¿Qué deberían hacer las organizaciones ante una violación de datos? Parte I

La información que se encuentra en un teléfono móvil está mejor protegida que la que reside en la mayoría de los centros de datos corporativos.

Según un reciente estudio de IBM, el uso extensivo de la encriptación es un factor importante en la reducción del impacto comercial y el costo de una violación de datos. El Índice de Inteligencia de Amenazas de X-Force de IBM informó que en 2016 se afectaron más de 4 mil millones de registros, lo que representó un aumento de 556% a partir de 2015.

Una de las tres principales agencias de crédito globales, Equifax, anunció públicamente que había sufrido una importante violación de datos: hackers no identificados explotaron una vulnerabilidad en el software de su sitio web para obtener acceso no autorizado a los datos de la compañía y lo filtraron de mayo a julio de este año, impactando hasta a 143 millones de consumidores.

Si los atacantes estaban motivados financieramente, podrían monetizar los datos al abrir fraudulentamente nuevas cuentas en instituciones financieras, realizar transacciones no autorizadas y vender los datos a otros delincuentes.

Si un estado nación realizó el ataque, la información robada podría usarse para apoyar operaciones de espionaje.

 

La violación de datos es la última de una serie de incidentes cibernéticos de alto perfil, y es un recordatorio de que las organizaciones deben mejorar y coordinar mejor sus controles de seguridad cibernética y antifraude, incluidos los relacionados con la administración de identidades, autenticación, encriptación de datos y parches aplicaciones vulnerables

Al realizar evaluaciones integrales de riesgos, desarrollar una estrategia de autenticación unificada y centralizar la gobernanza, las organizaciones logran una mejor visión del panorama de las amenazas, evitan y detectan mejor las transacciones sospechosas y agilizan las investigaciones.

¿Qué deberían hacer las organizaciones?

Ante las consecuencias inmediatas de una violación de datos, las organizaciones deben tomar medidas para identificar a la población de sus clientes en riesgo y comunicarse con ellos con respecto a si fueron afectados y lo que deben hacer.

Los departamentos de cumplimiento deben seguir de cerca las regulaciones federales y estatales que pueden requerir que informen a los clientes o reguladores dentro de un período de tiempo prescrito.

Identificar a los clientes en riesgo

La identificación de clientes afectados no es una tarea fácil, y el método para hacerlo varía según el producto. Si bien todas las organizaciones deberían contar con métodos para determinar las cuentas potencialmente comprometidas, las instituciones financieras deberían tomar nota de algunas consideraciones clave para varios productos.

Para las tarjetas de crédito, estas instituciones deben compartir con las partes comprometidas los primeros 6 dígitos de los números de tarjetas de crédito (rangos de BIN) para ayudar a identificar las cuentas de clientes que han sido comprometidas.

Para los productos de préstamo, la tarea es más compleja debido al número potencial de partes involucradas (suscriptores, creador de préstamos, administrador de préstamos, concesionarios de automóviles, minoristas). Como resultado, las instituciones financieras tendrán que coordinar con estas partes para identificar qué préstamos pueden haber estado expuestos al incumplimiento.

Las solicitudes de abrir productos no crediticios tales como cuentas corrientes, cuentas comerciales y productos de seguros aún resultan en un “soft ping” a las agencias de crédito, por lo tanto, las PII de los clientes para estas cuentas también están en riesgo.

Comunicarse con los clientes

Las organizaciones deben comunicarse con sus clientes y transmitir lo que se está haciendo para mitigar la exposición potencial de la manera más rápida y eficaz. Una vez identificado los clientes potencialmente afectados, deben sugerir que realicen un “congelamiento de crédito” llamando a las 3 principales agencias de crédito y pidiéndoles que restrinjan todas las nuevas solicitudes de crédito para los próximos 3 a 6 meses, cambiar las preguntas de restablecimiento de contraseña para las cuentas en línea y mantenerse alerta respecto a las estafas en línea que utilizan esta infracción de datos para solicitar información confidencial.

Después de un incumplimiento, las organizaciones recibirán un aumento significativo en los volúmenes de llamadas de los clientes interesados. Para administrar este aumento, deben hacer campañas de comunicación multicanal, incluyendo páginas web personalizadas, para mantener informados a los clientes sobre los desarrollos y proporcionar consejos y recursos útiles.

 

La rapidez de respuesta es más importante a medida que se implementan nuevas regulaciones como la nueva norma europea de protección de datos (GDPR) en mayo de 2018, momento en que las empresas que hagan negocios en Europa deberán informar de pérdidas de datos en 72 horas o se enfrentarán a multas de más del 4% de su facturación anual.

 

Fuentes:

Preventing the Next Data Breach

Así golpea el aumento explosivo de la violación de datos a las empresas

¿Cuánto le cuesta a una compañía una violación de datos?