Vivimos en una sociedad donde organizaciones y consumidores están transformándose digitalmente, cambiando sus procesos y decisiones de compra por unos más eficientes, con mayor valor para todos, mejorando su productividad y finalmente calidad de vida.
Como consumidores, esto nos invita a entregar nuestra información digitalizada a terceros, datos de nuestras tarjetas de crédito, dirección particular, Rut, número de pasaporte, fechas de desplazamiento y un largo etcétera en pos de una mejor atención y experiencia de servicio.
Como empresarios, tenemos la obligación de utilizar esta información con inteligencia, para poder entregar de mejor manera nuestra oferta a clientes y la responsabilidad de no compartir en forma indebida esta información siendo en extremo celosos en la protección de esta, tanto en su almacenamiento como en etapas de transferencia.
Debemos velar por que toda nuestra cadena de proveedores sea tan celosa como nosotros en su cuidado, dado que nuestros clientes confiaron en nosotros y en nuestros proveedores a través de la transferencia de confianza que nosotros representamos.
En ese sentido, interesantes son los ataques ocurridos a líneas aéreas en los últimos 12 meses. Air Canada, comunicó a sus clientes que información confidencial de 20.000 pasajeros pudo haber sido comprometida en agosto pasado (22 al 24) por un grupo de hackers.
Esto demuestra una proactividad por parte de la empresa, que mantiene los datos de 1,7 millones de clientes en su aplicación vulnerada. Con capacidad para detener y contener el ataque, como también con protocolos para informar de manera oportuna a sus clientes.
O lo ocurrido a British Airways, donde el viernes 7 de septiembre comunicó que los datos transaccionales (nombre, dirección, correos y tarjetas de pago y sus CCV) de 380.000 clientes realizados entre el 21 de agosto y 5 de septiembre se vieron vulnerados, similar al caso de Delta Airline que sucedió entre el 26 de septiembre y 12 de octubre del año 2017, pero esta vez, a través de malware del sistema de chat externo que Delta tenía contratado.
Los invito a reflexionar no por el ciberataque, más bien, por la capacidad de respuesta de la organización frente a una brecha de seguridad.
Hoy existe la obligación de informar tempranamente por regulación internacional, norma GDPR exige menos de 72 horas, de estos ataques, por lo que las empresas deben contar no sólo con la protección necesaria para defenderse de ataques, sino, con los sistemas suficientes para detectar intrusiones, aislar el problema, minimizar el daño, recuperarse e informar lo sucedido con el suficiente detalle para que todos los stakholders puedan tomar las medidas correspondientes de seguridad. Entregar información oportuna y veraz además de asesorías a clientes, en caso de que la vulneración lo amerite.
En el mundo del ciberespacio, seguimos siendo demasiado autocomplacientes. Sabemos que es responsabilidad de la empresa el crear un perímetro seguro. Pero no es suficiente, tampoco lo es tener un antivirus en cada computador.
El 60% de las fugas de información o hackeos a instituciones son debido a amenazas internas. Desde un empleado descuidado hasta uno malicioso o fraudulento.
Por esto, el primer paso es la educación digital. Todos debemos saber cómo movernos en este nuevo mundo sin comprometer nuestros datos ni la organización donde trabajamos. Debemos dejar de ser riesgosos.
Si existe una legislación y su correspondiente difusión a través de programas de gobierno, que nos obliga a utilizar cinturones de seguridad, también debiese existir una legislación que nos obligue a ser más seguros en el mundo digital con un programa de difusión que concientice a la población de los riesgos que incurre con un actuar descuidado.
Una legislación que obligue a las empresas a informar sobre vulneraciones sobre sus bases de datos de clientes, a ser transparentes, de manera que no miremos a la primera empresa que transparenta la situación como un descuidado, si no, que entendamos que todos pueden ser vulnerados y su deber es proteger, monitorear e informar a tiempo en caso de vulneración.
Luego, el estudio del comportamiento humano dentro de la organización es dar un paso delante de los criminales que intentan vulnerar sus sistemas, debemos tener una mirada holística, preventiva, activa y reactiva en este ámbito, si queremos minimizar los daños.
El ser humano es un animal de costumbres y ya existen las herramientas que nos permiten estudiar volumétricamente su comportamiento para detectar salidas de patrón y contextualizarlas para poder analizar riesgos en forma automatizada y con inteligencia artificial potenciada con aprendizaje de máquina para clasificar estos riesgos.
En este nuevo mundo, debemos tomar en serio la seguridad y contar con sistemas de protección de fuga de información (DLP), estudios de comportamiento de entidades (UEBA), sistemas de detección y respuestas a ataques (EDR) e idealmente, brigadas de análisis de riesgos del negocio tanto en la internet abierta, como la oscura y profunda. A este conjunto de medidas podemos llamarle BRI por sus siglas en inglés, Business Risk Intelligence.
Es fundamental llevar a cabo una definición de políticas de seguridad bajo el asesoramiento de especialistas en servicios de seguridad corporativa que aporten soluciones con un enfoque holístico sobre toda la infraestructura empresarial, tanto la física, como la ubicada en la Nube y la referente a dispositivos móviles y considerando a las personas como posibles focos de vulnerabilidades.
El mundo digital llegó para quedarse, un mundo donde el rey es la información, llegó para mejorar nuestras vidas, pero es nuestra responsabilidad educarnos en como desenvolvernos en este, entender y evitar actitudes riesgosas y reconocer a quienes entregar nuestra confianza con la entrega de nuestros datos.
Desde Facebook:
Guía de uso: Este es un espacio de libertad y por ello te pedimos aprovecharlo, para que tu opinión forme parte del debate público que día a día se da en la red. Esperamos que tus comentarios se den en un ánimo de sana convivencia y respeto, y nos reservamos el derecho de eliminar el contenido que consideremos no apropiado