Ciberseguridad en la cadena de suministro y Cumplimiento de Borrado Seguro Certificado en las políticas internas de las organizaciones

Dos aspectos fundamentales que toda empresa debería fortalecer

Definitivamente para nadie es un secreto que los datos crecen cada día a ritmos vertiginosos y que estos datos se han convertido en el principal activo de cualquier empresa, la información en la actualidad es el nuevo oro digital.

Más de 3.700 millones de personas usan Internet y cada día se realizan en promedio 5 mil millones de búsquedas en la red de redes. IDC predice que hacia el año 2025 la generación de datos globales llegara a 175 zettabytes.

Los ataques a la cadena de suministro corresponden a dos clases principales: La estafa y suplantación de correo electrónico y el software de terceros comercializado en SaaS (Software como Servicio) o en modo On-premises.

En estos ataques en donde el vector por excelencia es el correo electrónico, los ciberdelincuentes comprometen a revendedores y a los proveedores de servicios para poder atacar posteriormente a sus clientes y socios de negocios. La intrusión inicial del atacante se realiza a menudo mediante ataques dirigidos de phishing o malware. Una vez dentro del sistema del proveedor, los ciberdelincuentes pueden suplantar cuentas de emails para iniciar el ciberataque de phishing, suplantación de identidad, fraude de facturas u otros tipos de ataque contra los clientes. Cuando los atacantes han conseguido infiltrarse en los sistemas críticos de los clientes, pueden robar datos confidenciales, instalar ransomware o utilizar el acceso para desencadenar ataques redirigidos o a gran escala.

Las violaciones de seguridad a la cadena de suministro de software son un tanto más sofisticado en su proceso de infiltración o de como lo llevan a cabo. Además, la necesidad cada vez mayor de software o aplicaciones externas y gestionadas, ha creado un tipo adicional de riesgo para la cadena de suministro. Si un proveedor de servicios que ha sido comprometido proporciona software o soluciones Cloud, los ciberdelincuentes pueden alterar el código fuente e inyectar malware en el proceso de compilación o de actualización.

A partir de ahí los programas o servicios infectados se distribuyen a clientes y socios de negocios, junto a una inevitable propagación que comprometería y vale decir que ha comprometido a muchas organizaciones de renombre internacional.

Las compañías deben confiar en que sus proveedores y editores de software tengan las protecciones adecuadas. Si se suministra software comprometido a una organización, ésta puede ser susceptible de sufrir una amplia gama de ataques.

Lo cierto es que los intereses de los ciberdelincuentes son diversos, partiendo desde la simple demostración de conocimientos y poder en la comunidad de hackers hasta llegar a la apropiación de datos bancarios para la clonación de tarjetas, el phishing, spear phishing, extorsión, venta ilícita, y criptominería ilegal, por mencionar algunos.

Gartner predice que, para el 2025, el 45 % de las organizaciones de todo el mundo habrán sufrido ataques en el software de sus cadenas de suministro, lo cual obliga a las compañías a incorporar la tecnología de Ciberseguridad SAST (Static Application Security Testing), en sus procesos del ciclo de vida de sus aplicaciones para garantizar la calidad y seguridad del software.

Servicio SAST

En este contexto, lo importante es trabajar exhaustivamente en difundir la importancia de efectuar análisis SAST en las organizaciones de cualquier tamaño. El servicio detecta vulnerabilidades de código fuente y es capaz de integrarse de forma automatizada en el ciclo de vida de desarrollo de software dando total cumplimiento al ISO12207, DevOps, alcanzando SecDevOps de forma totalmente natural y sin perjuicio alguno en los tiempos de desarrollo habituales.

Este proceso es clave para las empresas puesto que les permite la Identificación de vulnerabilidades y puertas traseras en código personalizado y de terceros, escaneo completo al 100% sin carga del servidor, priorizando fallas por nivel de gravedad y probabilidad de explotación; y analizando el código desde la perspectiva del atacante, pero con mayor precisión.

