Category: Top » View » Spanish-90598

Hacer frente al agujero de seguridad de la información en 2009

Hacer frente al agujero de seguridad de la información en 2009:

La amenaza no reconocida para nuestra patria y seguridad financiera

Cada pocos días allí son otra más abertura de la seguridad de información. Y cada abertura parece ser la más grande nunca, hasta que se anuncie la siguiente.

Ahora es reconocida extensamente por los expertos de la seguridad del gobierno federal en abajo eso que el problema de las violaciones de la seguridad de los datos conseguirá peor como el desastre financiero empeora y las compañías cortan el gasto y a trabajadores. Finalmente, hay conocimiento de crecimiento de una de las preocupaciones primarias de nuestro equipo: es inevitable que esto los datos comprometidos será utilizada para el terrorismo.

Mientras que hablamos con la gente interesada en esta edición, incluyendo gurúes de la seguridad, gobierno corporativo y los expertos reguladores, los abogados de la aislamiento, los directores y los oficiales, los abogados corporativos, los encargados, y los demandantes y los abogados de la demanda colectiva, conseguimos muchas preguntas sobre este tema punta. Las respuestas ayudan a explicar porqué la falta de asegurar la información es el estar al acecho amenaza nacional y global de la seguridad, y el derivado siguiente del accionista, la responsabilidad del director y del oficial, la seguridad de producto regulador, de consumo, y la edición colectiva.

¿Por qué es una violación de la seguridad de la información un problema de seguridad nacional y global potencial de la patria?
LW: Piense en lo que hacen los ladrones de los datos con la información robada. Los ladrones de los datos drenan sus cuentas financieras, utilizan sus tarjetas del debe y de crédito fraudulento, utilizan su identidad y crédito para abrir nuevas cuentas, crean los documentos forjados del empleo y el otro papeleo legal, y utilizan su identidad robada para confiar crímenes y para evadir la aplicación de ley. Es inevitable que algo de esta información robada será utilizada para financiar terrorismo, y crear forjó identidades permitiendo que los terroristas crucen las fronteras o que tengan acceso a sistemas críticos. Esto es qué hace la situación actual peor de un fraude global que incluso situación de Enron y del Worldcom. Enron era, fin de cita de la cotización, solamente sobre dólares perdidosos. En la fusión actual, también estamos perdiendo datos, sobre una escala masiva que incluso no hemos comenzado a agarrar.

Usted dijo que una violación de la seguridad de la información también crea la demanda colectiva, la responsabilidad del producto de consumo, el derivado del accionista, la responsabilidad potenciales de D y de O, y exposición reguladora. Explique.
LW: Cuando las compañías tienen la información delicada y sistemas, tienen ciertas obligaciones de proteger esa información. Esas obligaciones se basan en una variedad de internacional, de federal, y leyes estatales; requisitos reguladores y pautas de las agencias de estatal; las declaraciones y las representaciones hicieron a los accionistas, a los clientes, a los consumidores, y a los reguladores; y acuerdos con los clientes, los consumidores, y otras compañías con quienes hacen negocio.

Cuando las compañías no cumplen los requisitos para la seguridad de información, si ese defecto es voluntarioso o negligente, han fallado en sus obligaciones a muchos tenedores de apuestas. También, muchas de las declaraciones hechas a estos muchos tenedores de apuestas no son simplemente verdades.

Usted puede pensar en una situación similar con una línea aérea que tenga requisitos de seguridad múltiples, y que representa a muchos tenedores de apuestas que hace ciertas cosas para cumplir estos requisitos de seguridad. Si esa línea aérea no puede cumplir los estándares de seguridad, si con evitar deliberado de los estándares de seguridad, o con descuido, que la compañía tiene un problema grande con la aplicación de ley, reguladores, clientes, accionistas, y demandantes de la demanda colectiva. Los individuos que se burlan de esos controles de seguridad también tienen un problema grande hasta su responsabilidad personal. Esa compañía y esos individuos tienen un problema incluso más grande si el plano se estrella realmente.

Pienso en una violación de la seguridad de la información como plano que se ha estrellado.

