¿Qué deberían hacer las organizaciones ante una violación de datos? Parte II

En América Latina, la mayoría de los países cuenta con regulaciones que obligan a las empresas a proteger la información de sus clientes, el no hacerlo los hace incurrir en penalidades.

Además de la identificación y comunicación con los clientes, las organizaciones deberían tomar las siguientes medidas (muchas, a largo plazo) para mitigar el riesgo de los datos potencialmente expuestos y para reducir la probabilidad de que ocurra este tipo de incidencia en el futuro:

Controles de seguridad cibernética

Cifrar los datos personales confidenciales de los clientes, incluidos los datos “en reposo”. Así, si un atacante obtiene acceso, no puede acceder fácilmente a datos sensibles y explotarlos.

Endurecer y reducir la superficie de ataque de su organización mediante la corrección o el desplazamiento de aplicaciones web vulnerables detrás de cortafuegos o restringiendo el acceso desde fuentes externas.

Mejorar el proceso y las capacidades de prueba de identidad. Algunos ejemplos: que el personal de atención al cliente vuelva a llamar a los clientes con números telefónicos pre-registrados que requieren el uso de redes privadas virtuales (VPN) para acceso remoto e implementar bloqueos de cuenta después de un número determinado de inicios de sesión fallidos.

Utilizar análisis de comportamiento para detectar actividad anómala asociada a usuarios que acceden a datos confidenciales (registro, consultas al servicio de asistencia, restablecimientos de contraseña, transacciones comerciales).

Estar al tanto de las regulaciones gubernamentales que obligan a las empresas a proteger mejor los datos de los clientes contra el robo de identidad.

Según un nuevo estudio global de IBM y el Instituto Ponemom, llamado ‘Cost of Data Breach 2017’ que estima cuánto le cuesta una violación de datos a una compañía, los incidentes de seguridad generan un costo promedio de U$ 3,62 millones a nivel mundial.

Controles antifraude

  • Mejorar los controles y políticas de autenticación, incluyendo el requerimiento de autenticación de múltiples factores, biométrica (ej., huellas dactilares) o fuera de banda (a través de SMS o llamada telefónica).
  • Reforzar los controles relacionados con la toma de cuentas, incluyendo el desarrollo o mejora de los controles posteriores para restringir la adición de un usuario autorizado, la actualización de la dirección física y las solicitudes de tarjetas de crédito o débito adicionales.
  • Implementar analíticas de fraude para desarrollar o aumentar capacidades de inteligencia y análisis relacionadas con múltiples aplicaciones de nuevas cuentas, como aquellas presentadas con una sola dirección IP o ID de dispositivo.
  • Proporcionar orientación al personal del centro de llamadas para que tome medidas adicionales al verificar las identidades de los clientes para tener en cuenta a los criminales que pueden pedir reajustes de contraseñas u otras actividades de administración de cuentas como si fuesen clientes.
  • Fortalecer el proceso de integración para cuentas comerciales y empresariales existentes y nuevas.
  • Implementar un plan de comunicación interna para discutir el impacto potencial para el negocio y los próximos pasos, que incluya el desarrollo de planes de acción, cambios de control y métricas sobre el desempeño de los controles de mitigación.

 

Integrar los programas de ciberseguridad y fraude

Las organizaciones pueden realizar los siguientes pasos para integrar más estrechamente sus programas de ciberseguridad y fraude:

Reunir los datos de los departamentos de ciberseguridad y fraude en un repositorio central para advertir los indicadores rojos de transacciones sospechosas.

Dado el volumen de transacciones que muchas organizaciones necesitarán analizar, se recomienda usar análisis de datos para identificar señales sospechosas (múltiples intentos de inicio de sesión fallidos, direcciones IP sospechosas) en un mar de ruido de transacción.

Realizar evaluaciones holísticas del riesgo de delitos financieros, que deberían:

  • Evaluar y priorizar amenazas basadas en las tendencias históricas, conocidas y emergentes de la delincuencia financiera, incluido el ataque Equifax.
  • Estimar la gravedad y probabilidad de ataques, e inventariar los factores atenuantes existentes.
  • Evaluar los riesgos basados ​​en controles actuales de delitos financieros (ciber, fraude, anti-lavado de dinero) y recomendar ajustes a los controles y procesos.
  • Mejorar los procesos de seguimiento y generación de informes de actividades sospechosas para alertar sobre el impacto del incumplimiento en toda la empresa.
  • Desarrollar un proceso coordinado entre la ciberseguridad y los equipos de fraude para los procesos y procedimientos de respuesta a incidentes y gestión de crisis. Esto incluye proporcionar un proceso de gobernanza central para las investigaciones, que debe incluir rutas de escalada claramente definidas y planes de comunicación.

Las organizaciones que adoptan un enfoque holístico de la gestión de casos pueden responder más rápidamente a los ataques, priorizar mejor las investigaciones y distribuir de manera más eficiente la carga de trabajo de la investigación.

 

Fuentes:

Preventing the Next Data Breach

Así golpea el aumento explosivo de la violación de datos a las empresas

¿Cuánto le cuesta a una compañía una violación de datos?