MÉTODOS EFICACES PARA COMBATIR LAS VIOLACIONES DE DATOS

Ciberseguridad

Ciberseguridad:
MÉTODOS EFICACES PARA COMBATIR LAS VIOLACIONES DE DATOS

Las violaciones de datos son un problema cada vez más grande para las empresas. Pueden causar daños financieros y reputacionales de los que algunas empresas les resultará imposible recuperarse. ¿Qué métodos están disponibles para las organizaciones para ayudarles a proteger sus datos?

Vivimos en una era digital. Los datos son ahora una mercancía, con empresas que poseen grandes cantidades de información sobre sus clientes, proveedores y empleados. Tienen el deber de proteger esta información y, sin embargo, una encuesta de 2018 a ejecutivos de TI encontró que la mayoría de las organizaciones sólo estaban “moderadamente listas” para manejar las amenazas de ciberseguridad. En un período de doce meses, se estima que el 77% de las empresas se ocuparán de una violación de datos, lo que costará a la industria más de 1 billón de dólares.

Los ciberataques malintencionados son sólo una de las formas en que los datos almacenados de una empresa pueden ser accedidos ya sea ilegal o sin autorización. Sin una seguridad cibernética adecuada, los sistemas pueden estar en riesgo debido al comportamiento de los empleados, los dispositivos móviles no seguros, las aplicaciones de almacenamiento en la nube y los proveedores de servicios de terceros. Las infracciones vienen en muchas formas – ransomware, malware, phishing, y la negación de servicios – pero su introducción en el sistema de una empresa puede ser tan simple como un empleado ausente haciendo clic en un enlace en un correo electrónico SPAM.

¿A QUIÉN AFECTA?

La respuesta simple es todo el mundo. Se estima que siete millones de registros de datos se ven comprometidos cada día. En promedio, una sola violación de datos afectará a 25 Mil de registros con un costo promedio de USD 3.26 millones. Un estudio de IBM ha demostrado que Estados Unidos es el país más caro para tener una violación de datos y la industria más cara es la atención médica. En total, Estados Unidos es el mejor en términos de violaciones de datos y robos de identidad, seguido de Corea del Sur por violaciones de datos y Francia por robo de identidad. Sin embargo, estas cifras deben considerarse frente al tamaño de la población, bajo cuyo criterio los Países Bajos y Suecia son desproporcionadamente altos en términos de violaciones de datos. Obviamente, hay ataques concertados y dirigidos a empresas individuales, pero lo que queda claro al mirar las estadísticas es que la mala seguridad cibernética, y las violaciones de datos resultantes, es algo que afecta a todo tipo de empresas, de todos los tamaños y en todos los países.

Las víctimas y los sistemas que están siendo atacados pueden, a primera vista, parecer ser aleatorios. La investigación después de una gran violación de datos en los Estados Unidos encontró que los piratas informáticos podían controlar fácilmente al menos 55.000 sistemas de calefacción, ventilación y aire acondicionado (HVAC) conectados a Internet. La debilidad de la ciberseguridad que rodea a los sistemas HVAC se puede utilizar para acceder a otras redes, saltando en el sistema corporativo principal. Se cree que esta ruta se utilizó para robar datos relacionados con 40 millones de tarjetas de crédito y débito en los Estados Unidos. Los piratas informáticos habían obtenido previamente acceso al sistema HVAC mediante el robo de las credenciales de inicio de sesión necesarias del proveedor de servicios de terceros del sistema HVAC del minorista. Lo que para muchas personas parecen estar completamente desconectados – sistema HVAC a los registros financieros – puede ser la ruta ideal para que el hacker para robar datos.

Está claro que ninguna industria está a salvo de estas costosas violaciones de datos. La manufactura, la educación, el comercio minorista, el sector público, la hostelería y las finanzas informan regularmente de las violaciones de datos, pero la industria más grande afectada es la atención sanitaria. Se estima que uno de cada ocho ciudadanos estadounidenses tendrá su información médica expuesta en algún momento, con la motivación principal de ganancia financiera. La mayoría de estas amenazas, 56%, son internas, siendo el error humano la principal causa de la fuga.

