Conocemos todo sobre el uso de la banca en línea y los tokens de seguridad, pero cuando se trata de la seguridad de los datos y los planes de respuesta ante vulneraciones, decidimos consultar a un verdadero experto.
Esta semana nos sentamos con el director de seguridad de la información de Provident Bank, Nathan Horn-Mitchem, y hablamos de su visión del mundo en lo relacionado a la seguridad, su opinión sobre la racha reciente de ataques cibernéticos y la cosa más importante que los dueños de negocios deben saber sobre proteger su bien más preciado: sus datos.
No deje que su sonrisa juvenil y sus anteojos de intelectual de moda lo engañen: Horn-Mitchem es alguien auténtico. Ha trabajado en la industria de la seguridad de la información durante más de una década. Sus empleos más notables antes de unirse a Provident incluyen Johnson & Johnson, Accenture y puestos de consultoría para Goldman Sachs y Deutsche Bank. Posee una certificación como CISSP (Certified Information Security Systems Professional).
Lo más importante: su mensaje es demasiado crucial para ignorarlo.
Equipo de administración de dinero: ¿Por qué es tan importante la seguridad de los datos?
Nathan Horn-Mitchem: Lo veo de esta manera. Sus datos son su empresa. No importa en qué industria se encuentre; no puede funcionar sin sus datos. Por lo tanto, para su organización no tienen precio. Esa información también tiene un valor tangible y real para otros; y si algo es valioso, puede estar seguro de que otras personas tratarán de robarla.
Toda empresa debe tener controles de seguridad de datos establecidos, porque una vulneración de datos no es un evento singular para una empresa. La vulneración inicial es de lo que siempre hablamos, pero lo que no se discute es el efecto a largo plazo de la pérdida de fe de sus clientes en toda su organización.
La mayoría de las vulneraciones de datos no se denuncian. La definición legal de una vulneración de datos varía según la jurisdicción y muchas vulneraciones no satisfacen la definición legal, por lo que no se informa a nadie.
¿Qué piensa sobre la reciente ola de ataques cibernéticos a los principales minoristas y las vulneraciones de internet como HeartBleed?
Lamentablemente, esto no es nada nuevo. Ha estado sucediendo por años. Recientemente, los consumidores, los medios de comunicación y las empresas han tenido más conciencia sobre lo que significa una vulneración de datos, por lo que ahora es un evento de alto perfil.
El hackeo cometido por un joven nerd en el sótano de la casa de su madre, como tantas personas piensan, ya no es la realidad. Hackear se ha convertido en un gran negocio. Lo comete el crimen organizado, los gobiernos e incluso organizaciones dirigiéndolo a sus competidores. Hay herramientas disponibles fácilmente que hacen que sea más fácil ser un mal tipo que un buen tipo. También hay mucho dinero que ganar siendo un mal tipo.
Creo que estos incidentes continuarán aumentando y obligará a los consumidores y a las organizaciones a pensar de manera más proactiva y a tomar mejores decisiones sobre la seguridad de los datos.
¿Qué tecnología podemos usar para combatir los ataques informáticos?
La mejor tecnología que cualquiera puede usar para prevenir hackeos es su cerebro. Las computadoras hacen exactamente lo que están programadas para hacer, por lo que si dependemos únicamente de la tecnología para mantenernos a salvo, ya perdimos.
Las noticias sobre delitos cibernéticos generalmente describen una secuencia de eventos que conducen al momento crítico. Las personas necesitan pensar en las situaciones, alertar sobre eventos sospechosos y tomar decisiones inteligentes sobre no hacer clic en vínculos sospechosos ni visitar sitios web con malware. Todavía no he visto un solo evento de hackeo que no implique algún tipo de error humano.
Una parte importante de obtener acceso a la información implica la ingeniería social y el phishing (suplantación de identidad). La ingeniería social es la práctica de engañar a alguien para que revele información a una persona que no debería tenerla. Mire el programa de televisión Estafa y Crimen para ver cómo operan estos ladrones.
