La importancia de la protección de la información sensible o datos personales de clientes toma especial relevancia cuando nos percatamos que un desastre cibernético puede poner en riesgo la continuidad de los negocios. Pensemos en los siguientes dos escenarios:

Escenario de respuesta 1 ante un desastre cibernético

Tenemos a la Organización A, con cerca de 5,000 colaboradores, dedicada a la administración de fondos de pensiones y seguros de gastos médicos para cerca de 200,000 mil clientes a nivel mundial. La Organización A mantiene desde hace 10 años, un programa para la Gestión de Seguridad Informática basado en un estándar internacional. 

Desde hace varios años el análisis de riesgo que practican anualmente señala que una fuga de información de datos personales sensibles se encuentra fuera del rango de tolerancia, lo cual ha hecho que Organización A ponga especial atención en la gestión de los datos personales de sus clientes. Utilizando algunas técnicas para esconder información, así como procesos robustos y tecnología confiable, diseñaron una solución para que cada registro de las bases de datos sea cifrado con una llave criptográfica almacenada en un servidor seguro.

Organización A se encuentra constantemente bajo auditoría de distintas instituciones de gobierno y consultorías privadas en los países donde tiene operaciones, ya que se requiere del cumplimiento con todas las normativas aplicables al manejo de información personal en Europa y América Latina. Cuentan con un equipo de Seguridad Informática de 16 personas, las cuales son responsables de generar los lineamientos de diseño y operación segura de activos y que se han ido certificando de acuerdo a un programa de entrenamiento y certificación con perspectiva de mediano plazo.

Escenario de respuesta 2

En contraste, tenemos a la Organización B una empresa que desarrolla aplicaciones para bancos e instituciones financieras de todo el mundo. El equipo de desarrollo de la Organización B está basado en distintos países e interactúan entre ellos utilizando recursos en la nube. La implementación de sus aplicaciones requiere acceso privilegiado a las redes de sus clientes, así como el uso de bases de datos con información financiera de sus clientes.

Por otra parte, la gestión de riesgos y análisis de vulnerabilidades se encuentra en un nivel bajo de madurez, por lo que cada desarrollador e implementador es responsable por gestionar de manera segura la información que cada institución financiera les comparte. Debido a la alta rotación de personal de desarrollo de aplicaciones de la Organización B, las computadoras y servidores utilizan perfiles de usuario genéricos y contraseñas conocidas por todo el equipo interno.

¿Cuál es el resultado después del robo de datos personales?

El día de hoy ambas organizaciones fueron víctimas de un ataque cibernético enfocado en el robo de datos personales para cometer fraudes mediante la suplantación de identidad. Los atacantes decidieron enviar un correo electrónico con una aplicación que les provee de acceso necesario a la red del cliente. 

Se evita un desastre cibernético

Para Organización A esto fue un incidente de seguridad rutinario, su equipo de seguridad detectó los correos mediante alertas en su sistema central de información mucho antes de que uno de los usuarios diera clic en el archivo malicioso, el cual fue bloqueado por un antivirus actualizado. Al detectar de manera anticipada el archivo fue boletinado a través de sus sistemas de antispam, lo cual bloqueó este vector de entrada. Durante la reunión de resultados semanales se discutió el tema y se identificó que el programa de entrenamiento para prevenir estos ataques debería ser mandatorio para todos los empleados y no solamente para los responsables del manejo de los datos de clientes, lo cual fue resuelto a pocos días de haberse presentado el hallazgo.

No se pudo evitar un desastre cibernético

Un escenario diametralmente opuesto el de Organización B, donde cada usuario es responsable de la implementación de controles de seguridad y donde desafortunadamente no se cuenta con una cultura enfocada a la seguridad de la información. Este ataque tomó por sorpresa a todo el equipo directivo, que producto de una auditoría realizada hace más de 3 años, tenía una visión alejada de la realidad actual sobre el manejo y administración de datos personales de clientes.

En la Organización B, la detección de amenazas no fue suficiente para identificar el vector de ataque, lo cual resultó en que más de 100 personas en todos lugares del mundo se infectaran. Lo más grave para la operación fue que la mayoría de estos usuarios cuentan con conexiones a la red interna, altos privilegios en sus equipos y en activos de información en la nube y que no se contaba con un respaldo actualizado y probado de las bases de datos necesarias para los procesos de cobranza y facturación.

Los atacantes obtuvieron el botín pronosticado en los sistemas de la Organización B y ejecutaron acciones para bloquear el acceso legítimo de los colaboradores y clientes a la red. Desde el día en que se recibió el ataque, los sistemas quedaron inutilizables y la recuperación no tiene una fecha pronosticada.

¿Qué tan evidente es la pésima gestión de datos personales de la segunda empresa? ¿Qué hubieras hecho tú?

A continuación te compartimos algunos consejos para proteger la información sensible de tus clientes:

1. Utilizar técnicas para proteger la confidencialidad de bases de datos y registros con información sensible.

2. Implementar un sistema de gestión de seguridad de la información que considere el uso y tratamiento de datos personales.

3. Proteger las aplicaciones y sistemas con contraseñas seguras y doble factor de autenticación.

4. Mantener controles de seguridad actualizados y bajo revisión constante para detectar ataques e intrusiones.

Como puedes ver, la seguridad de la información es un tema complejo, que debe ser gestionado de manera responsable por las organizaciones para ser efectiva. Recuerda que un desastre cibernético no solo daña a la organización, sino también a los clientes que deciden confiar su información. 

Hay más técnicas y herramientas que ayudan en la gestión de datos personales en la nube. Puedes conocer más al respecto en el webinar “Administración Segura de Datos Personales” o te recomendamos el entrenamiento Certified Cloud Security Professional (CCSP) de (ISC)2.

Por David Schekaiban, Director de Seguridad de la Información en código verde