“Una de las preguntas más importantes del mundo es quién posee los datos de la humanidad. "El activo más importante del siglo XXI no es la tierra, y no es dinero, es realmente información".

- El libro 'Homo Deus: Una breve historia del mañana' publicado en 2016, el autor Yuval Noah Harari

Para hacer eco de la audaz declaración anterior, en una época en la que nuestra existencia se ha integrado tan perfectamente con la tecnología, la pregunta sigue siendo quién y dónde se encuentra la propiedad con los datos de la humanidad. Entonces surge la siguiente pregunta lógica donde uno no puede ayudar sino preguntar.

¿Qué sucede cuando las empresas que procesan y almacenan información de identificación personal (PII) no protegen adecuadamente los datos de los clientes, con sistemas que no están a la altura de la tarea, lo que deja que los datos caigan en manos de los delincuentes?

Como los recientes brotes globales de ransomware han demostrado, los delincuentes también se han dado cuenta de lo valioso que es cualquier tipo de información, y lo están haciendo.

Lamentablemente, también están ganando,

Las empresas   siguen sin proteger adecuadamente los datos de los consumidores. Hacker House recomienda la seguridad cibernética como una de las principales prioridades de todas las empresas, en lugar de un elemento que solo debe tacharse de una lista de verificación de cumplimiento. En   un intento de mantener el ritmo con el panorama digital actual, la UE intervino y ha pasado el Reglamento General de Protección de Datos (GDPR), que se ejecutará desde el 25 º de mayo de 2018. Las nuevas regulaciones de la UE se extienden los derechos de datos de la individuos, y por lo tanto requieren que las organizaciones desarrollen políticas y procedimientos claros para proteger los datos personales, así como la adopción de medidas técnicas y organizativas adecuadas.

Más o menos, GDPR es el cumplimiento que exige que se establezcan las salvaguardas adecuadas para una mejor transparencia y claridad en el uso de los datos en las organizaciones. 

Con toda la alimentación forzada de "GDPR talk" en los próximos 12 meses, puede ser un poco abrumador saber por dónde empezar. Es una tarea que nadie quiere enfrentar solo. Además, no hace falta decir que GDPR también tendrá un efecto masivo en los negocios, especialmente en las pequeñas empresas. Surgen preguntas sobre el almacenamiento de datos, el valor transaccional de esos datos, incluido el cifrado y la transferencia de datos dentro y fuera de la UE, así como la necesidad de contratar a un Oficial de Protección de Datos oficial para aquellas empresas con 250 empleados y manejo de datos. 5,000 archivos al año.  Y si su organización no cumple con las expectativas previstas, puede esperar algunas multas cuantiosas. Estas multas podrían casi matar a una empresa tanto como lo haría la violación de datos de un ataque. En caso de que se produzca una violación de datos, se cobrarán multas administrativas de hasta el 4% del volumen de negocios global anual o € 20 millones (el que sea mayor). Estas multas son mucho más altas que las impuestas por la Ley de Protección de Datos actual en el Reino Unido. De hecho, se estima que las empresas en el Reino Unido habrían sido multadas con más de € 69 millones solo el año pasado, en comparación con las £ 880,000 que se cobraron realmente, según lo impone la normativa vigente.

A menudo se asume   que las pequeñas empresas son inmunes a los ataques cibernéticos porque cualquier incumplimiento sería mejor gastado en una gran empresa que tendría más para compartir y más para regalar.

Una de las razones más obvias por las que se dirigen las pequeñas empresas es que la mayoría no tiene presupuestos para armar medidas de seguridad extensas. "Barato y alegre", o a veces "inexistente" parece ser el mantra que se hace eco entre las pequeñas empresas. Cuando las compañías se vuelven complacientes o no se preocupan por ser atacadas, ese es a menudo el mejor momento para penetrar. Por ejemplo, a las pequeñas empresas les encanta usar los servicios en la nube para todo: es fácil, simple, pero también no usa cifrado fuerte. Junto con los departamentos de TI o los equipos de seguridad, pequeños o inexistentes, las pequeñas empresas no necesariamente invierten en tiempo para que los usuarios conozcan la importancia de contraseñas seguras, correos electrónicos de phishing, y no descarguen nada de Internet.

Además de ser una "presa fácil" para los atacantes, las pequeñas empresas también funcionan como puntos de entrada para las empresas. Muchas veces, la pequeña empresa se utiliza para obtener acceso a un sistema más grande y la recopilación de datos. Esto se conoce como "hacking de terceros. "Esencialmente, el pirata informático podría ingresar a un sistema débil y mal defendido dentro de una pequeña empresa y luego" conectar los puntos ": ¿qué información se puede extrapolar de la relación entre las dos compañías? ¿Es la pequeña empresa un proveedor en la más grande? Un ejemplo perfecto de esto es cuando Target fue violado en 2013. Fueron atacados a través de una pequeña compañía de calefacción y aire acondicionado que tenía un contrato con ellos. Cuando se atacó a Home Depot, los datos de sus clientes fueron robados con el proveedor durante mucho tiempo en las credenciales.

Perder información en un ataque es catastrófico para las pequeñas empresas. No es de extrañar que más de la mitad de estas empresas víctimas salgan del negocio en menos de un año después de su ataque. [2] E incluso si su empresa sobrevive, es realmente desgarrador decepcionar a sus clientes por la fe y la confianza que una vez tuvieron en la integridad de su empresa. Los propietarios de pequeñas empresas tienen que trabajar muy duro para mantener la integridad de su marca: puede haber un mal ataque y toda su reputación en juego.

Las compañías tendrán que trabajar para encontrar el presupuesto disponible para los nuevos sistemas de almacenamiento de datos y designar nuevos funcionarios para administrar esos datos. Antes de esperar para saber cuánto dinero tendrá que gastar para controlar esos datos, comience por asegurarse de que su infraestructura actual esté segura. Cuando sepa dónde se encuentra, puede establecer una línea de base para el lugar donde necesita estar.   La gestión de GDPR   y la nueva regulación de datos es una cosa; Asegurar y defender redes cuando hay un ataque es otra.   Y ambos son contingentes entre sí.

Antes de gastar más dinero en nuevos sistemas, comience por construir una cultura de seguridad en su organización. Obtener una prueba de la pluma.   Asegure su perímetro y configure los cortafuegos apropiados. Configure contraseñas seguras y una   cadena clara de autenticación de usuario de comando.   Organice un taller para crear conciencia de equipo y un protocolo de seguridad seguro.

Antes de saber cómo almacenar, administrar y controlar adecuadamente sus datos, debe protegerlos.

 

 

[1]:   Michael Winter, Home Depot Hackers utilizó el inicio de sesión del proveedor para robar datos, correos electrónicos, EE. UU. T ODAY ,  (7 de noviembre de 2014, 8:57 a.m.), http://www.usatoday.com/ story / money / business / 2014/11/06 / home-depot-hackersstolen- data / 18613167 /.

[2]: Graham Winfrey, ¿Puede su compañía sobrevivir a un ataque cibernético ?, INC. (5 de diciembre de 2014), http://www.inc.com/graham-winfrey/how-to-protect-your-company- información-en-la-digital-age.html.