Cumplimiento normativo de Borrado Seguro Certificado

Frente a la necesidad de respetar la legislación vigente, y dado el aumento de los ciberataques y casos de robo de información sensible a organizaciones y usuarios, desde Soluciones Virtuales Perú hacemos un llamado a las organizaciones en general, a implementar la tecnología de borrado seguro de datos certificado como una manera de dar cumplimiento a la Ley de Protección de Datos Personales que, a su vez, comprende a la Superintendencia de Banca y Seguros (SBS-Perú), el cumplimiento PCI / RGPD / HIPAA/ SOX / ISO27001, entre otros.

A nivel mundial, el más grande estudio realizado y conocido hoy en día bajo los principios de la NAID (Asociación Nacional de Destrucción de la Información) determino que solo el 30% de organizaciones dan cumplimiento certificado y auditable en cuanto al borrado de datos certificado se refiere, garantizando la protección de los datos personales y confidenciales y reduciendo las costosas violaciones de seguridad que representa la fuga y exposición de información.

El escándalo de hace algunos años de una de las más prestigiosas multinacionales del sector financiero, Morgan Stanley multado por US$35M por la comisión de bolsa de valores de estados unidos (SEC) por haber incumplido el proceso de eliminación de datos certificado y haber expuesto a su vez a miles de clientes, pone en evidencia la ausencia y omisión de las políticas de seguridad que existe en muchas de las empresas alrededor del mundo.

En el Perú sólo el 4% de las compañías, tanto públicas como privadas, tienen una política sólida de cumplimiento en lo que respecta al proceso de borrado seguro de datos certificado. Esta situación, representa una alarmante brecha de seguridad y un desafío muy grande para las autoridades que se encargan de velar y proteger los datos personales y confidenciales.

Es decir, estamos hablando de archivos con información legal, financiera, contable, datos de clientes, proveedores claves, pólizas de seguros, historias clínicas, costos de producción, secreto industrial y transacciones, entre otros contenidos confidenciales.

Además, es preciso advertir que la eliminación convencional de datos, es decir, aquella que se realiza manualmente no es segura, dado que puede ser recuperada fácilmente con multitud de software libre o propietario que pueden encontrar en internet.

En los últimos años la adopción de alquileres de equipos informáticos para estaciones de trabajo o portátiles en las empresas han convertido, principalmente, a las compañías del sector de la banca y seguros, grupos corporativos y multinacionales en blancos fáciles de espionaje o tráfico de datos.

Al momento de devolver los equipos arrendados, y sin antes haber eliminado permanentemente la información confidencial de los mismos mediante un proceso de sanitización de borrado seguro certificado, la data puede ser extraída y utilizada para fines ilícitos o venderla al mejor postor en el mercado negro. Esto supone que cualquier organización sea susceptible a filtraciones de información, sanciones por incumplimiento normativo y exponga su reputación corporativa.

Primer Estudio Legal del Perú

Asimismo, destacamos que el prestigioso estudio Morante & Abogados se ha convertido en el primer despacho legal de la nación en contar con esta tecnología. La solución entregada se rige bajo exigentes estándares del Departamento de Defensa de Estados Unidos, del Gobierno de Reino Unido, NIST 800-88, HMG Infosec Standard, NSA 130-1, NATO standard entre otras organizaciones que certifican y garantizan una eliminación definitiva de la información confidencial.

De esta manera, el despacho puede dar asesoría legal a sus clientes con elevados niveles de protección y confidencialidad. El servicio de borrado entregado al cliente se aplica a entornos activos, siendo un borrado dirigido que actúa en forma continua y permanente sobre aquella información clasificada como confidencial. Haciendo irreversible su recuperación.

Finalmente, desde Soluciones Virtuales Perú invitamos a las organizaciones de nuestro país e internacionales a formar parte de las empresas responsables que reconocen el cumplimiento de la legislación relacionada con la protección de datos personales y confidenciales.

Noticias Relacionadas
1 comentario
  1. Ciberseguridad en la cadena de suministro y Cumplimiento de Borrado Seguro Certificado en las políticas internas de… https://t.co/0BgHGgbGmN

Deja tu comentario sobre esta noticia

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.