¿Cuáles son las implicaciones para los inversionistas?
LW: Las implicaciones para los inversionistas incluyen una pérdida de valor del accionista si la compañía tiene una violación de la seguridad de la información. Las compañías ellos mismos reconocen, incluyendo en estándares industriales y en los accesos de la compañía archivados con el SEC, que una violación de la seguridad de los datos afecta a la marca de fábrica, requiere los recursos financieros enormes para la respuesta del incidente, la remediación, la intervención, y los gastos legales, y aumenta costes del seguro. Una violación de la seguridad de la información significa tan obviamente que, a pesar de centenares del gasto de millones que intentaban manejar seguridad y riesgo, el sistema falló en alguna parte. Las implicaciones de la continuación dependen encendido si la compañía cumplió sus propios requisitos de la seguridad, o si la compañía no pudo cumplir esos requisitos.

Si la compañía sopló a la derecha encendido por los controles, significa que, esencialmente, la compañía no dijo la verdad a los muchos tenedores de apuestas implicados. La mala representación en estas ediciones puede significar que la cobertura de seguro está anulada, que los requisitos legales y reguladores, incluyendo Sarbanes-Oxley, no fueron cumplidos, y que la exposición de la compañía y de los individuos que no hicieron caso de los requisitos de seguridad es mucho más grande que si la compañía había cumplido apropiadamente sus requisitos de la seguridad. Esto es una situación madura para las acciones reguladoras, los juegos derivados del accionista, las demandas contra directores individuales, los oficiales, y los encargados, los juegos colectivos del consumidor y del accionista, y las sanciones del criminal.

¿Por qué es el consumidor el que está en el gancho cuando se practica una abertura su información personal y financiera?
LW: Mi experiencia es que, deplorable, ahora la industria financiera intenta empujar todo el riesgo, y las consecuencias de una violación de la seguridad de la información, sobre el consumidor individual, o sobre las otras compañías con quienes hace negocio. Creo que ser incorrecto - si la compañía financiera no pudo cumplir sus requisitos, lleva por lo menos la parte de la culpa - el ladrón individual de los datos, por supuesto, no consigue del gancho.

También, si no pudo cumplir sus requisitos de seguridad, la compañía financiera debe llevar los costes de recuperación de la abertura, algo que pasando ese coste e inconveniencia encendido al consumidor o al cliente.

También creo que una compañía financiera que no cumple estándares de la seguridad tiene una posición muy dudosa en intentar imponer tipos de interés desrazonables, últimos honorarios y otras penas, y las prácticas agresivas de la colección en sus clientes.

He oído mucho sobre los piratas informáticos criminales que se rompen en sistemas, o los ladrones criminales de los datos que roban, por ejemplo, un ordenador portátil o una impulsión de destello. ¿Es ésa la clase de boquete de la seguridad de información que usted está hablando?
LW: No exactamente. El pedazo del problema que estoy describiendo, basado en experiencia de la vida real, es cuántos en la industria financiera no hacen caso o puentean de los estándares de seguridad, con las compañías todavía demandando que han hecho todo que pueden posiblemente, y no son responsables cuando hay una violación de la seguridad de la información.

Es fácil que las compañías culpen a los viejos piratas informáticos de computadora malos que se rompen en los sistemas y roban los datos. Pero ésa es solamente parte del problema. Sí, los ladrones de los datos han cometido delitos, y es apropiado que detengan a los ladrones de los datos responsables de sus acciones.

Las compañías también tienen gusto de culpar a los vendedores descuidados que proporcionan productos no fiables o servicios - que es un problema, también.

Pero las compañías financieras también tienen obligaciones múltiples de hacer su parte para proteger la información y los sistemas. La industria financiera sí mismo reconoce la obligación de las compañías de conducir diligencia debida y revisiones de seguridad apropiadas antes de permitir que otras compañías o individuos tengan acceso a estos datos.

Para que las compañías financieras demanden que están haciendo el muy mejor ellos pueden son como una compañía de almacenaje que diga a sus clientes que tiene una cerca segura, la seguridad alarma, y los protectores en sitio de 24 horas, pero tiene un robo porque el protector se fue para ir el pub de la vecindad, y salió de la puerta abierta y de la alarma apagado. Si se roba su materia, el ladrón individual es culpable, pero la compañía y el protector de seguridad-violación están también en apuro.

¿No requieren a las compañías financieras que tienen estos datos y sistemas legalmente asegurar su seguridad?
LW: Sí, requieren a las compañías financieras legalmente proteger esta información. Hay muchas leyes y regulaciones que imponen estos requisitos. (Las leyes y las regulaciones particulares variarán, según la industria, el tipo de compañía, y el tipo de información.) Pero el boquete que estoy describiendo se presenta porque muchas compañías, y otros tenedores de apuestas, asumen que las compañías están cumpliendo los estándares de seguridad porque pasan mucho dinero del accionista en seguridad.

Las compañías ellos mismos, sin mencionar los reguladores y los otros partidos referidos, no entienden que existen estos boquetes, o cómo encontrarlos y fijar. No se ha explicado bien porque, hasta que muy recientemente, casi nadie conectada con la industria financiera tuviera cualquier apetito para rechazar a los repartos aventurados del greenlight - concentraron en volumen y la velocidad de las transacciones del reparto. Este acercamiento ha creado “el intercambio del defecto del crédito” de la información delicada.

¿Cómo este boquete sucede?
LW: Muchos de estos boquetes suceden en el proceso de repartir-fabricación y de repartir-manejo. La industria financiera es bien consciente de las muchas leyes, regulaciones, y estándares de seguridad, y ha sido por años. Las asociaciones empresariales de la industria, y las compañías ellos mismos, especifican que las revisiones de la seguridad están supuestas para ser terminadas antes de que se haga cualquier reparto, si ese reparto implica alguÌn acceso a los sistemas y a los datos sensibles. Piense en esto como requisito en la industria de la aviación que los cheques de seguridad están supuestos para ser terminados antes de que un plano saque. Eso no significa que el equipo no vigila cosas durante el vuelo, pero el plano no se supone para salir de la tierra hasta que haya sido comprobado y despejado por los expertos.

Ahora, qué sucede mucho en la industria financiera es que un proyecto está empujado adelante, y un reparto es aprobado, dando a otra compañía el acceso a los datos sensibles, antes de que se terminen las revisiones de la seguridad y se tratan los defectos. Eso es como poner un plano en el aire antes de terminar los cheques de seguridad, porque ninguna razón con excepción de “nosotros necesitamos resolver un horario” o “los cheques de seguridad tardan demasiada hora”.

La función de la repartir-fabricación y del contrato debe ser uno de los puntos de control más fuertes y más eficaces para la industria - es la mejor ocasión pasada cumplir estos estándares de seguridad antes de que el “plano del reparto” saque. Desafortunadamente, porque la industria financiera se ha centrado en volumen y la velocidad de repartos, es, en mi experiencia, una del más débil, con los repartos hechos con frecuencia por los equipos que no entienden los estándares de seguridad, o aún la verborrea de los contratos.

Muchos en la industria financiera trataron esta función de la diligencia debida y del reparto como taladro paperpushing que se hará tan barato y rápidamente como sea posible. Eso es como hacer que un plano sea comprobado hacia fuera por un inspector que no sólo no se califique verificar seguridad de los aviones, sino no sepa literalmente lo que significan las palabras en la lista de comprobación de la seguridad.

¿Cómo usted sabe sobre esto?
LW: Manejé repartos, implicando sistemas y datos sensibles, para tres organizaciones financieras internacionales. Los subsidiarios de estas organizaciones globales incluyeron los bancos, las compañías de hipoteca, seguro, consejeros financieros, y tarjetas de crédito. También tengo muchos colegas con experiencia en otras compañías financieras globales. Éste es un problema enorme y a nivel industrial que exige la atención.

¿Bien, si usted trabajó en la industria financiera, y ahora usted está diciendo que la industria no está haciendo su trabajo, usted no está cambiando lados?
LW: He trabajado siempre para asegurar la información delicada y los sistemas, incluyendo en mi trabajo con tres compañías financieras internacionales grandes. Ese trabajo implicó el saber de encontrar y fijar estos problemas, que no era una habilidad común en una industria que era pagada en volumen y la velocidad de sus repartos. También implicó a veces el rechazar a los proyectos del greenlight hasta que las protecciones de seguridad apropiadas estuvieran en el lugar. Mientras que ese trabajo fue apreciado mucho por los equipos del control, como seguridad de información, conformidad, y expertos del gobierno corporativo, no era a veces popular entre los equipos que quisieron pasar como un rayo proyectos sin tardar el tiempo para las precauciones necesarias.

Ahora trabajo tan para educar a los tenedores de apuestas múltiples que esto es un agujero de seguridad enorme, pero es fijable - lo he hecho.

