La cadena de restaurantes de comida china PF Chang se convirtió en la compañía más reciente en ser relacionada con una violación y robo de los datos y la información de sus clientes. De acuerdo con un informe de KrebsOnSecurity, la información de “miles de tarjetas de crédito y débito recién robadas” ligadas al restaurante, se descubrieron a la venta en el mercado negro.
Hubo un momento en que incidentes como éste, que involucran el robo de datos de una empresa prominente, eran capaces de sorprender al público y ponían nerviosos a los directores de empresas y a los departamentos de relaciones públicas. Pero ya no; el año pasado se vio el mayor número jamás visto de violaciones de datos, con 2.164 incidentes que expusieron 822 millones de registros, de acuerdo con un informe de la firma Risk Based Security.
Las violaciones y robo de datos se han convertido en algo normal, hasta el punto que se ha desarrollado una etiqueta o protocolo de violación de datos -un conjunto de mejores prácticas que establece qué hacer y qué no. Cualquier empresa que quiere evitar que la situación empeore debe observar estas nueve reglas.
Regla N° 1 del incumplimiento de datos: Divulgarlo más temprano que tarde
El error más grande que cometen las organizaciones es sentarse en la evidencia de un incidente de seguridad, solo para que sea divulgada por un tercero. El gigante de las subastas, eBay, recientemente pasó por agua caliente con la prensa, el público, y los procuradores generales del estado, cuando se reveló que la empresa sabía de un incidente de seguridad en el que las cuentas de los empleados se vieron comprometidas por meses, antes de hacerse público. En cambio, el servicio de streaming de música Spotify ganó elogios por hacer un anuncio público después que encontró evidencia de una sola cuenta de usuario comprometida a través de una aplicación móvil. La moraleja: Si tiene buenas razones para creer que se ha producido un incidente de seguridad en la que se pierden los datos, divúlguelo lo más pronto que pueda. Siempre se puede actualizar a los clientes, los reguladores y el público cuando la información nueva está disponible.
Es natural que las empresas que sufren un incidente practiquen el control de daños. Desafortunadamente, algunas compañías toman esto como algo rápido para librarse de los hechos. Eso es una mala idea por varias razones. Por un lado, los hechos hablan por sí solos: Incidentes como el incumplimiento en Target Brands, que salió a la luz en diciembre, a menudo impulsados por el descubrimiento de los datos robados en línea o por investigaciones en curso de los emisores de tarjetas de crédito y bancos. Las compañías que tratan de restar importancia a la noticia de un incidente cibernético pronto se encuentran rodeados de filtraciones y revelaciones de fuentes externas. En otras palabras, diga lo que sabe (y lo que no sabe) y asuma las consecuencias.
Regla N° 3 del incumplimiento de datos: Haga bien su encriptación
¿Esas contraseñas estuvieron encriptadas, divididas o ninguna de las anteriores? En el calor de un incidente de seguridad, los detalles de la tecnología que su empresa utiliza para asegurar sus datos pueden parecer un detalle pequeño e irrelevante, pero no lo es. El gigante del software Adobe Systems fue criticado rotundamente cuando se descubrió que las contraseñas de 2,9 millones de cuentas de clientes se cifraron, en lugar de dividirlas y saltearlas en conformidad con las mejores prácticas de la industria. La diferencia puede parecer trivial, pero el uso del cifrado Triple DES por parte de Adobe para proteger las contraseñas hizo que los valores reales pudieran ser recuperados con mayor facilidad por parte de los ladrones.
Regla N° 4 del incumplimiento de datos: Comunicarse a través de los canales
Si ha sido hackeado, tiene muchas audiencias que abordar y muchas formas de llegar a ellas. Su organización necesita transmitir un mensaje consistente y coherente, y tiene que comunicarlo a través de todos los canales disponibles: correo electrónico, blogs, comunicados de prensa, Twitter, Facebook y otros medios sociales. eBay se encontró en el ojo de la tormenta después de su brecha por emitir un comunicado de prensa a los medios de comunicación sobre el incidente, pero no hacer ninguna mención de ello en el sitio web eBay.com, y por tomarse días para emitir notificaciones por correo electrónico a los clientes aconsejándoles que cambien la contraseña de sus cuentas.
Regla N° 5 de la violación de datos: Los clientes son lo primero, Wall Street después
Mientras que su CEO y otros ejecutivos pueden estar dispuestos a tranquilizar a Wall Street y a los inversores, recuerde que su primer deber es para con sus clientes. Las empresas que parecen excesivamente preocupadas por el impacto de un incidente en el riesgo de las acciones, alienan a los clientes que quieren tener la seguridad de que sus datos están siendo protegidos y, en el caso de fraude, que serán recuperados. Proponer pagar por los servicios de monitoreo de crédito para los afectados por el incumplimiento es un buen comienzo, pero no debe ser el final.
Regla N° 6 del incumplimiento de datos: Dígale adiós a Pollyanna
Si su empresa ha sufrido un corte, el mensaje que se envía a los clientes, los medios de comunicación, y los inversores debe ser sobrio y cauteloso. Sea franco al hablar de los datos que fueron robados, lo que los atacantes podrían hacer con esos datos y cómo los afectados deben protegerse del abuso. Las garantías tipo Pollyanna sobre no tener “ninguna evidencia de que la información robada haya sido mal utilizada” son comunes, pero no tranquilizan a nadie e implican una actitud de “no vea nada malo”. Después de todo, no ver a alguien conduciendo su auto robado no quiere decir que no se la hayan robado.
Regla N° 7 del incumplimiento de datos: No perdone los detalles sangrientos
Con las filtraciones de datos, el diablo está en los detalles. ¿Cuándo ocurrió la infracción? ¿Cuánto tiempo duró? ¿Cuántos sistemas se vieron afectados y qué tipo de sistemas? ¿Qué medidas se han adoptado en respuesta? Considere el post del servicio de contraseña segura LastPass en mayo del 2011. Después de descubrir la actividad anómala en los archivos de registro para una máquina “no crítica”, la empresa asumió lo peor y escribió una entrada de blog que contenía un recuento paso a paso de lo que sucedió. Las actualizaciones posteriores proporcionan una discusión franca de los “errores tácticos” que cometió la empresa en su respuesta y su alcance a los clientes.
Regla N° 8 del incumplimiento de datos: Mire hacia adelante, no hacia atrás
Las violaciones de datos y otros incidentes de seguridad impulsan los cambios dentro de su organización, así como en su relación con los clientes. No sea tímido para decirle a sus clientes qué pasos va a tomar en el futuro para asegurarse de que otro incidente similar no vuelva a ocurrir.
Regla N°9 del incumplimiento de datos: Mueva algunos muebles
Por lo menos, las violaciones de datos y los incidentes de seguridad demuestran que cualesquiera que sean las medidas de seguridad que tenía, no funcionaron bien. Con esto en mente, no sea tímido sobre mover muebles (o arrastrar algunos a la calle) y dejar que sus clientes sepan que lo está haciendo. Lastpass esbozó una serie de cambios que estaba realizando después de su incidente de seguridad, desde mejores instrucciones sobre cómo iniciar sesión y desactivar el servicio, hasta la aplicación de localización seguridad específica de cuenta para la adquisición de la capacidad de servidor adicional.
– InfoWorld Tech Watch (EE.UU.)