Saltar al contenido principal
Hazte miembro
Idioma del sitio:
Número de ruta 267080355

Filtraciones de datos: respuesta a incidentes de pequeñas empresas

4 de octubre de 2024

Tecnología

  • Actualice regularmente software y sistemas: asegúrese de que todo el software, especialmente el software de seguridad, se actualice regularmente para proteger contra las últimas vulnerabilidades
  • Implementar la autenticación multifactor (MFA): use MFA siempre que sea posible para agregar una capa adicional de seguridad, especialmente para acceder a datos confidenciales.
  • Use canales de comunicación seguros y cifrados: fomente el uso de métodos de comunicación cifrados para compartir información confidencial interna y externamente
  • Monitorear las redes y utilizar sistemas de detección de intrusos: monitorear continuamente las redes para actividades inusuales y utilizar sistemas de detección de intrusos para identificar amenazas potenciales
  • Implementar control de acceso de menor privilegio: garantizar que los empleados tengan acceso solo a los datos y recursos necesarios para su rol laboral, reduciendo el riesgo de violaciones de datos internos
  • Uso de firewall y herramientas de seguridad de red: emplear firewalls y otras herramientas de seguridad de red para proteger contra ataques externos
  • Eliminación segura de equipos obsoletos: asegúrese de que las computadoras y el hardware antiguas se eliminen correctamente de los datos antes de la eliminación o el reciclaje
  • Implementar la protección del punto final: use el software de protección de punto final para asegurar todos los puntos finales: dispositivos que se conectan a la red, incluidos los dispositivos móviles.
  • PII: No use números de Seguro Social como identificaciones de empleados o números de cuenta del cliente. Si lo hace, desarrolle otro sistema de identificación ahora.
  • Establecer gestión de contraseña: se debe establecer una política de contraseña para todos los empleados o trabajadores temporales que accedan a los recursos corporativos. En general, la complejidad de la contraseña debe establecerse de acuerdo con las funciones del trabajo y los requisitos de seguridad de datos. Las contraseñas nunca deben compartirse.
  • Asegure todas las computadoras: implementen protección de contraseña y requiera un re-login después de un período de inactividad. Entrene a los empleados para que nunca dejen computadoras portátiles o PDA desatendidas. Restringir la teletrabajo a las computadoras propiedad de la compañía y requiere el uso de contraseñas sólidas que se cambian regularmente.
  • Uso de control de computadoras: restringir el uso de computadoras para los empleados para negocios. No permita el uso de sitios web de igual a igual. Bloquee el acceso a sitios web inapropiados y prohíba el uso de software no aprobado.
  • Mantenga el software de seguridad actualizado: mantenga actualizados los parches de seguridad para sus computadoras. Usar firewalls, antivirus y software de spyware; Actualice las definiciones de virus y spyware diariamente.
  • Transmisión de datos en cifrado: mandato en cifrado de todas las transmisiones de datos. Evite usar redes Wi-Fi; Pueden permitir la intercepción de datos.

Un marco detallado de respuesta de violación

Un plan de respuesta integral de incumplimiento abarca varios pasos clave, adaptado para dar cuenta de la miríada de estatutos legales potencialmente conflictivos:
  • Validación: confirmar la ocurrencia de una violación de datos.
  • Requisitos de remediación: Identificar las acciones necesarias, incluido el cumplimiento de diversas leyes de notificación de incumplimiento.
  • Investigación: Examinando a fondo la violación y documentación de los hallazgos.
  • Coordinación interna: comunicarse internamente y con las autoridades o abogados externos relevantes.
  • Notificación: informar a las personas afectadas según lo exige la ley.

