software P2P, o formular regulaciones para restringir el uso de P2P e instalar herramientas para fortalecer esta supervisión. Además, los sistemas informáticos de los empleados deben ser auditados para evitar que los empleados descarguen software. Por ejemplo, los empleados pueden cancelar las calificaciones de administrador, por lo que no pueden instalar ningún programa. Al mismo tiempo, lo más importante es la educación y la formación, porque pueden hacer que los empleados comprendan los peligros del P2P.
Fuga de socios
En junio de 2008 5438+065438+octubre, el Departamento de Seguridad Económica de Arizona notificó a los padres de aproximadamente 40.000 niños que su información personal pudo haber sido comprometida porque el agente Perdí varios discos. Aunque el disco está protegido con contraseña, no está cifrado.
Costo: las estadísticas muestran que para las empresas, la pérdida por fuga de datos de los socios suele ser mayor que la pérdida por fuga interna. Según las estadísticas de la encuesta de Ponemon, si un socio filtra un registro de datos, la empresa perderá 231 dólares, mientras que la pérdida de un registro de datos filtrado dentro de la empresa es de aproximadamente 1,71 dólares.
Análisis: El informe anual de pérdidas de Ponemon muestra que las filtraciones de datos causadas por la subcontratación, la subcontratación, la consultoría y los socios comerciales están aumentando, representando aproximadamente el 44 % de todas las filtraciones de datos el año pasado, un aumento del 40 % con respecto a 2007. . El estudio del ITRC también señaló que el 10% de las filtraciones de datos en 2008 estuvieron relacionadas con proxy.
Recomendación: las empresas deben firmar contratos detallados con niveles de servicio más altos para garantizar que los agentes cumplan con el acuerdo. Una vez que se viola el contrato, pueden ser sancionados. Además, cuando se utilizan cintas o discos de respaldo, deben estar cifrados y protegidos con contraseña.