Has oído hablar de las leyes de Newton sobre los cuerpos en reposo y los cuerpos en movimiento. Un corolario del siglo XXI es proteger la información confidencial cuando está en reposo en su red e implementar salvaguardas efectivas cuando está en movimiento, por ejemplo, cuando un cliente transfiere datos confidenciales de su computadora a su sistema. Las compañías cuidadosas toman el consejo de comenzar con la seguridad almacenando información personal confidencial de forma segura y protegiéndola durante la transmisión.
Una estrategia es sorprendentemente simple. Los piratas informáticos no pueden robar lo que no tiene, así que recopile y mantenga datos confidenciales solo si lo necesita. Pedirles a los clientes información confidencial sobre el azar por el que podría usarlo algún día para algo no es una política sólida. La práctica más sabia es limitar con sensatez lo que recolectas y luego almacenarla de forma segura. También es un enfoque consciente de los costos, porque es menos costoso asegurar una cantidad menor de datos almacenados en ubicaciones designadas, en lugar de scads de cosas sensibles dispersas en toda su empresa.
Una herramienta de seguridad importante es el cifrado. El cifrado es el proceso de transformación de información para que solo la persona (o computadora) con la clave pueda leerla. Las empresas pueden usar tecnología de cifrado para datos confidenciales en reposo y en tránsito para ayudar a protegerla en los sitios web, en dispositivos o en la nube.
¿Cómo puede su negocio asegurar datos de forma segura, incluso cuándo está en camino? Aquí hay algunas sugerencias obtenidas de los asentamientos de la FTC, las investigaciones cerradas y las preguntas que las empresas han hecho.
Mantenga la información confidencial segura a lo largo de su ciclo de vida.
No puede mantener la información segura a menos que tenga una imagen clara de lo que tiene y dónde la tiene. Un paso preliminar es saber cómo los datos confidenciales ingresan a su empresa, se mueven a través de ella y salen. Una vez que tenga un mango de su viaje a través de su sistema, es más fácil mantener la guardia en cada parada en el camino.
Ejemplo: Un minorista de artículos deportivos en línea hace que los consumidores seleccionen un nombre de usuario y una contraseña. La compañía almacena todos los nombres de usuario y contraseñas en texto claro y legible. Al no almacenar esa información de forma segura, el minorista ha aumentado el riesgo de acceso no autorizado.
Ejemplo: Un sitio web de recetas permite a los clientes crear perfiles individuales. Al diseñar la página de registro, la compañía considera las muchas categorías de información que podría solicitar y las reduce a las justificadas por una razón comercial. Por ejemplo, la compañía considera solicitar la fecha de nacimiento del usuario para adaptar el sitio a las recetas que podrían atraer a las personas de ese grupo demográfico, pero luego decide permitir que los consumidores elijan los rangos de edad. Al pensar en su necesidad de información y recopilar un tipo de datos menos confidencial, la compañía ha tomado una decisión más segura que aún le permitirá adaptar la experiencia del usuario.
Ejemplo: Una compañía inmobiliaria necesita recopilar datos financieros confidenciales de posibles compradores de viviendas. El negocio utiliza el cifrado apropiado para asegurar la información cuando se envía desde el navegador del cliente al servidor de la empresa. Pero cuando llega la información, un proveedor de servicios la descifra y la envía en texto claro y legible a las sucursales de la compañía. Al encriptar la transmisión inicial de información, la compañía inmobiliaria ha dado un paso prudente para mantenerla a salvo. Pero al permitir que el proveedor de servicios envíe datos sin cifrar a las sucursales, la compañía no ha considerado suficiente sobre la importancia de mantener la seguridad apropiada durante el ciclo de vida de la información confidencial.
Ejemplo: Una empresa utiliza tecnología de cifrado de última generación, pero almacena las claves de descifrado con los datos que cifran. La compañía debería haber almacenado las claves de descifrado separadas de los datos que las claves se utilizan para desbloquear.
Utilice métodos probados en la industria y aceptados.
Algunos vendedores diseñan sus productos para tener un aspecto único y peculiar. Pero "único" y "peculiar" no son palabras que desee aplicar a la seguridad de su empresa. En lugar de reinventar la rueda de cifrado, el enfoque más sabio es emplear métodos probados en la industria que reflejen la sabiduría colectiva de los expertos en el campo.
Ejemplo: Dos desarrolladores de aplicaciones están preparando productos similares para el mercado. ABC Company utiliza su propio método patentado para ofuscar datos. En contraste, la compañía XYZ utiliza un método de cifrado probado y verdadero aceptado por expertos de la industria. Al utilizar una forma probada de cifrado, XYZ Corporation ha tomado una opción prudente en el desarrollo de su producto. Además, la campaña publicitaria de XYZ puede promocionar sinceramente su uso del cifrado estándar de la industria.
Asegure la configuración adecuada.
Un escalador de rocas puede tener equipo de primera línea, pero si no ha adjuntado adecuadamente los carabinadores y poleas o si los está usando de una manera que el fabricante advierte, podría estar en un descenso desastroso. En una línea similar, incluso cuando las empresas optan por un cifrado fuerte, deben asegurarse de haberlo configurado correctamente.
Ejemplo: Una compañía de viajes desarrolla una aplicación que permite a los consumidores comprar boletos para atracciones turísticas populares. La aplicación de la compañía de viajes utiliza el protocolo de seguridad de la capa de transporte (TLS) para establecer conexiones cifradas con los consumidores. Cuando los datos se mueven entre la aplicación y las empresas que venden los boletos, el certificado TLS se utiliza para garantizar que la aplicación se conecte al servicio en línea genuino. Sin embargo, al configurar su aplicación, la compañía de viajes deshabilita el proceso para validar el certificado TLS. La compañía de viajes hace esto a pesar de las advertencias de los proveedores de la plataforma de desarrolladores de aplicaciones contra la deshabilitación de la configuración de validación predeterminada o de otra manera no validar los certificados TLS. La compañía de viajes debería haber seguido las recomendaciones predeterminadas de las plataformas de desarrollo de aplicaciones.
El recordatorio para las empresas es que los datos confidenciales pueden ingresar a su sistema, moverse y salir de manera que no haya considerado. ¿Está poniendo protecciones razonables en su lugar en el camino?
Siguiente en la serie: Segmentar su red y monitorear quién está tratando de entrar y salir.
