Please Go to Settings and Configure Slideshow

28 Septiembre 2015

Articulo

 

¿Cómo saber que decir?

 

 

Vicki Thomas

Colaboradora Disaster Recovery Journal


Si usted es un cliente de la galería de fotos en línea de Wal-Mart, Tesco, CVS, Rite Aid, Costco o Sams Club puede haber recibido un correo electrónico similar:

Se nos informó recientemente de un posible compromiso que envuelve los datos de tarjetas de crédito de los clientes de la web del centro de fotos de Walmart Canadá, walmartphotocentre.ca, cuya gestión está tercerizada. La privacidad de nuestros clientes es de suma importancia. Inmediatamente lanzamos una investigación y estamos contactando a todos los clientes que puedan verse afectados. Como cliente de Photocentre Walmart en línea cuyas transacciones puedan haber sido afectadas, se recomienda monitorear de cerca las transacciones con tarjeta y ponerse en contacto con su institución financiera si nota cargos no autorizados. (Extraído de un correo electrónico del 21 de julio 2015)

Normalmente elimino dichos correos electrónicos - A menudo recibo correos de Banco TD y Banco RBC informándome que mis cuentas han sido comprometidas... no utilizo ninguno de estos bancos... Pero este correo electrónico de Walmart me hizo pensar dos veces. Yo he utilizado su sitio web de fotos en línea y para ser honesta, en ese momento no lo pensé mucho antes de proporcionar los datos de mi tarjeta de crédito. De hecho no creo que alguna vez haya pensado mucho antes de proporcionar los datos de mi tarjeta de crédito en línea, completado transferencias de dinero por correo electrónico, o transacciones digitales similares. ¿Pero tal vez debería pensar en esto con un poco más de cuidado?

Un poco de investigación me revela y recuerda que las violaciones de datos en línea como éste no es algo raro, de hecho, son más comunes de lo que nos gustaría creer. Pero, por supuesto, el riesgo de que mis datos (o los tuyos) sean extraídos es muy raro.

Independientemente de esto, una violación de datos como la experimentada por algunos de los principales minoristas de Canadá, Estados Unidos y Europa, es un dolor de cabeza masivo y un desastre en las relaciones públicas. Curiosamente ha habido muy poca protesta pública acerca de esta violación de datos. ¿Están los consumidores cada vez más complacientes a tales advertencias y presuntos incumplimientos mandados por correo electrónico? ¿O es que la naturaleza proactiva de Wal-Mart y otras empresas anula preocupaciones?

Si bien la cobertura de noticias de esta violación de datos fue más bien pequeña, lo que es interesante es cuan bien estas empresas están sobreviviendo ante este desastre público. Lo más probable es que sea porque todas las empresas afectadas pueden apuntar a un denominador común: PNI Digital Media. PNI Digital Media es un proveedor de servicios de terceros que gestiona y organiza los sitios de fotos digitales (PNI Digital Media es propiedad de Staples).

En todos los artículos de noticias, hay referencias indirectas a PNI Digital Media que son lo suficientemente fuertes como para desviar fácilmente la atención de la empresa afectada. Entonces, ¿Por qué no una protesta contra PNI Digital Media? Probablemente porque los clientes del PNI no son usted o yo, son las grandes empresas y la protesta que se está produciendo es una privada que está sucediendo detrás de puertas cerradas a través de mesas de juntas.

¿Y qué pasa con los problemas de la seguridad y privacidad en línea? problemas que probablemente ocupan más la mente del PNI Digital Media y sus clientes. Bueno, ninguno de los principales medios de prensa se refirió a esto en absoluto en su cobertura de esta violación de datos. El mensaje principal fue el de la calma y la no necesidad de preocupación por parte del cliente. Fue sólo cuando leyendo un artículo en esecurityplanet.com las preocupaciones más profundas aparecieron:

En una declaración proporcionada para Reuters, el vicepresidente de comunicaciones globales de Staples, Kirk Saville, dijo: "Nos tomamos la protección de datos muy en serio. PNI está investigando un presunto problema de datos de tarjetas de crédito, y los expertos en seguridad externos están ayudando en la investigación.

Adam Levin, presidente y fundador de IDT911, dijo por correo electrónico a eSecurity Planet que las empresas necesitan asegurarse de contratar vendedores con una clara trayectoria de fuertes prácticas de seguridad. "Cuando se trata de proteger los datos de los consumidores, una buena higiene cibernética debe estar arraigada en la cultura corporativa e incluir a todos, desde la sala de correo a la junta", dijo. "Una organización debe exigir lo mismo de sus socios y proveedores."

"Un sistema es sólo tan fuerte como su eslabón más débil, e incidente tas incidente, los vendedores están demostrando ser el eslabón más débil", agregó Levin.

Y Tim Erlin, director de seguridad TI y estrategia de riesgos en Tripwire, dijo que varias infracciones recientes han hecho que los equipos de seguridad de la información sean conscientes de los riesgos de trabajar con proveedores de servicios externos. "Si bien la externalización puede proporcionar una reducción en el costo para la empresa, el riesgo potencial tiene que ser parte del cálculo en general", dijo.

"En estos casos, donde los datos de tarjetas de crédito han sido robadas de un proveedor externo, es la marca principal quien llega a los titulares", añadió Erlin. (esecurityplanet.com)

Tal vez dirige una organización que se basa en los proveedores de servicios externos... O tal vez dirige una empresa que ofrece este tipo de servicios a los clientes.... O tal vez usted es un cliente de primera línea que está cansado de recibir estos correos electrónicos de advertencia...

¿Hay respuestas claras o soluciones sobre la manera de responder ante las violaciones de datos - pública y privada? Aquí es donde la continuidad del negocio se hace un poco difícil - ¿cuánto se dice sin levantar demasiadas alarmas, pero si no se dice lo suficiente - qué alarmas vas a levantar? ¿Y esto es realmente un problema de la continuidad del negocio, cuando esto se convierta en un incidente / desastre / amenaza, cuando hay un riesgo de una fuga de datos o cuando en realidad está comprobado?

Para leer muestras de la cobertura de noticias de este evento:

Costco, CVS, Rite Aid, Tesco Photo Sites Shuttered by Third-Party Data Breach

Costco, Sam’s Club, others halt photo site over possible breach

Wal-Mart Canada shuts online photo centre over potential credit card data breach