Por qué los controles de acceso no son suficientes para detener las violaciones de datos

0 135 5 minutos de lectura

Por Linus Chang, director ejecutivo de Scram Software (https://scramsoft.com/)

Las filtraciones de datos se han transformado rápidamente en una epidemia alarmante. Esto se evidencia por el hecho de que se han vuelto tan comunes que ahora se ven como un hecho más que como una noticia impactante. La historia reciente ofrece innumerables ejemplos de infracciones que pueden ser instructivos sobre lo que está saliendo mal, pero aquí hay solo algunos:

En junio de 2017, el Comité Nacional Republicano filtró datos sobre 198 millones de estadounidenses, debido a un error humano que condujo a una configuración incorrecta de la nube que expuso una cantidad masiva, aproximadamente 1,1 TB, de información personal sobre los votantes estadounidenses. Los datos que se filtraron ni siquiera estaban protegidos con contraseña, lo que resultó en la violación más grande en los EE. UU. Hasta la fecha.

También en 2017, una falla de seguridad expuso los servidores críticos en el Aeropuerto Internacional Stewart en Nueva York por un Año completo. Este error humano se remonta a valores predeterminados de configuración de hardware inseguros, lo que resultó en que los datos confidenciales se dejaran abiertos al mundo, incluidos archivos gubernamentales críticos, una lista de contraseñas y gigabytes de correos electrónicos.

Un ataque de piratería anterior involucró filtraciones de iCloud de casi 500 fotos privadas de celebridades, muchas de las cuales contenían desnudez, que se compartieron públicamente. Esto se remonta a una vulnerabilidad en la API de iCloud, que permitía intentos ilimitados de adivinar contraseñas sin bloqueo y ataques dirigidos simultáneamente a través de métodos de phishing.

Y tampoco son solo empresas individuales o pequeños grupos de clientes los que están sufriendo estos incidentes. Las investigaciones muestran que la mitad de los filipinos, la mitad de los sudafricanos y dos tercios de los estadounidenses se han visto afectados por infracciones.

Capas protectoras

Se podría suponer que después de que ocurrieran algunos de estos devastadores eventos, la seguridad de TI haría lo que fuera necesario para salvaguardar los datos. Después de todo, los humanos (incluso los desarrolladores y administradores de sistemas) cometen errores. También existen amenazas potenciales de primeras y segundas partes, desde dentro de su empresa o su base de proveedores, así como de terceros. Pero en base a la creciente cantidad de violaciones de datos en todo el mundo, en lugar de disminuir, está claro que las organizaciones no están tomando las medidas necesarias para una mejor protección de los datos, específicamente, al agregar cifrado como una salvaguardia tecnológica que protege los datos. incluso en el caso de que se infrinjan los controles de acceso.

Los estudios han demostrado que cuando se produce una violación de datos y se roban datos, el 96 por ciento de los datos no están encriptados, esencialmente en manos de los ciberdelincuentes. ¿Por qué no se utiliza el cifrado cuando debería ser para los datos en reposo? El problema se debe a la creencia errónea entre muchos profesionales de TI de que la seguridad perimetral es todo lo que necesitan. Entonces, una vez que han «asegurado» su red, no se molestan en implementar la seguridad dentro de la red. Claramente, en un mundo cibernético, simplemente no es suficiente implementar controles de acceso y seguridad perimetral porque una vez que alguien está adentro, se convierte en un juego gratuito para todos. Se necesita otra red de seguridad como una capa adicional de protección, para atrapar a las empresas cuando caen, por así decirlo.

Invasión de casa

Para dar una analogía simple de por qué los controles de acceso por sí solos no funcionan, piense si tuviera que averiguar la mejor manera de almacenar un diamante de $ 5 millones en su hogar. La solución más inteligente, claramente, sería emplear no solo una capa de protección, sino múltiples capas. Sin duda, comenzaría por cerrar sus puertas y ventanas: “seguridad perimetral” para su hogar físico.

Pero aun así, reconocería que los ladrones decididos siempre pueden encontrar formas a través de estos «controles de acceso». Por lo tanto, no dejaría el diamante a la vista sobre la mesa de la cocina. En cambio, lo pondría en una caja fuerte, con una combinación y una llave adicional para otra capa de seguridad en caso de que las puertas y ventanas cerradas no hicieran su trabajo.

Cuando se trata de datos confidenciales, es tan valioso como un diamante cuando se calcula el precio de las consecuencias de que esos datos se vean comprometidos, por lo que estos archivos también deben protegerse en una especie de «caja fuerte». El cifrado actúa como el equivalente de una caja fuerte física, teniendo en cuenta que en el mundo cibernético, es prácticamente imposible bloquear solo las puertas y ventanas y mantenerse seguro, ya que un sistema de TI tiene innumerables puntos de entrada potenciales. Por lo tanto, es aún más crucial tener preparada una estrategia de mitigación de violaciones.

