CIBERSEGURIDAD

¿Se preocupan los minoristas por la seguridad de los datos de los clientes?

0 77 5 minutos de lectura


Chris Stoneff es Director de Servicios Profesionales en Software de Lieberman
Mi experiencia en ciberseguridad me dice que el sector minorista probablemente representa el terreno más fértil para los ciberdelincuentes. Esto se debe a que los piratas informáticos profesionales entienden que el comercio minorista nunca se ha centrado en la seguridad de TI como se ve en otras industrias (como bancos o procesadores de pagos) que manejan datos de tarjetas de pago de clientes. Para la mayoría de los minoristas, la seguridad de TI se considera un gasto reaccionario para resolver incidentes puntuales. Dado que la TI se percibe como un lugar para reducir costos continuamente, la idea de invertir en seguridad cibernética, a menos que sea absolutamente obligatorio, es un desperdicio de las ganancias de los accionistas para muchos directores ejecutivos.
La seguridad toma un asiento trasero
La mentalidad empresarial de la mayoría de las organizaciones minoristas es maximizar el retorno de la inversión controlando los costos, reduciendo los precios y entregando el inventario lo más rápido posible. Invertir en seguridad de la información para proteger la información financiera privada de los clientes parece una ocurrencia tardía lejana.
Tomemos, por ejemplo, las recientes filtraciones de datos que acapararon titulares en Staples y Home Depot. Es probable que los ejecutivos de estos negocios vean a otros minoristas como sus mayores amenazas para la rentabilidad. Puede apostar a que ni un solo ejecutivo perdió el sueño preocupándose por los ciberdelincuentes hasta después las violaciones de datos ocurrieron.
Un factor importante en la complacencia de los minoristas ha sido que ninguna cantidad de publicidad negativa parece impedir que las personas compren los productos de los minoristas durante mucho tiempo. Y cualquier error en las valoraciones del mercado de valores de las organizaciones es solo momentáneo. El sector minorista se basa en la memoria corta de los seres humanos, ya que en uno o dos días las filtraciones de datos más importantes parecen convertirse en noticia de ayer. La mayoría de los minoristas han tenido razón al suponer que el negocio continuará con normalidad una vez que hayan eliminado un poco de mala publicidad y hayan reemplazado algunos miles de tarjetas de fidelidad. Como resultado, ha habido muy pocos incentivos para tratar con cuidado los datos privados de los clientes.
Creo que la mayoría de los consumidores se horrorizarían con el estado de la seguridad de TI en muchos minoristas, especialmente dado que estas empresas manejan millones de transacciones con tarjetas de pago a diario y recopilan una asombrosa profundidad de datos privados para campañas de marketing específicas. Para tener una idea de la gran cantidad de datos confidenciales de los clientes dentro de las computadoras de los minoristas, considere la historia de el proceso de recopilación de datos de un minorista eso es tan profundo y preciso, que la compañía sin darse cuenta le advirtió al padre de una adolescente sobre el embarazo de su hija, antes de que ella se lo dijera a los miembros de la familia.
El valor oculto de los datos del cliente
Cuando se trata de proteger los datos privados de los clientes, la industria minorista se basa en gran medida en estándares regulatorios como PCI-DSS. Y, en algunos casos, estas empresas se han complacido en pagar las multas asociadas con el incumplimiento, en lugar de solucionar el problema.
Es una situación desconcertante. A pesar de las violaciones de datos de alto perfil en las que los piratas informáticos se dirigen específicamente a minoristas como Staples y Home Depot, todavía parece haber una indiferencia universal por el deficiente estado de seguridad. Pensaría que los profesionales de seguridad de TI de alto nivel que trabajan en esta industria convertirían en una prioridad principal abordar el problema. Especialmente porque es probable que sean los primeros en unirse a la línea de desempleo después de una infracción, como vimos cuando se le pidió al CIO de Target que renunciara.
Si viéramos que se prohíbe a un minorista importante manejar transacciones con tarjetas de pago, incluso por un tiempo limitado, definitivamente serviría como una llamada de atención, pero probablemente pueda olvidarse de que esto suceda. No hasta que un importante minorista dé un golpe debilitante a sus resultados, su director ejecutivo sea nombrado públicamente y avergonzado, y una buena y vieja demanda que agote los bolsillos de los inversores, otros minoristas no se despertarán y se darán cuenta.
Si bien es posible que los minoristas no parezcan demasiado preocupados por la seguridad, como cliente, ciertamente debería estarlo. Desde el punto de vista del consumidor, el robo de datos personales es un riesgo significativo. Ya sea información de tarjeta de crédito o datos de comportamiento, su información privada podría tener un precio alto en el mercado negro. Los datos personales de todo tipo son el elemento vital de los delincuentes que lanzan ataques de spear-phishing. Crear un sitio web que se parezca al sitio de un minorista y enviar correos electrónicos que ofrezcan grandes ofertas no es muy difícil, y muchos compradores desprevenidos podrían caer en las «grandes ofertas» del sitio web falso. El subsiguiente robo de los datos personales de un consumidor es el primer paso para acceder a su cuenta bancaria.
Cómo proteger los datos del cliente
El panorama de las amenazas cambia todos los días, los ciberdelincuentes están aprendiendo y adaptándose, y cada organización tiene que aceptar el hecho de que, en algún momento, es casi seguro que se verán comprometidos. La dependencia excesiva de las herramientas de seguridad perimetral como los firewalls y los antivirus significa que una vez que se rompe el perímetro de la red, es más probable que los piratas informáticos obtengan un movimiento lateral fácil dentro de la red. Y aunque los sistemas antivirus y de detección de intrusos pueden reaccionar ante amenazas conocidas, son de poca utilidad contra los ataques de día cero lanzados por sofisticadas bandas criminales.
Afortunadamente, existen pasos prácticos que los minoristas pueden tomar para fortalecer la seguridad. Primero, debe haber un mayor diálogo entre el grupo de TI y la administración corporativa, especialmente a medida que las compras en línea se convierten en una parte mayor del flujo de ingresos. Con demasiada frecuencia se ignoran las advertencias de TI sobre los riesgos de seguridad, a veces debido a los costos percibidos asociados con la implementación de soluciones. El hecho es que la mayoría de los departamentos de TI no logran comunicar de manera efectiva a la gerencia ejecutiva los resultados potenciales reales de la seguridad de fallas, ni brindan suficiente capacitación en conciencia de seguridad a quienes controlan los hilos del bolsillo.
También es necesario ampliar el alcance de los estándares de cumplimiento regulatorio, tanto en los EE. UU. Como en Europa, para cubrir todos los datos personales, no solo la información relacionada con transacciones bancarias y de tarjetas de crédito. También ayudaría si estos mandatos regulatorios tuvieran fuerza. La ineficacia de regulaciones como PCI-DSS se demuestra cuando los minoristas implementan la seguridad suficiente para «satisfacer a los auditores», pero nunca más.
Finalmente, los minoristas pueden salvarse a sí mismos, y al resto de nosotros, mucho dolor si simplemente se enfocan en los aspectos fundamentales de la seguridad. Si asumimos que los ataques dirigidos contra los minoristas eventualmente tienen éxito, y al menos se producirá algún nivel de intrusión, ¿qué sucede a continuación? ¿Hasta dónde pueden llegar los delincuentes en la red y cuánto tiempo pueden permanecer allí?
Los minoristas deben preguntar: si los productos de seguridad perimetral convencionales no pueden detener los ciberataques avanzados, qué soluciones de seguridad lata ¿Restringir el movimiento lateral de los intrusos que logran penetrar en la red? Más importante aún, ¿qué sucede cuando este acceso anónimo y sin restricciones no se evita, ni siquiera se detecta?
Los cinco consejos principales sobre cómo los minoristas pueden evitar una violación de datos:

  1. Comprenda dónde residen todos los datos de sus clientes en su red y asegúrese de que estén debidamente protegidos
  2. Asegúrese de que todos los datos del cliente estén protegidos, incluso la información almacenada en computadoras portátiles y dispositivos móviles.
  3. Implemente una solución que le permita realizar un seguimiento de los datos que se mueven. Esto permitirá a los minoristas rastrear dónde han estado los datos de los clientes, hacia dónde se dirigen y, lo que es más importante, si se cifraron o no durante el vuelo.
  4. Emplee a un experto en seguridad de TI. No confíe solo en su equipo de TI para administrar la seguridad: contrate a un experto en seguridad que sepa exactamente lo que está haciendo y cómo proteger sus activos confidenciales.
  5. Implemente una política de cifrado. Asegúrese de que todos los datos que residen en su red estén encriptados para que, si algún intruso no deseado obtiene acceso, aún no pueda comprender los datos almacenados.

Publicaciones relacionadas

Nube: la piedra angular de la transformación digital en el cuidado de la salud

Blue Coat anuncia soluciones avanzadas de protección contra amenazas

Ad Clicker que se oculta como la aplicación Google Photos encontrada en Microsoft Store

Datos de más de 20 millones de usuarios filtrados a través de servicios VPN

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar