Sus datos personales acaban de filtrarse y es (en parte) su culpa

Capital One dominó los titulares esta semana cuando se reveló que se había convertido en la última víctima pirata con un violación masiva de datos este pasado mes de marzo. Más de 100 millones de personas tenían números de seguro social, información de cuentas bancarias y otros datos personales expuestos cuando un pirata informático obtuvo acceso a la infraestructura crítica de Capital One que se ejecuta en AWS a través de un firewall mal configurado.

Notificación por correo electrónico que alerta a Capital One sobre la violación de datos.

Desde que se compartió la historia, muchos se han apresurado a preguntarse cómo Amazon pudo permitir que esto sucediera. Sin embargo, lo que la mayoría de la gente no se da cuenta es que Amazon no promete garantizar que su sistema esté completo, ni lo ha estado nunca. Amazon es muy específico acerca de que la seguridad es un responsabilidad compartida entre ellos y sus clientes. ¿Significa esto que Amazon no tiene ninguna responsabilidad por una infracción como esta? No completamente (más sobre eso más adelante).

Responsabilidad del usuario

Un problema importante es que la velocidad a la que se ha hecho accesible la tecnología ha excedido la capacidad general de los consumidores para usarla correctamente. En los últimos 6 meses ha habido cien de violaciones de datos (lo que sabemos), y la razón más común últimamente es el error humano. Puede haber personas poco cualificadas que utilizan herramientas complejas y potentes que no entienden del todo o simplemente no tienen suficiente experiencia en la implementación. O bien, se les anima a impulsar la tecnología en formas que no son ingeniería para respaldarla. Como has escuchado muchas veces…

«Con un gran poder viene una gran responsabilidad.»

Pero no son solo los usuarios poco calificados los que abusan de la tecnología. El fácil acceso a la tecnología puede dar a los usuarios una falsa sensación de seguridad, con la percepción errónea de que solo porque está respaldada por un gran nombre, entonces debe ser probada y confiable y, por lo tanto, a prueba de caídas. Sin embargo, cada usuario debe ser consciente de sus limitaciones y tecnologías. Se les debe animar a buscar ayuda. También deben entender que la tecnología fácil a menudo tiene un precio.

Esto sucede una y otra vez: el fácil acceso a tecnología compleja ha fomentado el mal comportamiento, que visto desde fuera de la burbuja sería bastante impactante. Por ejemplo, ¿alguna vez imprimió una lista de sus clientes y la dejó en un café? En su mayor parte, esto sería una clara violación de la seguridad de los datos. Sin embargo, muchas personas no dudan en recopilar los datos de los clientes que surgieron de una base de datos o enviar los datos al almacenamiento en la nube para verlos en otro lugar y realizar un análisis más profundo. La justificación de esta acción es siempre la misma: «Hago lo que tengo que hacer para hacer el trabajo». Los empleados verifican números, analizan datos e incluso reciben elogios de su jefe por un análisis rápido y oportuno. Pero estos datos ahora están fuera del sitio y en riesgo.

«Totalmente administrado» por proveedores de la nube

Los proveedores de la nube a menudo usan el término «totalmente administrado» para comercializar y posicionar sus soluciones, pero esto puede ser perjudicial. Las personas tienen diferentes ideas sobre lo que significa estar completamente administrado, y le da al cliente la falsa sensación de que la tecnología que no entiende o los sistemas con los que no tiene experiencia serán administrados por completo por el proveedor.

Esta tergiversación y malentendido lleva al cliente a pasar por alto detalles importantes que habría (o debería) haber tomado nota si fuera el único responsable de sus sistemas. Esto también conduce a una falta de confianza del cliente y una menor satisfacción del cliente cuando no se cumplen las expectativas.

Piénselo: los servicios en la nube están destinados a ser producidos en masa. Los proveedores diseñan y construyen herramientas e infraestructura que, listas para usar, satisfarán la base de demanda más amplia. Entonces, cuando agrega algo diseñado para la nube, está diseñado para la simplicidad inmediata y el acceso para las masas. Sin embargo, cada aplicación y carga de trabajo es única, por lo que debe tomar algo que se produzca en masa y personalizarlo para garantizar que sus aplicaciones y datos sean seguros, sólidos y escalables.

¿Cómo pueden los proveedores de la nube como Amazon ayudar a aliviar este problema? Hay muchas maneras. Pueden dar a los usuarios herramientas para validar y confirmar que no han dejado algo abierto sin darse cuenta. Pueden informar a los clientes de que su versión de gestión completa no equivale al 100 % de no intervención ni a ninguna responsabilidad del cliente. Finalmente, pueden revisar cómo se usan las herramientas y ajustar los valores predeterminados para hacer las cosas más seguras en respuesta a los problemas que ocurren.

