¿Cómo evitar otra filtración de 40 mil tarjetas de crédito y débito en Chile?

  • Es responsabilidad de todas las empresas que le solicitan datos a sus usuarios (desde el RUT, hasta un número de tarjeta de crédito), tener los controles necesarios para asegurar que esa información no salga de sus manos.
  • La inversión en personal calificado, empresas asesoras del tema y herramientas de ciberseguridad debe ser parte de presupuesto de toda empresa.

 

Hoy en día, las empresas deben tomar conciencia de que la información de sus clientes es un activo de mucho valor en el mercado negro. Así lo afirma nuestro Enterprise CyberSecurity Architect / Consultant and Product Manager en Widefense Chile, Guillermo Cortez.

 

Para el especialista, se trata de la principal razón por la que ocurren incidentes lamentables como los reportados a mediados de junio en el país, cuando se filtraron los datos de 41.593 tarjetas de crédito y débito de emisores bancarios y no bancarios.

 

No obstante, Cortez, para quien las organizaciones deben demostrar a sus clientes cuál es el nivel de protección que manejan, explica que es posible frenar o mitigar a tiempo estos incidentes, siempre que se cuente con las herramientas y los aliados adecuados.

 

En su opinión como especialistas, ¿por qué ocurrió este martes con la filtración de las 41 mil tarjetas de crédito y débito? ¿Cómo lo describirían?

R:/ En resumen, fueron varias fallas que demuestran anomalías en la Gestión de Riesgos. Asumimos que una de las principales fallas fue el control de acceso de usuarios privilegiados a datos sensibles.

Se demuestra que no hay visibilidad real de la actividad de los usuarios o administradores sobre la base de datos donde reside la información de las tarjetas. Además no existe una política que exija a sus funcionarios y/o proveedores cumplir con un nivel de protección adecuado.

 

¿Cómo pueden las empresas bancarias prevenir situaciones de este tipo?

R:/ Es muy difícil prevenir este tipo de actividad. A lo que se debe apuntar es a lograr que la tarea sea muy complicada para los atacantes, lo cual se puede lograr mediante el establecimiento de políticas claras sobre el acceso y uso adecuado de la información sensible de los clientes.

Este debe ser el marco que define quienes pueden o no acceder a esa información sensible y bajo qué condiciones.

 

¿Qué soluciones podrían resultar útiles en estos casos?

R:/ En Widefense ofrecemos soluciones que permiten a las empresas reforzar sus políticas de ciberseguridad.

Estas incluyen verificar, controlar y auditar a los administradores o usuarios privilegiados; proteger y dar auditoría ante la fuga de información; verificar mediante Inteligencia Artificial quiénes tienen comportamientos anómalos o sospechosos; crear factores de autenticación secundarios y tener control de la actividad de los usuarios en la bases de datos de los clientes con información sensible .

Hacemos todo con base en controles de seguridad TI críticos que buscan proteger los recursos de infraestructura tecnológica de las organizaciones. Trabajamos para reducir la probabilidad de que se materialicen amenazas con acciones proactivas, medibles y continuas.

 

¿Qué medidas deben tomar en el futuro estas instituciones para evitar que continúen ocurriendo hechos similares con tanta frecuencia?

R:/ Primero que todo, estas empresas deben contar con personal dedicado/especializado a reforzar la ciberseguridad en la institución.

Las instituciones deben contar con definiciones corporativas o políticas asociadas a la ciberseguridad que les permitan establecer claramente cuáles son los controles que se deben reforzar, planes de contingencia, planes de recuperación asociados a los activos críticos y los datos importante o sensibles de la empresa y sus clientes.  

Esas políticas se deben reforzar con herramientas de ciberseguridad que permitan automatizar los controles, la visibilidad, registrar la actividad hacia los datos sensibles y responder de forma automática a cualquier indicio de comportamiento anómalo.

 

¿Por qué consideran que no se han tomado las medidas necesarias? ¿Las soluciones de ciberseguridad son complejas/costosas?

R:/ Uno de los principales problemas con las empresas es que siguen viendo la ciberseguridad como un gasto, un tema técnico y no del negocio. Esto es un grave error. Existen soluciones de ciberseguridad de todo tipo.

La inversión en personal calificado, empresas asesoras del tema y herramientas de ciberseguridad debe ser parte de presupuesto de toda empresa así como un informe semanal, desde los niveles más altos sobre cuál es el estado o nivel de riesgo del negocio (en lo que a ciberdefensa respecta) y cuál es la gestión que están haciendo sobre estos.

¿Qué recomendaciones les darían a los usuarios/ clientes de los bancos para tranquilizarlos en esta situación?

R:/ Debemos tener claro que todas las empresas hoy en día manejan ciertos niveles de riesgos sobre su infraestructura y datos digitales.

Vivimos en un mundo de riesgos. La clave está en hacer buena gestión de estos riesgos para que no se conviertan en desastres (como el vivido estos días).

Establecer de forma clara cuáles son los controles críticos que se deben tener en relación a su red, ubicación de información sensible y mejores prácticas es un desde.

Para esto, en caso de no contar con el personal calificado que le permita identificar cuál es su estado de madurez actual en ciberseguridad y dónde se ubica en relación a otras empresas, se pueden asesorar de forma continua a través de empresas que se dedican a asesorar, descubrir y mitigar las brechas de ciberseguridad.

 

¿Qué le diría a las empresas que aún no aplican soluciones de ciberseguridad?

R:/ Es responsabilidad de todas las empresas que le solicitan datos a sus usuarios (desde el RUT, hasta un número de tarjeta de crédito), tener los controles necesarios para asegurar que esa información no salga de sus manos.

Las empresas deben demostrar cuál es el nivel de protección que tienen establecido alrededor de la información que manejan y en caso de no tener el personal calificado o las herramientas adecuadas para mitigar las brechas de ciberseguridad, deben responder y compensar a sus clientes de forma directa así como someterlos a multas considerables (que los impulsen a invertir en herramientas de ciberseguridad).

 

En Widefense podemos ayudarte a implementar una estrategia de ciberseguridad. Solicita una asesoría gratuita aquí: www.widefense.com/contacto o contacta ahora a uno de nuestros especialistas  (+562) 2816 9000.