Portal Emprende

Portal Emprende

Qué hacer cuando su proveedor sufre una violación de datos
20 de septiembre de 2024

Qué hacer cuando su proveedor sufre una violación de datos

por Carlos Trujillo
Uno de sus proveedores sufrirá una filtración de datos. No se trata de si, sino de cuándo. Es posible que ya lo haya hecho, pero aún no lo sepa. Dado que el marketing maneja una gran cantidad de datos de clientes, es esencial saber qué hacer cuando se produce una filtración. Habrá una brecha En... Leer más
creator camp announcement
Forme un hábito de creación de contenido en 30 días con Creator Camp
Noticias y lanzamientos de martech impulsados ​​por IA: 12 de diciembre
Noticias y lanzamientos de martech impulsados ​​por IA: 19 de diciembre

Uno de sus proveedores sufrirá una filtración de datos. No se trata de si, sino de cuándo. Es posible que ya lo haya hecho, pero aún no lo sepa. Dado que el marketing maneja una gran cantidad de datos de clientes, es esencial saber qué hacer cuando se produce una filtración.

Habrá una brecha

En 2023, El 61% de las empresas denunciaron una infracción de tercerossegún un estudio de Prevalent, un proveedor externo de gestión de riesgos. Se trata de un aumento de casi el 50 % en los 12 meses anteriores y tres veces más que en 2021.

Además, estas infracciones son costosas y se descubren lentamente. El costo promedio de una filtración de datos este año es de 4,88 millones de dólares, el promedio más alto registrado, según el Informe sobre el costo de una filtración de datos de IBM/Ponemon de 2024El informe determinó que el tiempo promedio que transcurre desde que se produce una violación hasta que se descubre es de 194 días. Además, el tiempo promedio desde que se descubre la violación hasta que se la contiene es de 292 días.

Estas son sólo algunas de las principales infracciones ocurridas en lo que va del año:

  • Rusia utilizó un ataque a los sistemas de correo electrónico de Microsoft para robar datos e información personal del gobierno de Estados Unidos.
  • La información personal de aproximadamente 6,5 millones de clientes del Bank of America fue robada a través de los sistemas de Infosys McCamish.
  • Casi un terabyte de datos fue robado de Disney a través de Slack.

“Uno de los problemas de seguridad del SaaS es la confianza implícita”, afirmó Paul Shread, editor internacional de The Cyber ​​News del proveedor de inteligencia de amenazas Cyble. “Has invitado al proveedor a entrar en tu entorno”.

Qué hacer antes de que suceda

Cualquier empresa de tamaño significativo ya cuenta con una unidad de seguridad informática con políticas y procedimientos para evaluar a los proveedores. Estos implican verificar las prácticas de seguridad de los proveedores, comprender cómo manejan sus datos y asegurarse de que cumplan con sus estándares de seguridad y requisitos de manejo de datos.

Profundicemos: la inteligencia artificial y la seguridad son el foco de las últimas adquisiciones de Salesforce

Si su empresa es pequeña, esa “unidad” de seguridad informática debería estar formada por una persona específica de su departamento de TI. Si eso está fuera del ámbito de especialización de su personal, entonces probablemente debería externalizar su función de TI.

“Cuando se está incorporando un proveedor, hay que tener en cuenta ciertas normas de cumplimiento estandarizadas y configurarlas de la manera correcta”, dijo James Alliband, director de marketing de Risk Ledger, un proveedor de soluciones de gestión de riesgos de la cadena de suministro. “Pregúnteles cuál es la mejor práctica para garantizar que el software se ejecute de forma segura y conforme a las normas”.

Otros pasos incluyen:

  • Usando autenticación multifactor.
  • Mantener un inventario preciso de proveedores.
  • Determinar si necesita un seguro cibernético para cubrir el costo de los daños financieros.
  • Recopile únicamente los datos que sean absolutamente necesarios y no los conserve más tiempo del necesario.
  • Limitar el número de personal con acceso a aquellos que absolutamente lo necesitan.
  • Cifrado de datos.

“Lo mejor que se puede hacer es mantener buenas prácticas de seguridad para limitar los daños: control de acceso basado en roles, control de dispositivos, registro, monitoreo, MFA, segmentación, cifrado, configuración”, dijo Shread.

Por último, si aún no tiene un plan de respuesta a incidentes, obtenga uno. La Comisión Federal de Comercio tiene varios Recursos útiles para esto.

Lo primero que hay que hacer

En la mayoría de los casos, el vendedor te avisará por correo electrónico. Debes actuar tan pronto como recibas la notificación.

“Informe a su equipo de seguridad o a la persona importante que administra el software”, dijo Alliband. “Hágales saber qué sucedió, cuál es el correo electrónico y reenvíeles el correo electrónico”.

Cuanto más espere, más grave será el problema. Por ello, asegúrese de tener a mano la información de contacto en todo momento.

Alliband dijo que no hay que dar por sentado que el equipo de seguridad sabe qué datos hay en ese software o a qué se conecta. Por lo tanto, lo segundo es obtener esa información (si aún no la tienes) y transmitirla.

“Déjenles saber cuál es la solución, qué datos hay ahí, si hay ciertas cosas que son confidenciales”, dijo. “Denles una descripción completa de lo que es y edúquenlos rápidamente al respecto y también quién tiene acceso a los datos internamente”.

Establecer líneas claras de comunicación con el proveedor.

Una persona debe estar a cargo de la comunicación con el proveedor, de lo contrario reinará la confusión. Esa persona puede ser de Infosec, pero es posible que prefieran que sea alguien de su equipo que conozca bien la solución.