Vendedores de terceros

Asegurar que sus proveedores de terceros cumplan con los estándares de seguridad de su organización es crucial para proteger sus datos y mantener la confianza en las operaciones de su negocio. 
Aquí hay una lista completa de tareas pendientes para ayudar a administrar el cumplimiento de los proveedores de terceros de manera efectiva:
Realizar la debida diligencia:
  • Investigue a los posibles proveedores para comprender sus políticas y prácticas de seguridad.
  • Evaluar su historial de violaciones de datos o incidentes de seguridad.
Definir los requisitos de seguridad:
  • Establecer criterios de seguridad claros y expectativas para los proveedores.
  • Incluya requisitos para auditorías de seguridad regulares, cumplimiento de los estándares de la industria (por ejemplo, ISO 27001, SOC 2) y el cumplimiento de las leyes de protección de datos (p. Ej., GDPR, CCPA).
Evaluar las medidas de seguridad del proveedor:
  • Solicite información detallada sobre la infraestructura de seguridad del proveedor, las políticas y los procedimientos.
  • Verifique su uso de cifrado, firewalls, controles de acceso y otras medidas de seguridad cibernética.
Asegúrese de que los acuerdos contractuales incluyan disposiciones de seguridad:
  • Incluya cláusulas en contratos que especifiquen el cumplimiento de sus requisitos de seguridad.
  • Requiere una notificación inmediata de cualquier incidente o incidente de seguridad.
Realizar auditorías y evaluaciones regulares:
  • Programe y realice evaluaciones de seguridad regulares de sistemas y prácticas de proveedores.
  • Use auditores de terceros para evaluaciones de seguridad imparciales.
Monitor de cumplimiento:
  • Implemente procesos para monitorear continuamente el cumplimiento del proveedor con sus estándares de seguridad.
  • Establecer indicadores de rendimiento clave (KPI) para medir los niveles de cumplimiento.
Requerir planes de respuesta a incidentes:
  • Asegúrese de que los proveedores tengan planes de respuesta a incidentes que se alineen con los suyos.
  • Coordinar estrategias de respuesta para manejar violaciones de datos o ataques cibernéticos.
Entrena a tu equipo:
  • Educar a su personal sobre la importancia del cumplimiento de la seguridad del proveedor.
  • Entrenarlos sobre cómo identificar y mitigar los riesgos asociados con los proveedores de terceros.
Revisar y actualizar los acuerdos regularmente:
  • Revise y actualice periódicamente los acuerdos contractuales para abordar las amenazas de seguridad nuevas o en evolución.
  • Ajuste los requisitos de seguridad en función de los cambios en las operaciones comerciales o las tecnologías.
Desarrollar canales de comunicación fuertes:
  • Establezca líneas claras de comunicación con los proveedores para informar problemas de seguridad.
  • Mantenga reuniones regulares para discutir el rendimiento y las mejoras de seguridad.
Planificar la terminación o el cambio:
  • Tenga un plan establecido para la transición de forma segura si la relación del proveedor termina o cambia.
  • Asegúrese de que los datos se devuelvan o destruyan de forma segura de acuerdo con las obligaciones contractuales.
Al seguir meticulosamente estos pasos, puede asegurarse de que sus proveedores de terceros se adhieran a los mismos altos estándares de seguridad que espera dentro de su propia organización, minimizando así los riesgos y salvaguardar sus datos.

