¿Qué hacer? Respuesta a la infracción

por el | 17 de agosto de 2016

Recientemente, un hackeo del sitio web de infidelidades conocido como Ashley Madison hizo públicas las identidades de miles de miembros formalmente confidenciales. A pesar de los inconvenientes de estos hacks, pueden enseñarnos algunas cosas importantes sobre ciberseguridad.Hace años, una empresa podía planificar la seguridad de su empresa. El departamento de TI reforzaba el sistema y, en la mayoría de los casos, había una garantía razonable de que la empresa estaba relativamente segura. Las cosas han cambiado a medida que la tecnología ha mejorado. Esta mejora ha tenido un precio. El
La velocidad de avance no ha sido el entorno más fácil para aplicar la seguridad. Esta falta de seguridad aplicada ha promovido varios problemas. Esto se ha notado en muchas brechas. Está claro que esto no ha hecho más que crecer en importancia a medida que las brechas son más comunes y las empresas proporcionan más datos para robar.

En el caso de una violación, el primer acto es que se debe verificar que la supuesta violación se ha producido. Si se ha producido, la empresa tiene que analizar qué se ha visto afectado. No todas las violaciones son notificables. Si se trata de datos de carácter confidencial para el consumidor, será necesario realizar una notificación. El punto de activación sería que los datos tuvieran números de seguridad social, números de licencia de conducir, números de cuentas financieras, contraseñas y otra información de identificación personal.

También se puede exigir a la empresa que notifique a las partes afectadas en un plazo determinado. Este periodo varía a nivel estatal y federal, dependiendo de la materia y la jurisdicción. Muchos estados, en lugar de poner un número de este período, simplemente establecen que esto tiene que hacerse dentro de un período de tiempo "razonable". Por lo general, se acepta que son 45 días. Si hay información de la HIPAA involucrada, puede haber un plazo para la notificación.

Una vez establecido el calendario y dividido, hay que redactar la notificación propiamente dicha. Esto también depende de la jurisdicción. Algunos estados tienen requisitos que deben cumplirse. Por ejemplo, Rhode Island tiene para su ley de notificación seis puntos que deben cumplirse. Es posible que haya una plantilla o un formulario de carta que deba utilizarse.

Estos sucesos no van a disminuir ni en su ocurrencia ni en su magnitud. Como los atacantes han operado esto como un negocio, ha demostrado ser un productor de ingresos, y popular como una herramienta de ataque.

Sobre Charles Parker, II

Charles Parker, II ha estado trabajando en el campo de la seguridad de la información durante más de una década, realizando pruebas de penetración, evaluaciones de vulnerabilidad, consultando con pequeñas y medianas empresas para mitigar y remediar sus problemas, y preparando políticas y procedimientos de TI y seguridad de la información. El Sr. Parker ha trabajado en los sectores de la banca, la medicina, la automoción y la contratación de personal.

El Sr. Parker se ha matriculado y ha obtenido el MBA, el MSA, el JD, el LLM, y está en la fase final del doctorado en Garantía y Seguridad de la Información (ABD) de la Universidad Capella. Las áreas de interés del Sr. Parker incluyen la criptografía, la AV y la SCADA.