Lo primero que debe hacer es confirmar que el proveedor está protegiendo los datos. La forma de hacerlo debe estar en su plan de respuesta a incidentes. Realice un seguimiento periódico de este tema con ellos.

Revisar el contrato

En los negocios, hay ocasiones en las que se necesita un abogado. Esta es una de ellas. Revise el contrato con un experto legal. Él puede guiarlo en las partes legales y usted puede ayudarlo con las partes técnicas. El contrato debe incluir un requisito de notificación de violación de datos y, posiblemente, qué medidas correctivas se le exigen al proveedor.

Las violaciones de datos generan mucha tensión en la relación entre el proveedor y el cliente. Es fundamental que pueda asegurarse de que el proveedor cumpla con sus obligaciones.

Establecer expectativas claras para los próximos pasos

Cuando se produce una filtración de datos, es fundamental establecer un camino claro a seguir. A continuación, se indican algunos aspectos que se deben tener en cuenta.

Pruebas de auditoría profunda

Esto es esencial para:

  • Identificar la causa raíz de la infracción.
  • Evaluar la magnitud total del daño.
  • Desarrollar estrategias para prevenir incidentes futuros.

Cooperación con proveedores

La disposición de su proveedor a trabajar con usted determinará el rumbo de la relación. Su cooperación debe incluir:

  • Proporcionar acceso completo a los sistemas y datos relevantes.
  • Asignar los recursos necesarios para la auditoría.
  • Compartir toda la información pertinente de forma transparente.

Ser reacio o resistente a estas medidas es una gran señal de alerta. Por otro lado, un compromiso con la cooperación y la transparencia significa que se cuenta con una buena relación.

Profundice: Leyes de privacidad de datos de los estados de EE. UU.: lo que necesita saber

Notificar a los clientes

El peor escenario posible es que sus clientes se enteren de esta brecha a través de la prensa antes de que se enteren por usted. Al fin y al cabo, todas las empresas venden el mismo producto: la confianza. Sus clientes deben ser informados lo antes posible, con la mayor cantidad de información posible. No espere a tener toda la información sobre la solución. Cuénteles lo que sabe y los pasos que piensa dar. Cuando tenga información sustancial, transmítasela.

Mantente en contacto incluso si no hay novedades, para que sepan que no los has olvidado.

Después de la violación

Aunque la violación ocurrió externamente, hay varias cosas que hacer internamente para abordarla.

  • Determinar el tamaño de la violación: necesita saber cuántos clientes se vieron afectados y cuántos de sus sistemas se vieron comprometidos.
  • Notifique a las entidades gubernamentales correctas: Dependiendo de su industria y ubicación, es posible que deba comunicarse con las autoridades, los reguladores o el Fiscal General del Estado.
  • Encuentre la causa raíz: la vulneración ha identificado una debilidad en su sistema. Encuéntrela y corríjala.
  • Revisa los procesos de seguridad: el solitario nos enseña que es posible hacer todo bien y aun así perder. Tómate el tiempo de revisar los procesos y averiguar si hiciste todo bien.
  • Documentar el incidente: por razones legales y de revisión interna, es importante documentar la mayor cantidad posible. Hacerlo en tiempo real, incluida la comunicación electrónica y verbal con los proveedores, clientes e instituciones gubernamentales. Esto ayudará en el proceso de revisión de seguridad.

“Lo más importante es proteger las relaciones con los clientes, pero no hay que provocar un pánico innecesario, porque eso puede llevar mucho tiempo a los clientes”, afirma Alliband. “Se producen tantas filtraciones de datos de las que los clientes nunca se enteran porque en realidad no se han visto afectados por la filtración en sí”.

Marketing y Publicidad
Carlos Trujillo
Ver Todos los Artículos del Autor
You Might Be Steering Your Portfolio to Ruin
Podría estar llevando su cartera a la ruina
Artículo Anterior
Departamento de Justicia vs. Google: ¿Puede la industria de los medios digitales aprender de los últimos 15 años?
Departamento de Justicia vs. Google: ¿Puede la industria de los medios digitales aprender de los últimos 15 años?
Artículo Siguiente
Te Podría Interesar
El Impacto de Google Ads en el Crecimiento Empresarial: Estrategias, Beneficios y Optimización
Comparativa definitiva: ¿Cuál es la mejor herramienta de email marketing gratis en 2026?
El Salto Digital: Por qué una Agencia de Marketing Digital para Autónomos es el Motor de tu Crecimiento

Liderazgo

14 de enero de 2026
El ADN del Producto: Por qué la Trazabilidad y el Marcaje Industrial son el Nuevo Estándar de la Excelencia Operativa
14 de enero de 2026
La Revolución de la Precisión: Cómo la Excelencia en la Fabricación de Componentes Define el Futuro Industrial
Fuxiona se incorpora a MULTITARIFA 360
Un nuevo impulso en consultoría energé...
Mexico automotive market: innovación, i...

Estrategia

7 de abril de 2026
El Impacto de Google Ads en el Crecimiento Empresarial: Estrategias, Beneficios y Optimización
Finalmente llega el fin del plan de préstamos para estudiantes SAVE: millones tienen fecha límite para cambiar
29 de marzo de 2026
Finalmente llega el fin del plan de préstamos para estudiantes SAVE: millones tienen fecha límite para cambiar
A subscribe button surrounded by lush green and red tropical plants, symbolizing how publishers cultivate and grow loyalty among their subscribers
Escuchado en la Cumbre Editorial Digiday...
AI stocks - The AI Stocks Poised to Dominate the Market by 2025
Todo el mundo piensa que las grandes tec...
15 49.0138 8.38624 arrow 0 arrow 0 4000 1 horizontal https://www.portalemprende.com 300 0 1