Health Share of Oregon, la organización de atención coordinada de Medicaid más grande del estado, expuso información de identificación personal (PII) de 654,362 de sus miembros, incluidos nombres, direcciones, números de teléfono, fechas de nacimiento, números de Seguro Social y números de identificación de Medicaid. Sin embargo, la violación no ocurrió en Health Share of Oregon. La oficina de uno de sus proveedores, GridWords IC, una empresa de transporte médico, fue asaltada y una computadora portátil con estos datos fue robada.
Cuando se trata de protección de datos, los proveedores externos de una empresa son con demasiada frecuencia su talón de Aquiles. Una empresa puede reforzar su propia postura de seguridad con la última y mejor tecnología, pero aún tiene que proporcionar acceso y compartir información con sus proveedores y los proveedores de sus proveedores, y así sucesivamente en la cadena. Con cada grado de separación, la empresa tiene menos control sobre la seguridad de sus proveedores, especialmente los proveedores pequeños con programas de seguridad modestos. Pero cuando hay una violación de datos, no importa qué tan avanzado sea en la cadena de suministro, la empresa (Health Share of Oregon, en este caso) sigue siendo responsable.
"La información de identificación personal (PII) de nadie está segura. Las empresas no pueden contar con la integridad de las capacidades de seguridad de sus proveedores y socios”, dice CSO Online. Espere que más empresas exijan auditorías de seguridad de sus socios, proveedores y proveedores de servicios. Las infracciones de terceros son cada vez más comunes y muestra que la seguridad de cualquier organización es tan buena como su red extendida.
Incumplimientos de terceros proveedores en aumento
En una de las mayores filtraciones de datos de la historia, los piratas informáticos robaron 40 millones de tarjetas de crédito de Target. Los piratas informáticos pudieron acceder a estos datos a través de su proveedor externo de HVAC. Nadie recuerda el nombre de la empresa de HVAC, pero todos recuerdan a Target. La violación le costó a Target más de $200 millones, más el continuo daño continuo a la reputación hasta el día de hoy.
Hoy en día, las violaciones de datos de alto perfil son una ocurrencia casi diaria y, si lee los detalles, a menudo la causa principal es una violación de un proveedor externo. Una encuesta reciente encontró que casi el 60% de las empresas en 2018 fueron víctimas de violaciones de datos de terceros, un aumento notable con respecto al año anterior. Los mayores éxitos incluyen:
• Quest Diagnostics
• LabCorp
• DoorDash
• Walmart
• Verizon
• Scottrade Bank
• Banco italiano UniCredit
• El Comité Nacional Republicano
• Deloitte
• Accenture
Los dos últimos ejemplos, Deloitte y Accenture, destacan que si bien la tinta débil puede ser su proveedor de HVAC familiar, los grandes proveedores también son un riesgo. Deloitte y Accenture son ampliamente considerados como expertos en protección de datos y se les paga generosamente por asesorar sobre seguridad. Las violaciones atroces que sufrieron fueron el pináculo de la vergüenza en la seguridad de terceros.
¿No es una buena solución?
Los CIO están de acuerdo en que las brechas de seguridad de los proveedores son uno de los mayores problemas en la protección de datos en la actualidad; sin embargo, hasta la fecha, esto parece ser un problema sin una buena solución.
Términos contractuales, auditoría y cumplimiento
Como primera línea de defensa, las empresas exigen condiciones contractuales más estrictas con los proveedores, en términos de la seguridad que requieren de sus proveedores y las consecuencias legales y financieras de una infracción. Esta transición se está produciendo a un ritmo glacial. Las grandes empresas ya tienen miles de proveedores y no están en condiciones de renegociar fácilmente los términos contractuales con todos ellos. En el mejor de los casos, los términos contractuales mejorados pueden proporcionar alguna compensación financiera y legal, aunque incluso esto depende en gran medida del tamaño del proveedor y de la jurisdicción en la que serían responsables. En última instancia, la responsabilidad de una infracción aún recae en la propia empresa, en particular, incluido el daño duradero a la reputación (el público recuerda su marca, nadie recuerda al proveedor).
Los contratos y la buena voluntad no son suficientes. Además, el hecho de que un proveedor sea agradable y esté dispuesto no significa que sus medidas de protección de datos estén a la altura. Las empresas están gastando más que nunca para auditar a sus socios, proveedores y proveedores de servicios, pero esto es extremadamente costoso, y la gran ironía es que las auditorías de hoy asumen que existen medidas de seguridad anticuadas, como el cifrado de disco y DLP, que están lejos de ser un problema. garantizar que no se produzca una violación de datos.
Para agilizar la certificación y auditoría de proveedores, han surgido registros de terceros que auditan y certifican a los proveedores por usted. Un ejemplo es Vendorpedia que certifica que los proveedores externos cumplen con estándares como GDPR, NIST e ITAR.
La idea es que, como empresa, no tendría que auditar a todos sus proveedores usted mismo, sino que simplemente requeriría que cualquier proveedor muestre prueba de certificación y auditoría de uno de estos registros. Pero aquí hay muchos problemas. Un registro de terceros solo es útil si alcanza una masa crítica de proveedores, lo que llevará mucho tiempo y es posible que nunca suceda. E incluso entonces, en el mejor de los casos, los proveedores dan fe de un cierto nivel de cumplimiento, sin embargo, como cualquier analista de seguridad junior puede decirle, cumplir no significa seguro.
Opciones tecnológicas
En términos de tecnología, algunas empresas envían computadoras portátiles seguras a sus terceros y requieren que los terceros solo trabajen en esas computadoras portátiles. Otros requieren que sus proveedores trabajen en un espacio virtual utilizando VDI. Estas soluciones son onerosas, ralentizan la productividad y simplemente no se adaptan a miles de proveedores.
La gestión de derechos digitales (DRM) ha tenido un resurgimiento últimamente porque ofrece una tesis atractiva: proteger sus correos electrónicos y archivos confidenciales y donde sea que vayan. Incluso si caen en las manos equivocadas, siguen estando protegidos. La noción no está mal. En lugar de implementar niveles interminables de auditoría, cumplimiento y seguridad perimetral, es razonable asumir que los datos fluirán hacia las manos de sus socios y, finalmente, hacia las manos equivocadas, y que la solución es la protección que sigue a los datos dondequiera que viajen.
Desafortunadamente, DRM sigue siendo una idea teórica en el mejor de los casos, tal como lo era hace 20 años. En la práctica, DRM sufre importantes problemas de experiencia de usuario, ya que los usuarios deben clasificar sus datos y el acceso está limitado a ciertos tipos de archivos, aplicaciones especiales, complementos, mecanismos de autenticación, controles de acceso, etc. Administrar esto a escala es difícil de manejar. y casi imposible una vez que los datos comienzan a fluir hacia las manos de los proveedores que tienen diferentes sistemas operativos, aplicaciones, versiones y complementos. Después de 20 años de DRM, hay muy pocas historias de éxito.
¿Si tan solo hubiera una forma de proteger sus datos donde sea que vayan, pero con una experiencia de usuario invisible que no ralentice la productividad?
DASB: protección que sigue a sus datos, con una experiencia de usuario transparente
Data Access Security Broker (DASB) es una solución de protección de datos ilimitada, que ofrece una protección de datos transparente y persistente. DASB traslada las políticas de control de acceso del sistema de almacenamiento de datos a los datos en sí, de centradas en el dispositivo a centradas en los datos. Los datos se protegen automáticamente de forma predeterminada, y esta protección sigue a los datos y a cada acción que afecta a los datos, incluso cuando pasan a manos de un proveedor.
Ya sea dentro de su empresa o en el sitio de un socio, proveedor o cliente, un usuario solo puede acceder a los datos si tiene los privilegios adecuados según la política de seguridad. Un administrador puede revocar el acceso a los datos y cambiar los permisos en cualquier momento. Las partes no autorizadas no pueden acceder a los datos maliciosos o compartidos accidentalmente.
En el caso de Health Share of Oregon, su proveedor GridWorks IC no habría tenido acceso a la PII de sus miembros a menos que Health Share of Oregon lo hubiera autorizado en su política. Tan pronto como se supo que la computadora portátil con esta información fue robada, un administrador habría cortado de forma remota el acceso a todos los datos protegidos, y el actor malicioso solo habría tenido acceso a blobs encriptados, nada más. Health Share of Oregon también habría tenido un seguimiento de auditoría de cada intento de acceso a los datos, incluso los robados.
Pero a diferencia de la tecnología DRM, DASB es completamente invisible para el usuario final, lo que lo hace rápido de implementar y fácil de escalar. DASB no impone límites en aplicaciones, versiones, tipos de archivos, tamaños de archivos, repositorios, herramientas de desarrollo, flujos de trabajo o cualquier otra cosa en el entorno, sin importar cuán complejo o específico de la empresa sea. Los usuarios ni siquiera se dan cuenta de que está ahí.
DASB protege su empresa y su cadena de suministro
Las empresas que dependen de proveedores y proveedores externos están expuestas a un mayor nivel de riesgo de violación de datos. Desafortunadamente, todas las empresas modernas de hoy se ajustan a esta descripción, y la tendencia solo está aumentando. La empresa moderna está altamente interconectada con una gran cantidad de proveedores, y no importa cuán fuertemente fortalezca su propia postura de seguridad, su talón de Aquiles siempre serán esos terceros con quienes comparte información.
DASB elimina este riesgo. Si eres una empresa de medios como HBO que colabora con cientos de proveedores grandes y pequeños durante la producción de una serie, si eres una empresa de servicios financieros, aprovecha los servicios de terceros de Deloitte y Accenture's del mundo, un gigante del comercio. como Target que necesita HVAC, o un proveedor de salud como Health Share of Oregon, DASB protege los datos de manera persistente de manera predeterminada para que usted mantenga el control, incluso cuando la información fluye hacia las manos de sus proveedores. Incluso cuando inevitablemente fluye hacia las manos equivocadas. DASB lo cubre a usted y a toda su cadena de suministro, al mismo tiempo que brinda una experiencia completamente transparente.
Fuente: https://www.securecircle.com/blog/the-achilles-heel-of-data-protection
Comments