Te metiste en esto… Sal de ti mismo

Existe una inmensa presión sobre las empresas para que reduzcan costos, aceleren la entrega y hagan más con menos. Esta presión ha alentado a las personas a encontrar diferentes formas, a veces mejores, a veces peores, para resolver problemas complejos con tecnología. Los proveedores de automatización y X as a Service (XaaS) ofrecen una respuesta conveniente y fácil para resolver problemas rápidamente. Desafortunadamente, muchas personas crean un entorno y luego pasan a lo siguiente, olvidando que las aplicaciones son entidades vivas y respirables que evolucionan y cambian con el tiempo y, por lo tanto, necesitan mantenimiento. Confiar en servicios de terceros puede convertirse en un arma de doble filo que te llevará a una falsa sensación de seguridad. El rápido ritmo de la innovación y las presiones externas, combinados con herramientas sencillas, a menudo mal entendidas, se combinan para crear un entorno en el que pueden florecer el error y el error humano.

El error humano es inevitable, y solo podemos esperar influir en el marketing de la marca, entonces, ¿qué haces? Hay algunos pasos clave que puede tomar para poner a su empresa en una mejor posición para evitar grandes desastres.

  • Primero, los usuarios necesitan confianza, pero verificación. Haga preguntas, comprenda la tecnología que implementa y aprenda las ventajas y limitaciones de los sistemas que integra.
  • En segundo lugar, implemente las mejores prácticas y cree una defensa profunda. Evitar que las personas accedan a los sistemas con firewalls o controles de acceso es un buen comienzo, pero también debe planificar que alguien ingrese al sitio y se bloquee. Construya y anticipe escenarios en respuesta a amenazas conocidas, así como a sucesos aleatorios.
  • Tercero, concéntrese en los datos. Simplemente ingresar a un sistema no es la amenaza real; el acceso a los datos del usuario es. Cifre sus datos, luego verifique y busque agujeros en la forma en que los usuarios acceden y comparten los datos. Configure alertas para cualquier comportamiento sospechoso y cree políticas de datos sólidas para mantener y mantener el control a largo plazo.
  • Finalmente, revisa todas las puertas. Una de las principales áreas donde ocurren interrupciones y violaciones es en espacios no probados y accesorios que nadie pensó en buscar. En el caso de Capital One, los datos estaban en cubos Amazon Simple Storage Service (S3).

S3 se comercializa como una plataforma que le permite «almacenar sus datos y protegerse contra el acceso no autorizado». Pero, cómo administra el acceso y cómo configurar y configurar su sistema es su responsabilidad, no Amazon.

¿Entonces que hay de nuevo? A veces, los servicios como S3 no solo se utilizan en aplicaciones principales, sino también para almacenamiento fuera de línea, copias de seguridad y almacenamiento transitorio. Estas aplicaciones secundarias normalmente no se prueban y se aseguran de la misma manera que las aplicaciones generales. Se dedica una gran cantidad de tiempo a garantizar que las aplicaciones sean a prueba de balas, pero a menudo se pasan por alto los sistemas secundarios.

La industria del juego es un excelente ejemplo.. Si un juego se inicia y experimenta problemas, el juego en sí no es el problema, pero se determina que la causa son las aplicaciones integradas, como los clasificadores o el emparejamiento, que no se han probado. Es lo mismo aquí: la aplicación se prueba y se hace segura, pero el trabajo de guardar o cargar datos en la aplicación no se ha probado y está en riesgo.

Las violaciones de datos se han convertido en algo común. Sin embargo, con funciones y responsabilidades claras, mejor conocimiento, prácticas de capacitación en profundidad y un examen exhaustivo de todos sus puntos de entrada, puede proteger su negocio y los datos de sus clientes para que no se conviertan en un objetivo fácil.

Para obtener más información sobre este tema, consulte al fundador y director ejecutivo de Percona, Peter Zaitsev, en el podcast de CXFiles que habla sobre seguridad de datos y CX. Después de piratear Capital One, ¿cómo protege los datos de sus clientes?

Sobre Perconá

Percona ofrece soluciones de clase empresarial para MySQL®, MariaDB®, MongoDB® y PostgreSQL en plataformas tradicionales basadas en la nube, incluido Amazon AWS. Como proveedor líder de soluciones imparciales de bases de datos de código abierto, Percona ayuda a las organizaciones a mantener la agilidad de sus negocios de una manera fácil, segura y accesible, minimizando los riesgos y manteniendo la competitividad.

Para obtener más información, visite www.percona.com.

Author: Ing. Luis

A lo largo de conocer Windows y otros sistemas operativos me eh encontrado con diversos tipos de error, ahora brindo soluciones según mi experiencia-

Deja un comentario