La creciente incidencia de filtraciones para extraer credenciales de cuentas de clientes y los requisitos de notificación de filtraciones más estrictos ponen a las empresas entre la espada y la pared. Están sujetas a la lógica cruel de que una filtración de un proveedor puede resultar en la vulneración de las cuentas de clientes de otro debido a la reutilización de contraseñas. Las regulaciones se están volviendo más estrictas para reducir el margen de oportunidad para que esta lógica cruel se materialice.
Pero, como han ilustrado las brechas de seguridad recientes, las empresas generalmente descubren qué cuentas han sido expuestas cuando los atacantes ponen a la venta volcados de credenciales de usuario. Estas situaciones no solo generan pánico, sino que las empresas se ven obligadas a emitir una notificación general de la brecha de seguridad a todos sus clientes, lo que daña aún más su confianza. En algunos casos, quienes reciben las notificaciones pueden no ser clientes actuales. Y, como muestra la actividad reciente de Twitter, las empresas pueden tener que pasar por el equivalente a una notificación de brecha de seguridad incluso sin que esta se produzca.
En previsión de una violación de datos y de que las credenciales de los usuarios lleguen a mercados de venta de piratas informáticos, las empresas deben adoptar una postura proactiva y contar con un plan de respuesta, en lugar de verse sorprendidas por catalizadores externos. Mapeo de identidades de clientes El acceso a sus datos personales dondequiera que residan y el mantenimiento de una visión centralizada de qué datos pertenecen a quién son la base de un plan sensato de notificación de infracciones y pueden ayudar a evitar tener que emitir notificaciones generalizadas.
Minimizar el impacto de las infracciones mediante notificaciones oportunas
La mayoría de las empresas responsables ya están centralizando los datos de los usuarios y utilizando hashes y salting de contraseñas. Sin embargo, las cuentas de usuario pueden verse comprometidas sin que los atacantes accedan a los repositorios de datos de los usuarios. Los atacantes pueden obtener nombres de usuario y contraseñas correlacionando datos de otras filtraciones y luego lanzar ataques automatizados para descubrir qué combinaciones funcionan. Precisamente por eso, Twitter recomendó recientemente a los usuarios restablecer sus contraseñas, aunque sus propios sistemas no habían sido vulnerados, pero los ciberdelincuentes habían puesto a la venta cuentas de usuario y credenciales de Twitter.
Lo que complica la situación para muchas empresas es la imposibilidad de identificar de forma consistente qué cuentas de usuario han sido expuestas o, lo que es más grave, qué cuentas probablemente se hayan visto comprometidas. En cambio, para cumplir con las normas de notificación de infracciones, deben alertar a todos los clientes que podrían haberse visto afectados.
Al mismo tiempo, las leyes de notificación de infracciones que han estado vigentes durante algún tiempo, especialmente en el sector de la salud, por ejemplo, se están volviendo más explícitas y estrictas porque los reguladores ven que esta tendencia socava la integridad sistémica de los negocios digitales, no solo de las empresas afectadas.
De hecho, en estados como California y Nueva York se está tramitando legislación que exigiría medidas de seguridad específicas para proteger la información de las contraseñas, además de imponer multas si las empresas no informan de la filtración con la suficiente rapidez. Además, la legislación propuesta sobre filtraciones abarca de forma más amplia lo que constituye información personal, incluyendo datos médicos, de seguros o biométricos. Illinois Recientemente se unió a California, Florida y Nebraska para aprobar leyes que requerirán que se notifique a las personas si su nombre de usuario en combinación con una contraseña o una pregunta y respuesta de seguridad que permitiría el acceso a una cuenta en línea se adquiere sin autorización.
Al otro lado del charco, el Reglamento General de Protección de Datos de la UE ahora exige que se notifique a una autoridad de supervisión de protección de datos sobre una violación de datos personales “sin demora indebida y, cuando sea posible, a más tardar 72 horas después de haber tenido conocimiento de ella”.
Centralice el conocimiento de los datos de sus clientes, no sus datos de clientes
Los procedimientos de notificación de violaciones no sólo consumen mucho tiempo y son costosos, sino que también minan la confianza de los clientes y generan riesgos para la reputación, especialmente para las empresas que desean ser vistas como custodios vigilantes de los datos de sus clientes.
En lugar de darse por vencidos y pensar que una violación de seguridad es el costo de hacer negocios, o trasladar la carga a los usuarios para que administren sus contraseñas, las empresas necesitan herramientas para limitar activamente el alcance de los requisitos de notificación de violaciones y garantizar que exista un plan para responder si las cuentas de los usuarios se ven comprometidas.
Centralizar los datos de los usuarios presenta sus propios desafíos y, en muchos casos, puede no ser técnicamente viable ni compatible con los marcos regulatorios. En cambio, se necesita una visión centralizada de las identidades de los clientes y sus datos.
Fragmentos de datos personales se encuentran dispersos en aplicaciones, bases de datos, directorios y repositorios de big data sin una visión centralizada de a quién pertenecen los datos. Comprender quiénes son sus usuarios y construir una visión de dónde residen sus datos proporciona la base para una visión más granular. riesgo de exposición a infraccionesCon una visión clara de las identidades que las empresas buscan proteger, pueden trabajar para limitar el alcance de los datos personales cubiertos por los requisitos de notificación de infracciones e identificar qué usuarios representan el mayor riesgo cuando se producen infracciones de terceros.
Autor
