Las empresas de hoy funcionan con datos. Los recopilan de los clientes en cada interacción y los utilizan para mejorar la eficiencia, aumentar su agilidad y brindar un mayor nivel de servicio. Pero se está volviendo dolorosamente obvio que todos los datos que recopilan las empresas también las han convertido en un objetivo atractivo para los ciberdelincuentes.
La evidencia de esto está aumentando con cada día que pasa. En los últimos meses se han producido fugas de datos masivas dirigidas a Neiman Marcus, Facebook y la aplicación de negociación de acciones de Robinhood. Y están casi solos. En los últimos años, la cantidad de filtraciones de datos en todo el mundo se ha acercado a tres por día en promedio.
Estas estadísticas sugieren que la empresa promedio tiene un objetivo detrás y se está quedando sin tiempo para defender sus datos. Y no tiene que ser difícil de hacer. Para ayudarlo, aquí hay un marco simple de 5 pasos que las empresas de todos los tamaños pueden usar para proteger los datos de sus clientes.
Resumen
Paso 1: Revisar y ajustar los estándares de recopilación de datos
El primer paso que deben dar las empresas para aumentar la seguridad de los datos de sus clientes es verificar qué tipos de datos recopilan y por qué. La mayoría de las empresas que hacen este ejercicio finalmente se sorprenden con lo que encuentran. Esto se debe a que, con el tiempo, el volumen y la diversidad de la información de los clientes que se recopila se expande mucho más allá de la intención original de la empresa.
Por ejemplo, es bastante estándar recopilar cosas como el nombre y la dirección de correo electrónico de un cliente. Y si eso es todo lo que la empresa tiene en sus registros, no serán un objetivo atractivo para el atacante. Pero si una empresa tiene un centro de llamadas en la nube o cualquier tipo de ciclo de ventas de alto contacto o atención al cliente, es probable que recopile domicilios, datos financieros e información demográfica, entonces han compilado una colección que es ideal para permitir el robo de identidad. si los datos salen a la luz.
Por lo tanto, al evaluar cada punto de datos recopilados para determinar su valor, las empresas deben preguntarse: qué función comercial crítica facilitan estos datos. Si no hay respuesta, deben borrar los datos y dejar de recopilarlos. Si hay una respuesta válida pero una función que no es crítica, la empresa debe considerar los beneficios que generan los datos, con el daño potencial que sufrirían si se descubrieran en caso de una brecha.
Paso 2: Minimice el acceso a los datos
Después de reducir la cantidad de datos a proteger, el siguiente paso es reducir el área de ataque a los datos minimizando quién tiene acceso a ellos. Los controles de acceso juegan un papel excesivo en la protección de datos porque robar las credenciales de los usuarios es la principal forma en que los atacantes obtienen acceso a los sistemas protegidos. Por esta razón, las empresas deben aplicar el principio de privilegio mínimo (PoLP) tanto a sus almacenes de datos como a los sistemas que se conectan a ellos.
Y minimizar el acceso a los datos tiene otro efecto secundario beneficioso: ayuda a evitar que las amenazas internas provoquen filtraciones de datos. La firma de investigación Forrester ha pronosticado que las amenazas internas provocarán una interrupción del 31 % este año, una cifra que seguirá creciendo. Debido a que los datos confidenciales de los clientes no caen en manos de la mayoría de los empleados, las empresas abordan las amenazas internas y externas al mismo tiempo.
Paso tres: elimine las contraseñas siempre que sea posible
Incluso después de reducir la cantidad de personas que tienen acceso a los datos de los clientes, hay otra forma en que las empresas pueden dificultar el acceso de los piratas informáticos. Esto es para eliminar las contraseñas como método de autenticación principal siempre que sea posible. Es un pequeño cambio que puede cambiar el mundo.
Según el Informe de investigaciones de violación de datos de Verizon de 2021, el 61 % de todas las filtraciones de datos del año pasado involucraron el uso de credenciales, robadas o no. De ello se deduce lógicamente que cuanto menos información de inicio de sesión deba preocuparse, mejor. Y hay varias formas de reducir su dependencia de los sistemas de autenticación de contraseña convencionales.
Uno es el uso de autenticación de dos factores. Esto significa que las cuentas requieren una contraseña, así como un token de seguridad de tiempo limitado, generalmente entregado a través de una aplicación o SMS. Pero un enfoque aún mejor es usar claves de seguridad de hardware. Estos son dispositivos físicos que se basan en datos criptográficos irrompibles para controlar el acceso a los datos. Con su uso, las amenazas de phishing y otros ataques de ingeniería social se reducen significativamente. Son el mejor método de autenticación segura actual, al menos hasta que se extienda una solución como Hushmesh.
Paso cuatro: cifrar datos en reposo y en movimiento
Si bien es cierto que las credenciales comprometidas son, con mucho, la mayor amenaza para las filtraciones de datos, no son las únicas amenazas. Siempre es posible que un atacante explote una vulnerabilidad de software u otra vulnerabilidad de seguridad para eludir los métodos de control de acceso comunes y obtener acceso a los datos del cliente. Lo peor de todo es que tales ataques son difíciles de detectar y aún más difíciles de detener tan pronto como ocurren.
Por lo tanto, el cuarto paso en cualquier plan de protección de datos competente es garantizar que todos los datos de los clientes permanezcan encriptados en todo momento. Esto significa utilizar un software que utilice un cifrado sólido a medida que pasan los datos, hardware y componentes de red que utilicen el cifrado y un sistema de almacenamiento que permita cifrar los datos fácilmente. Esto minimiza el acceso a los datos que un atacante podría obtener sin credenciales y puede ayudar a reducir el daño si ocurre una intrusión.
Paso 5: Cree un plan de respuesta a la violación de datos
Se mire como se mire, no existe la ciberseguridad perfecta. Los atacantes siempre están trabajando duro para encontrar debilidades que puedan explotar. Las empresas que están bien preparadas eliminarán o minimizarán muchos de ellos. Sin embargo, esto no significa que la fuga de datos sea imposible.
Es por eso que el último paso en la protección de datos del cliente es desarrollar un plan de respuesta a la violación de datos. Debe proporcionar a la empresa un plan para ayudarla a responder si un atacante obtiene acceso a los datos del cliente. El plan no debe entrar en detalles, explicando todo, desde cómo deben responder los equipos internos de TI, quiénes son consultores de seguridad externos y cómo se debe notificar a los clientes sobre la infracción.
Y la última parte es posiblemente la más importante. Después de una violación de datos, la forma en que una empresa trata de garantizar la integridad de sus clientes puede determinar qué tan bien regresará, si es que lo hace. Por ejemplo, podría ser conveniente asociarse con una empresa de seguridad del consumidor como Aura para brindar a los clientes afectados protección contra el fraude financiero y protección de identidad después de una violación de seguridad. Esto reducirá el riesgo de cualquier evento posterior que dañe aún más la reputación de la empresa.
Línea de fondo
El simple hecho es que las empresas que aún no han sufrido fugas de datos operan con tiempo prestado. Y las posibilidades están muy en su contra. Pero usar el marco descrito aquí contribuirá en gran medida a cambiar las posibilidades a su favor. Minimiza el riesgo de fuga de datos, reduce los daños si se producen y ayuda a la empresa a afrontar las consecuencias. En un mundo imperfecto, que es un mundo de ciberseguridad, ninguna empresa puede desear más.