¿Por qué usted cuida tanto sobre esto? ¿Cuál está en él para usted?
LW: Mientras que resulta, mi carrera entera, comenzando con mi primer trabajo del ejército americano En inteligencia militar, ha estado sobre la protección y la distribución apropiada de datos sensibles. En mis unidades, prepararon a la gente para morir para proteger altamente - los sistemas sensibles, el compromiso cuyo podría causar daño grave a nuestra seguridad y a nuestra gente. Era increíble a mí que algo en la industria financiera no pudo proteger la información delicada, apenas porque la encontraron incómoda, o porque el tiempo adicional y la diligencia debida en un proyecto pudieron retrasar una promoción o un pago de una prima.

Dado una opción entre la firma apagado en decisiones imprudentes del encargado, o la protección de nuestra información delicada, que significa la protección de nuestra seguridad, de nuestros clientes y de nuestros accionistas, tengo que echar a un lado con la protección de estos datos.

¿Cuándo usted describe estos boquetes y cómo suceden, son esta información del mundo real?
LW: Las descripciones de estos boquetes se basan en la experiencia del mundo real, con manos, no teoría. No estoy interesado en la permisión de nuevos ladrones de los datos; Quiero ayudar a educar, para poder ser encontrado y fijar los agujeros de seguridad antes de que haya una violación de la seguridad. Si sé de debilidades específicas en el sistema de una compañía, creo que es apropiado a primero notifica a esa compañía de modo que puedan tomar medidas protectoras dinámicas, si con nuestro equipo o con algún otro. Pero incluso cuando discuto público panoramas típicos en un nivel extrapolado sin el nombramiento de la compañía, estos ejemplos se basan en los hechos que I y mis colegas han atestiguado de primera mano.

¿Qué consejo puede usted dar a las compañías que no están seguras si están expuestos?
LW: Muchas compañías piensan que tienen todo cubierta, porque tienen interventores internos o externos, o compañías de consulta grandes, u otros equipos que han estado intentando por años tratar seguridad. Pero mis colegas y yo hemos identificado estos boquetes, incluso en algunas de las compañías más grandes del mundo que pasan cantidades enormes de dinero del accionista en seguridad. De hecho, el problema es probablemente peor en una compañía más grande, porque es más difícil que los varios equipos coordinar la información y reaccionen rápidamente para tratar boquetes. Puedo atestiguar que hemos identificado los boquetes significativos de la seguridad que habían sido faltados por años, incluso una década o más largo, por los equipos internos y externos en algunas de las compañías más grandes de la industria.

¿Qué consejo puede usted dar a las compañías que es seguro ellas tener este problema dirigió?
LW: En primer lugar, muchas compañías financieras asumen que, porque pasan mucho tiempo y dinero en seguridad, deben hacerla cubrir. Esa asunción puede probar fatal.

Para las compañías que eligen asumir que hacen esto cubrir, incluso después este riesgo extenso pero desconocido se ha explicado, mi solamente consejo es: No tenga una abertura.

No tenga un trabajador infeliz con una impulsión de destello; no tenga un contratista o un subcontratista que quieran utilizar estos datos para los propósitos dañosos; no tenga sus datos que son alcanzados por cualquier persona que usted no sepa; no tenga cualquier persona el trabajar en sus centros de datos o el tener acceso de ellos remotamente a menos que usted sepa alrededor y lo supervise; no tenga ninguna boquetes en productos uces de los o servicios dondequiera en su cadena de datos. No incurra en ninguna equivocaciones en lo que usted dice a los consumidores, a los clientes, a los reguladores, a los inversionistas, o a las compañías con quienes usted hace negocio.

Si usted está todavía seguro usted lo hace cubrir - no tenga una abertura.

El autor da el permiso para ligar, para fijar, para distribuir, o para referirse a este artículo para cualquier propósito legal, con tal que la atribución se haga al autor y a Information-Security-Resources.com.

Sobre el autor

Por Laura Wilson, redactor de la responsabilidad corporativa de Information-Security-Resources.com. Laura es un consultor de negocio y abogado para la seguridad de información, la protección al consumidor, el valor de largo plazo del accionista, y mejores decisiones de gerencia. Su especialidad es que encuentra y de fijación de riesgos y de amenazas para los datos sensibles. Su experiencia incluye las compañías de lista del compañía de la tarjeta de crédito, y de hipoteca, del capital de riesgo de las actividades bancarias internacionales, y a los abastecedores del software y de la tecnología. Ella practicó ley en Silicon Valley durante el auge y la fusión de la tecnología, manejando gobierno corporativo y la protección de información.