PREVENCION – ISO/IEC 27001

Con más de una docena de normas, la familia ISO/IEC 27001 proporciona un marco adaptable para las empresas que buscan gestionar la seguridad de sus activos, incluyendo información financiera, propiedad intelectual, detalles de empleados y cualquier otra información confiada a la empresa por terceros.

El estándar se entrega en dos partes:

• ISO/IEC 27001:2013 (Parte 2) – especificación estándar formal para un Sistema de Gestión de seguridad de la información (ISMS), contra el cual se auditará una organización que busque la certificación. Contiene los requisitos obligatorios que una organización debe cumplir para la certificación. Los controles que son relevantes para la organización se deciden después de una evaluación integral del riesgo.

• ISO/IEC 27002:2013 – buenas prácticas para asegurar la información y los activos relacionados

Estas normas se adhieren a la estructura del modelo de proceso del Anexo SL, lo que ayuda a reforzar el hecho de que, para todas las empresas, la gestión de la seguridad de la información es un proceso continuo, y esto alinea las normas con otras normas ISO también.

Hay un proceso de certificación de seis etapas para ISO/IEC 27001 – propuesta personalizada, pre-auditoría, etapa de auditoría formal 1 y 2, visitas de vigilancia para comprobar el sistema, recertificación. La certificación demuestra que y la organización está en cumplimiento de los requisitos relativos a la salvaguardia y recuperación de registros, el mantenimiento seguro de los datos de prueba, los registros de la negociación de incidentes de seguridad, la protección de las herramientas de auditoría del sistema, la estatura / formación / independencia de los auditores internos y su acceso a la alta dirección, documentación del procedimiento de seguridad de la información.

PREVENCION – ISO/IEC 20000

Esta norma promueve la implementación de un sistema coordinado e integrado de gestión de servicios de tecnología de la información (SMS). Mejora y los sistemas de las organizaciones destacando las oportunidades y promoviendo mejoras continuas y una mayor eficiencia dentro del SMS. Esto se logra mediante la entrega de una mejor alineación entre el personal y el procedimiento.

Al igual que con ISO/IEC 27001, el estándar se presenta en dos partes principales:

• ISO 20000-1 – define los requisitos con los que se evaluará a la organización en las relaciones para prestar servicios gestionados de una calidad aceptable para las partes interesadas

• ISO 20000-2 – un Código de Práctica sin fines de práctica sin tientas en el ámbito de la ISO 20000-1

La adopción de ISO/IEC 27001 e ISO/IEC 20000 no solo hará que los sistemas de seguridad de TI de una empresa sean más robustos; también demostrará a los empleados, clientes y otras partes interesadas que su organización se toma en serio la gestión de servicios de TI. Como parte del conjunto de procesos de gestión de servicios, uno alude específicamente a la seguridad de la información, que a su vez se hace aún más eficaz por la norma. Otros beneficios de la certificación ISO 20000 incluyen y una manera efectiva de ofrecer servicios administrados, medir los niveles de servicio y evaluar su rendimiento, con una fuerte vinculación con ITIL también. Usted asegurará a los clientes que se cumplen sus requisitos de servicio, incluida la seguridad de la información. En un mundo digital, la reputación se puede hacer y perder por la seriedad con la que una empresa se acerca a la seguridad de la información que posee.

SOLUCIÓN DE SGS

SGS lidera el camino para ayudar a las organizaciones a mejorar su seguridad cibernética. Con datos de auditoría específicos de 604 empresas, que cubren un período de seis años, entendemos dónde existen las inconformidades mayores y menores más comúnmente dentro de un negocio.

Además de los servicios de certificación y auditoría, también ofrecemos una gama de cursos de formación para ayudar a las organizaciones a comprender e implementar ISO/IEC 27001 e ISO/IEC 20000: