Liquidación Equifax es un cuento de precaución


En marzo de 2017, el US-CERT (Equipo de preparación para emergencias informáticas de EE. UU.) alertó a las empresas sobre una nueva vulnerabilidad de seguridad crítica encontrada en Apache Struts un marco de código abierto utilizado para crear aplicaciones web Java, y alentó a aquellos que usan una versión vulnerable del software a actualizar inmediatamente a una nueva versión de forma gratuita. Una empresa a la que alertó US-CERT fue Equifax una agencia de informes del consumidor en los Estados Unidos que ofrece informes de crédito y otros servicios. Desafortunadamente, a pesar de algunos intentos casuales de Equifax para abordar el problema, la vulnerabilidad permaneció sin parchear durante varios meses.

Para cuando el equipo de seguridad de Equifax comenzó a ver algo de tráfico sospechoso, el daño ya estaba hecho. En septiembre de 2017, Equifax reveló la violación de datos al público, que involucró a 147 millones de consumidores y varias piezas de su información personal confidencial, incluidos nombres, cumpleaños, números de seguro social, direcciones físicas, números de teléfono, direcciones de correo electrónico y números de tarjetas de pago y fechas de vencimiento.

La FTC (Comisión Federal de Comercio) demandó a Equifax por poner a los consumidores en riesgo de robo de identidad al no tomar "numerosas medidas básicas de seguridad" que pueden haber evitado la violación. A fines del mes pasado, julio de 2019, la FTC anunció que Equifax acordó pagar al menos $ 575 millones, y potencialmente hasta $ 700 millones, como parte de un acuerdo global.

El acuerdo propuesto incluiría a Equifax pagando $ 300 millones a fondo que brinda a los consumidores afectados servicios de monitoreo de crédito y compensa a los consumidores que compraron servicios como resultado de la violación de datos, incluidos los servicios de monitoreo de identidad. Además de pagar multas civiles a varios estados y al CFPB (Oficina de Protección Financiera del Consumidor) la FTC dice que Equifax también acordó ofrecer a los consumidores estadounidenses seis informes de crédito gratis por año durante siete años, a partir de enero de 2020

A Equifax se le encomendó además la implementación de un nuevo programa de seguridad de la información y la designación de un empleado para supervisar el programa internamente. Específicamente, el acuerdo requiere medidas tales como: realizar evaluaciones anuales de los riesgos de seguridad internos y externos e implementar salvaguardas para abordar los riesgos potenciales, probar y monitorear la efectividad de las salvaguardas de seguridad, y asegurarse de que los proveedores de servicios que acceden a la información personal almacenada por Equifax también implementar salvaguardas. Cada dos años, la compañía necesitará que su programa de seguridad sea evaluado por un tercero, y debe proporcionar una actualización anual a la FTC en su proceso de reclamos de los consumidores.

Claramente, el camino más fácil habría sido abordar el problema en la delantera. Otras compañías pueden aprender de la violación de Equifax de 2017 y del acuerdo propuesto. Los errores incluyeron no implementar una política que hubiera asegurado que las vulnerabilidades de seguridad se repararan después de ser conocidas y no segmentar sus servidores de bases de datos para contener la violación después de que sucediera. Estas medidas de seguridad relativamente sencillas pueden haber evitado o minimizado el gran desastre de seguridad hace un par de años, y aunque Equifax no puede recuperar sus errores, puede servir como una advertencia para otros que no quieren ser el próximo empresa de la FTC hace un ejemplo. Si bien todas las empresas que almacenan y usan datos del consumidor tienen la obligación de hacer todo lo posible para proteger estos datos, esto es particularmente cierto para las empresas que almacenan y usan datos confidenciales que, si se ven comprometidos, podrían conducir a crímenes devastadores como el robo de identidad.

¿Quieres tuitear sobre este artículo? Utilice hashtags # M2M #IoT # 5G #AI #inteligencia artificial #machinelearning #bigdata #digitaltransformation #cybersecurity #blockchain # security #Magecart #cybercrime #skimming #data #enterprisesecurity #internetsecuritydacybersese



Source link