¿Cómo ha cambiado el RGPD el campo de juego de la ciberseguridad?

Las filtraciones de datos siguen siendo un hecho común, incluso desde que se hizo cumplir el Reglamento general de protección de datos (GDPR). Las empresas todavía tienen mucho trabajo por delante para proteger los datos de sus clientes. ¿Qué hemos aprendido de los últimos 12 meses y cómo puede mejorar la industria en el futuro?

Se suponía que 2018 sería un punto de inflexión para la privacidad de datos. Hace poco más de un año, la Unión Europea introdujo el RGPD para proteger mejor los datos de los consumidores e instar a las marcas a ser más responsables de la privacidad y protección de los datos.

A medida que las empresas se apresuraron a cumplir, rápidamente quedó claro que iba a ser un proceso doloroso para los propietarios de datos que subestimaron la escala de la tarea que presentaba el RGPD.

Un año después, la mayoría de las empresas parecen estar seguras de que cumplen, o al menos dicen que lo están. Sin embargo, en los últimos doce meses, algunas de las empresas más conocidas del mundo han sido criticadas por malas prácticas de datos e infracciones significativas, independientemente de un mayor escrutinio sobre la recopilación, el almacenamiento y la protección de datos.

Tome el sitio web estadounidense de preguntas y respuestas, Quora, por ejemplo. El director ejecutivo Adam D'Angelo reveló que los datos de los usuarios se habían visto comprometidos por un tercero que obtuvo acceso no autorizado a uno de sus sistemas en noviembre de 2018. Los piratas informáticos robaron 100 millones de nombres de usuarios, correos electrónicos, contraseñas cifradas y otros datos de las redes sociales que se importaron. . Fue una crisis reputacional masiva y tuvo un efecto profundo en la confianza del cliente.

Quora, sin embargo, no fue un caso atípico el año pasado. Esta fue solo la punta del iceberg, ya que muchas empresas experimentaron ataques a gran escala, incluidos Facebook, Ticketmaster y Vision Direct, lo que perjudicó aún más la confianza de los consumidores en las marcas en todos los ámbitos.

Ninguna empresa quiere experimentar una filtración de datos o poner en peligro la información de identificación personal (PII) de sus consumidores, pero incluso ahora, muchas organizaciones no están haciendo lo suficiente para evitar una filtración de datos o una infracción del RGPD. Entonces, ¿qué hemos aprendido en el último año y cómo puede mejorar la industria en el futuro?

Los piratas informáticos han redoblado sus esfuerzos para identificar los eslabones débiles

Si bien la nueva regulación ha arrojado luz sobre las prácticas de datos y ha obligado a las empresas a emplear nuevos procesos, no ha disuadido a los piratas informáticos. Solo en los últimos seis meses, hemos visto aún más delitos cibernéticos.

Magecart es uno de los grupos más conocidos, genera título tras título mediante la inyección de software malicioso de tarjetas de crédito en sitios web y el robo de detalles de pago de los clientes, desde códigos CVV hasta nombres y direcciones. Pero no se deje engañar pensando que estos piratas informáticos solo apuntan a los grandes jugadores de comercio electrónico. Solo este mes, el grupo apuntó al sitio web de suscripción de Forbes, inyectando el sitio con un JavaScript de Magecart en su página de pago.

Para muchas organizaciones, el aumento de los ataques a sitios web es motivo de preocupación y las amenazas solo están aumentando en sofisticación: los piratas informáticos se están volviendo mucho más inteligentes. Nuestra nueva investigación ha encontrado que casi el 90 por ciento de los ejecutivos están preocupados o muy preocupados por el aumento de infracciones de alto perfil. Los comentaristas argumentan que estas bandas de ciberdelincuentes están desarrollando soluciones de inteligencia artificial para infiltrarse en las defensas de las empresas a gran escala. Tienen razón en estar preocupados, ya que ciertamente es algo que podemos esperar ver más en el futuro.

Muchos piratas informáticos se dirigen a empresas que no cuentan con medidas de seguridad fundamentales. Por ejemplo, la protección puede significar la supervisión de tecnologías de terceros no autorizadas que están activas en el sitio web de una empresa. Las organizaciones tienen que aprender por las malas que necesitan tener una visión holística de la cadena de suministro de su sitio web, ya que solo así pueden comprender dónde se encuentran las vulnerabilidades potenciales. Las defensas de datos de las empresas son, en última instancia, tan fuertes como el eslabón más débil de su cadena de suministro.

Para estar seguras, las empresas deben derribar los muros que han construido

Los sitios web y las aplicaciones que están bajo el cuidado de los equipos de marketing pueden presentar un punto ciego para los equipos de TI y seguridad, ya que su enfoque principal se encuentra tradicionalmente en los servidores y la infraestructura. Sin embargo, es en estas plataformas de marketing donde los consumidores confían sus datos.

Muchas empresas se han quedado cortas en seguridad debido a esta confusión sobre la propiedad y la falta de visibilidad de la cadena de suministro del sitio web. Esto es algo que Ticketmaster descubrió durante una infracción el año pasado, donde los piratas informáticos se dirigieron a proveedores externos e inyectaron código JavaScript malicioso en la página de pago. Tal es el carácter común de esta amenaza que recientemente descubrimos que el 79,5 % de los ejecutivos reconocen que la integración de tecnologías de terceros en un sitio web aumenta el riesgo de fuga de datos.

Las organizaciones están comenzando a comprender las graves implicaciones de no tener esta visión general, pero aún queda trabajo por hacer. La mejora de las habilidades y la creación de equipos híbridos son clave para garantizar que esta visión holística de la seguridad sea posible.

Sin defensas web, las empresas están librando una batalla perdida

Un año después, seguimos tocando el mismo tambor, pero es esencial que las organizaciones escuchen y tomen medidas en lo que respecta a la seguridad del sitio web. La única forma en que las empresas pueden mitigar el riesgo de una filtración es realizando una debida diligencia exhaustiva e implementando las precauciones adecuadas, desde seleccionar un buen equipo hasta invertir en soluciones tecnológicas.

La escala de amenazas en todo el panorama es una señal clara y obvia de lo que las empresas están arriesgando al no hacerlo. El Instituto AV-TEST informó que solo el año pasado se crearon 856 millones de variantes de malware y esto aumentará en los próximos meses.

En última instancia, los ciberdelincuentes no tardarán mucho en identificar las deficiencias de una plataforma digital, en particular una en la que las empresas no han exigido la implementación de sistemas de seguridad rigurosos y la actualización constante.

GDPR ha expuesto los problemas de los que muchas empresas ni siquiera eran conscientes, y otras leyes de la UE, como la segunda directiva de servicios de pago (PSD2), probablemente descubrirán aún más revelaciones. Esto, a largo plazo, es bueno para los propietarios de datos y también para sus clientes.

Las empresas son las guardianas de los datos de los clientes y esta responsabilidad debe aceptarse más ampliamente para evitar ataques y alinear equipos para mitigar el riesgo. Aquellos que no lo hagan se convertirán en las próximas víctimas de violación de datos y enfrentarán más consecuencias que una multa considerable.