El phishing se produce cuando los piratas informáticos fingen ser una organización con la que usted tiene una relación y le envían un correo electrónico de aspecto legítimo para recopilar información personal. Su banco nunca le pedirá su número de Seguro Social porque ya lo tiene. No necesitan su contraseña porque administran los sistemas en los que usted inicia sesión. Sin embargo, los consumidores caen en estas estafas todo el tiempo.
Los planes de seguridad de datos generalmente tratan la seguridad física/electrónica, la capacitación de los empleados y las prácticas de seguridad de los contratistas y proveedores de servicios. ¿Cuál es el enfoque de Provident?
En Provident, nuestro objetivo es alinearnos con las mejores prácticas de seguridad en el sector financiero. Eso implica tener una defensa a profundidad: múltiples controles, o respaldos, que deberían evitar vulneraciones de datos. De esa manera, si un control falla, los demás controles siguen implementados.
Su casa es un ejemplo perfecto de defensa a profundidad. ¿Cómo mantiene segura su casa? Tiene luces exteriores, un cerrojo, cerraduras de ventanas, un sistema de alarma, vigilancia en el barrio, un perro grande, un bate de béisbol en el clóset, la policía local y seguro de vivienda. Algunos de esos controles están diseñados para evitar que los ladrones intenten entrar, en primer lugar. Algunos están diseñados para detectar a los ladrones que tratan de entrar. Y el resto empieza a activarse si un ladrón entra.
También hacemos énfasis en la capacitación en seguridad a los empleados. Como mencioné antes, el eslabón más débil en seguridad generalmente no es un servidor mal configurado, sino una persona que comete un error o no informa sobre un problema. También implementamos numerosos controles para detectar y prevenir vulneraciones de seguridad, incluyendo la clasificación de datos, las herramientas de protección contra pérdida de datos, la desactivación de puertos USB y unidades de almacenamiento extraíbles, el cifrado de correo electrónico saliente y los bloqueos a los sitios web de correos electrónicos personales.
¿Qué es lo más importante que los propietarios de negocios deben saber sobre la protección de sus datos?
Comprenda quién tiene acceso a sus datos y a su red. Un número cada vez mayor de empresas con programas de seguridad sólidos están sufriendo vulneraciones de datos porque un proveedor externo con acceso a los datos o a la red de la empresa no tiene un programa de seguridad sólido. La vulneración de Target ocurrió porque la empresa HVAC que le prestaba servicios tenía acceso a su red y uno de sus empleados fue víctima de un correo electrónico de phishing.
¿Qué debe hacer una empresa ante una vulneración de seguridad y cuáles son algunas de las consecuencias?
Realmente depende del evento de seguridad, pero se reduce a identificar la vulneración, reunir a las personas adecuadas para tomar decisiones, actuar con rapidez, documentar las decisiones y acciones, y ejecutar un plan de incidentes de seguridad predeterminado. La comunicación es sumamente importante para garantizar que todas las personas adecuadas entiendan su función/obligación para resolver el incidente con éxito.
El impacto más profundo de una vulneración es que usted perdió el control de los datos que se le confiaron para mantener a salvo. Dependiendo de la naturaleza de esos datos, una vulneración podría dar lugar a una serie de consecuencias negativas, incluyendo la pérdida de la confianza del cliente, la incapacidad para hacer negocios y demandas civiles o legales.
¿Hay algo más que nuestros lectores deberían saber?
La seguridad de la información es una mentalidad, no un departamento. Si las personas piensan que es el trabajo de un solo departamento mantener segura la información de la organización, lo más probable es que usted sufra una vulneración de seguridad. Cada empleado debe estar en el negocio de mantener segura la información de la organización con el liderazgo y el apoyo que da el Departamento de Seguridad de la Información.
*Esta es la quinta entrega de “Salvaguardar su empresa", una serie que lo forma en cómo dejar de defenderse de las amenazas comerciales externas. Lo ayudará a ponerse en una posición ofensiva, donde puede comenzar a pensar estratégicamente sobre su negocio. Si se perdió el artículo anterior, puede encontrarlo aquí.
Ver todo educación y recomendaciones
Vistas 
Vistas 
Regresar