Pasos para la seguridad

En lugar de depender únicamente de los controles de acceso, los profesionales de TI deben cifrar de forma rutinaria sus copias primarias de datos y, lo que es más importante, sus copias secundarias de datos, incluidas todas las copias de seguridad, migraciones, archivos y transferencias, así como sus datos en vivo. La mejor práctica para los administradores es automatizar este proceso incorporándolo a sus scripts automatizados actuales para que todas y cada una de las copias de seguridad se cifren sin problemas. Algunos sistemas no admiten el cifrado, como la edición gratuita de MySQL, por lo que puede utilizar herramientas de cifrado para solucionar este problema. Sin embargo, no se detenga con las copias de seguridad: también debe cifrar todas las transferencias entre las partes.

Elija sabiamente, ya que no todos los sistemas de cifrado ofrecen los mismos resultados. Un sistema de cifrado sólido no debería filtrar información mientras bloquea al adversario. Idealmente, su solución de cifrado de un extremo a otro tendrá la capacidad de cifrar tanto datos como metadatos, admitir el almacenamiento en la nube y el almacenamiento local, y proteger contra ataques de integridad como la sustitución, no solo la privacidad.

Al seguir estos pasos, tenga en cuenta que existen varias razones por las que lo hace. La seguridad de los datos ahora no es solo un requisito legal en virtud del RGPD y otras leyes de privacidad, sino que también se ha convertido en una obligación moral para las empresas que guardan los datos de los clientes. Las empresas se consideran custodias de los datos de los consumidores, y las organizaciones que no los protegen adecuadamente pueden enfrentarse a fuertes multas. Por lo tanto, es importante proteger estos datos con múltiples capas de defensa, como si realmente fuera un diamante precioso.

Al examinar por qué siguen ocurriendo las violaciones de datos, la solución se vuelve clara. Los profesionales de TI deben aprender la lección detrás de las deficiencias en la implementación de solo controles de acceso y, en su lugar, adoptar múltiples capas de seguridad. El cifrado es la estrategia número uno más eficaz que puede emplear para asegurar la privacidad e integridad de los datos, y es el equivalente en el mundo cibernético de mantener sus datos en un lugar seguro, no en la encimera de la cocina. Al cifrar todas las copias de seguridad y los datos en vivo, y luego proteger las claves y credenciales con cuidado, tiene su respuesta sobre cómo sortear las filtraciones, proteger los datos y hacer del mundo un lugar más seguro para las empresas y los consumidores por igual.

Linus Chang, director ejecutivo de Scram Software (https://scramsoft.com/) Bio

Linus Chang es un programador informático y emprendedor de Melbourne, Australia.

Chang comenzó a programar computadoras a los siete años. Pasó su tiempo libre codificando proyectos de pasatiempos y aprendiendo diferentes lenguajes de programación, ganando numerosos premios y posteriormente representando a Australia en la programación cuando era adolescente. Poco después de graduarse de la Universidad de Monash (Melbourne, Australia), incursionó en los negocios y el espíritu empresarial. Linus también es conocido por crear el producto BackupAssist, que ha vendido más de 100.000 copias al mercado de pequeñas y medianas empresas (SMB) en 145 países.

A Chang le apasiona crear productos de software de mercado masivo que resuelvan problemas del mundo real y mejoren la vida de las personas. Chang fundó Scram Software para abordar los problemas de seguridad que enfrentan las empresas cuando utilizan la nube.

Por qué los controles de acceso no son suficientes para detener las violaciones de datos

Deja una respuesta Cancelar la respuesta

Emma Watson emprende acciones legales por fotos privadas robadas en ‘Hack’

Cómo ver Netflix gratis para siempre

Estúpidos trucos terminales: el loro de baile de ASCII Party

Yara Gambirasio: las etapas de la amarilla hasta la captura del presunto culpable

Efecto Instagram pelado

Cómo comprobar qué versión de PostgreSQL se está ejecutando desde CLI

Lista de los mejores canales de Telegram 2023

Cómo ver la televisión sin antena

Cómo eliminar Microsoft AutoUpdate de Mac

Cómo eliminar el icono de círculo con + signo en Android

Cómo descargar videos de YouTube con subtítulos

Las soluciones de todos los capítulos de Adventure Escape Mysteries

Cómo otorgar privilegios de root a un usuario en Linux

Problemas para cargar el teléfono: triángulo amarillo con signo de interrogación

Cómo instalar Eclipse IDE en Ubuntu 20.04

Cómo ver IPTV con VLC: guía completa

Publicaciones relacionadas

Alert Logic anuncia capacidades para endpoints, múltiples nubes y Dark Web.

La estafa del sorteo de Elon Musk se extiende por Twitter

Anonabox regresa en medio de la reacción de la comunidad

Campaña de suplantación de identidad de USPS

Deja una respuesta Cancelar la respuesta

Emma Watson emprende acciones legales por fotos privadas robadas en ‘Hack’