Procesos y gobernanza

  • Revise y actualice regularmente los planes de respuesta a incidentes: tenga un plan de respuesta de incidente claro y actualizado que describe los pasos a tomar en caso de una violación de datos.
  • Realice auditorías de seguridad y evaluaciones de riesgos regulares: revise y evalúe periódicamente su postura y prácticas de seguridad para identificar y abordar las vulnerabilidades.
  • Programas de capacitación y conciencia de los empleados: capacitar regularmente a los empleados en las mejores prácticas de seguridad, amenazas potenciales como ataques de phishing y la importancia de seguir las políticas de la empresa.
  • Desarrolle y haga cumplir políticas de seguridad sólidas: cree políticas de seguridad integrales que cubran aspectos como el uso aceptable de los recursos de la empresa, el acceso a los datos y los procedimientos de informes de incumplimiento.
  • Copias de seguridad regulares y planes de recuperación de datos: respalde regularmente datos críticos y tenga un sólido plan de recuperación ante desastres para minimizar la pérdida de datos en caso de violación.
  • Establezca un proceso de aprobación para dispositivos móviles propiedad de los empleados. Con el aumento de las capacidades de los dispositivos de consumo, como teléfonos inteligentes y tabletas, se ha vuelto fácil interconectar estos dispositivos para aplicaciones e infraestructura de la empresa. El uso de estos dispositivos para interconectar el correo electrónico de la empresa, el calendario y otros servicios puede desdibujar las líneas entre los controles de la empresa y los controles de los consumidores. Los empleados que solicitan y están aprobados para tener acceso a la información de la empresa a través de sus dispositivos personales deben comprender y aceptar las limitaciones y los controles impuestos.
  • Goberna el uso de Internet: la mayoría de las personas usan Internet sin pensar en el daño que puede producirse. El mal uso de los empleados de Internet puede colocar a su empresa en una posición incómoda, o incluso ilegal. Establecer límites en el uso de Internet de los empleados en el lugar de trabajo puede ayudar a evitar estas situaciones. Cada organización debe decidir cómo los empleados pueden y deben acceder a la web. Desea que los empleados sean productivos, y esta puede ser la principal preocupación por limitar el uso de Internet, pero las preocupaciones de seguridad también deberían dictar cómo se formulan las directrices de Internet.
  • Administre el uso del correo electrónico: muchas violaciones de datos son el resultado del mal uso del correo electrónico de los empleados que pueden resultar en la pérdida o robo de datos y la descarga accidental de virus u otro malware. Se deben establecer estándares claros con respecto al uso de correos electrónicos, contenido de mensajes, cifrado y retención de archivos.
  • Goberna las redes sociales: todos los usuarios de las redes sociales deben ser conscientes de los riesgos asociados con las redes de redes sociales. Una fuerte política de redes sociales es crucial para cualquier negocio que busque usar redes sociales para promover sus actividades y comunicarse con sus clientes. Active Governance puede ayudar a garantizar que los empleados hablen dentro de los parámetros establecidos por su empresa y sigan las mejores prácticas de privacidad de datos.
  • Supervisa los derechos de autor y las licencias del software: hay muchas buenas razones para que los empleados cumplan con los acuerdos de autor de software y licencias. Las organizaciones están obligadas a cumplir con los términos de los acuerdos de uso del software y los empleados deben tener en cuenta cualquier restricción de uso. Además, los empleados no deben descargar y usar software que no haya sido revisado y aprobado por la empresa.
  • Acceso físico seguro a las instalaciones de la empresa: Implemente medidas como el acceso a la tarjeta clave, los registros de visitantes y la vigilancia para asegurar el acceso físico a las instalaciones de su negocio.
  • Administre el uso de medios portátiles: los medios portátiles, como DVD, CD y "unidades flash" de USB, son más susceptibles a la pérdida o robo. Permita que solo se descarguen datos cifrados a dispositivos de almacenamiento portátiles.

Datos

  • Mantenga solo lo que necesita: reduzca el volumen de información que recopila y conserva solo lo que es necesario. Minimice los lugares en los que almacena datos personales. Sepa lo que guarda y dónde lo mantiene.
  • Destruya antes de la eliminación: archivos de papel de corte transversal antes de deshacerse de la información privada. También destruya CD, DVD y otros medios portátiles. Eliminar archivos o reformatear los discos duros no borra los datos. En su lugar, use un software diseñado para limpiar permanentemente la unidad o destruirlo físicamente.
  • Datos de salvaguardia: bloquee los registros físicos en una ubicación segura. Restringir el acceso a los empleados que necesitan recuperar datos privados. Realizar verificaciones de antecedentes de los empleados y nunca dar acceso a empleados o proveedores temporales.
  • Salvaguardar la privacidad de los datos: los empleados deben comprender que su política de privacidad es una promesa para sus clientes que protegerá su información. Los datos solo deben usarse de manera que mantenga segura la identidad del cliente y la confidencialidad de la información. Por supuesto, sus empleados y organizaciones deben cumplir con todas las leyes y regulaciones aplicables.

Legal

  • Leyes de cumplimiento legal y protección de datos: manténgase informado y cumplan con las leyes y regulaciones de protección de datos relevantes como GDPR, CCPA, etc.
  • Informe de incidentes de seguridad: se debe tener un procedimiento para que los empleados o contratistas reporten malware malicioso en caso de que se importe inadvertidamente. Todos los empleados deben saber cómo informar incidentes de malware y qué pasos tomar para ayudar a mitigar el daño
La importancia del informe de incumplimiento: 

La comunicación efectiva y la notificación rápida sobre las violaciones son esenciales para una remediación y recuperación eficientes, así como para cumplir con los requisitos reglamentarios y de cumplimiento. 

Beneficios de la divulgación de incumplimiento en la remediación:
Los informes de incumplimiento rápido notifican a todas las partes afectadas, tanto internas como externas, y las movilizan, así como a las partes interesadas clave que están involucradas en los esfuerzos de recuperación y remediación, dependiendo de la naturaleza y el alcance del ataque o el compromiso. Por ejemplo, si su organización se infringe a través de un tercero, debe ser alertado de inmediato para preparar y proteger su negocio. Del mismo modo, si una violación en su sistema podría afectar a su cliente, también se debe notificar lo antes posible.
 
La remediación efectiva y rápida disminuye el impacto de una violación de datos, protegiendo la reputación y las relaciones comerciales de la empresa. También ayuda a retener la confianza del cliente informando rápidamente a los clientes sobre el impacto y las medidas tomadas para evitar daños adicionales.

Normas regulatorias y de cumplimiento para la divulgación de incumplimiento:

Las leyes recientes de protección de datos, como el Reglamento General de Protección de Datos de la UE (GDPR) y la Ley de Privacidad del Consumidor de California (CCPA), exigen divulgaciones de incumplimiento oportuno.
Las regulaciones emergentes destacan la creciente importancia de los informes de violación. Las nuevas acciones regulatorias están emergiendo continuamente, lo que subraya la creciente importancia de los informes de violación. El incumplimiento de las respectivas regulaciones de privacidad y protección de datos puede resultar en fuertes multas y daños de reputación adicionales. Algunas regulaciones recientes notables tienen plazos y requisitos de informes para la divulgación de incumplimiento. 

Esto es lo que algunos de ellos requieren:
  • GDPR : el GDPR pide a las empresas que denuncien violaciones dentro de las 72 horas "donde sea factible" con la única excepción si la violación no "resulta en un riesgo para los derechos y las libertades de las personas naturales". Si una organización se retrasa al informar el incumplimiento, se deben proporcionar razones de retraso. El GDPR tiene fuertes multas por incumplimiento. Dependiendo de las violaciones, las multas pueden alcanzar:
    € 10 millones ($ 11 millones) o el 2% de la facturación anual, lo que sea más alto
    € 20 millones ($ 22 millones) o 4% de la facturación anual, lo que sea más alto,
    todo esto depende de la investigación del regulador, la cantidad de negligencia y la gravedad de la violación.
  • Ley de privacidad del consumidor de California (CCPA) : el CCPA requiere que las empresas denuncien infracciones dentro de las 72 horas si no están involucrados datos o si un usuario no autorizado tiene acceso a claves de cifrado de datos encriptados. También requiere que las empresas notifiquen a la AG de California si más de 500 residentes de California se ven afectados.
  • La Ley del Escudo de Nueva York ("Detener los trucos y mejorar la seguridad de los datos electrónicos") : la "Ley de incumplimiento de seguridad de la información y notificación de la información del NYS" dice que se debe hacer una divulgación "en el tiempo más conveniente posible y sin demora irrazonable ..." pero no lo hace. 'T especifique un plazo específico. Dígale al NY AG dentro de los 10 días.
  • Requisitos de la Comisión de Bolsa y Valores (SEC) : en 2022, la SEC introdujo los requisitos relacionados con la seguridad cibernética para la protección de los inversores y ahora requiere que las empresas informen a los inversores y accionistas de "incidentes materiales" dentro de los cuatro días hábiles posteriores al descubrimiento. Más recientemente, en marzo de 2023, la SEC propuso actualizaciones a sus reglas de ciberseguridad, imponiendo requisitos de divulgación estrictos para entidades cubiertas y exigir que las instituciones afectadas adopten "políticas y procedimientos escritos" para la respuesta de incidentes que incluyen informar a las personas afectadas dentro de los 30 días.
  • Directiva Europea NIS-2 ("Seguridad de la red y la información, versión 2") : la regulación de la UE, NIS-2, entró en vigor el 6 de enero de 2023 e introdujo medidas de supervisión estrictas y obligaciones de informes simplificadas. Las empresas afectadas ahora deben proporcionar una notificación inicial dentro de las 24 horas posteriores a la cita de un incidente a su autoridad de informes y dentro de las 72 horas, la compañía debe proporcionar una evaluación inicial de incumplimiento. Dentro de un mes del ataque, se espera que las compañías proporcionen un informe final que detalla el alcance del ataque, así como cualquier esfuerzo de mitigación realizado. Las multas NIS-2 pueden ser tan altas como € 10 millones ($ 11 millones) o el 2% de los ingresos anuales de la compañía, lo que sea más alto.
  • Estado por requisitos de informes estatales : los 50 estados de EE. UU. Tienen leyes relacionadas con los requisitos de informes para violaciones de datos. Puerto Rico, Guam, el Distrito de Columbia y las Islas Vírgenes también tienen requisitos de informes y notificaciones. Sería imposible cubrir todo esto aquí, pero la NCSL ( Conferencia Nacional de Legislaturas del Estado ) mantiene una lista de los últimos proyectos de ley y actos en su sitio web.
Mejora de los informes de violación en las organizaciones - En una era de aumento de los riesgos cibernéticos, las organizaciones deben mejorar de manera proactiva sus prácticas de informes de violación. Las mejores prácticas incluyen:
  • Desarrollar una política y proceso claros para la presentación de informes de incumplimiento.
  • Designando a las partes interesadas clave y definiendo sus responsabilidades.
  • Colaboración con terceros para mejorar las capacidades de respuesta.
  • Preparación para la nueva normalidad de las violaciones de datos frecuentes, como lo indican nuestros hallazgos de evaluación de ciberseguridad.

Cómo ocurren las violaciones de datos 

  • Error humano: los errores cometidos por los empleados son una causa significativa de violaciones de datos. Esto puede incluir el envío de información confidencial al destinatario incorrecto, bases de datos mal configuración o no asegurar los datos correctamente.
  • Ingeniería social: los atacantes a menudo usan técnicas engañosas para engañar a las personas para que divulguen información confidencial. Las tácticas comunes incluyen correos electrónicos de phishing, pretexto, cebo y cola de cola.
  • Amenazas persistentes avanzadas (APT): estos son ataques cibernéticos prolongados y dirigidos en los que un intruso gana acceso a una red y permanece sin ser detectado durante un período prolongado de tiempo.
  • Ataques de ransomware: el software malicioso que encripta los datos de una organización y exige el pago de la clave de descifrado es cada vez más común.
  • Dispositivos perdidos o robados: las computadoras portátiles, los teléfonos inteligentes, los discos duros externos y otros dispositivos de almacenamiento que contienen información confidencial pueden provocar una violación si se pierden o roban.
  • Capas de respaldo perdidas en tránsito: los medios físicos que contienen datos confidenciales pueden perderse o robar durante el transporte, especialmente si no acompañados de una escolta calificada.
  • Los piratas informáticos que se rompen en los sistemas: los ciberdelincuentes explotan las vulnerabilidades de seguridad para obtener acceso no autorizado a los sistemas y datos.
  • Amenazas internos: empleados o contratistas que roban información o proporcionan intencionalmente acceso a personas no autorizadas.
  • Información obtenida a través de prácticas comerciales engañosas: por ejemplo, los datos comprados en un negocio falso o por medios fraudulentos.
  • Malas prácticas comerciales: por ejemplo, enviar información confidencial a través de métodos inseguros como postales o correos electrónicos no cifrados.
  • Fallas de seguridad interna: falta de medidas de seguridad adecuadas, como contraseñas débiles o software sin parpadear.
  • Infecciones de malware: virus, caballos troyanos, spyware y otro software malicioso que explota lagunas de seguridad.
  • Eliminación incorrecta de información: información confidencial desechada sin una destrucción adecuada, como en los contenedores de basura.
  • Redes no garantizadas y Wi-Fi: Las violaciones de datos pueden ocurrir cuando se transmite o accede la información confidencial a través de redes Wi-Fi públicas o no garantizadas.
  • Falta de capacitación y conciencia de los empleados: los empleados que desconocen los protocolos de seguridad y las mejores prácticas pueden causar infracciones inadvertidamente.
  • Controles de acceso débiles: los controles de acceso insuficientes y la gestión de privilegios pueden permitir el acceso no autorizado a datos confidenciales.
  • Riesgos de terceros y proveedores: las violaciones de datos pueden ocurrir debido a vulnerabilidades en los sistemas de proveedores de terceros o proveedores de servicios.
  • Vulnerabilidades de almacenamiento en la nube: las medidas de seguridad inadecuadas en las soluciones de almacenamiento en la nube pueden conducir a acceso no autorizado y fugas de datos.
  • Vulnerabilidades de dispositivos móviles: el uso creciente de dispositivos móviles para fines comerciales puede conducir a infracciones si estos dispositivos no están asegurados correctamente.

Artículos relacionados