Los titulares continúan abundando sobre la violación de datos en Facebook.
Totalmente diferente a los piratería de sitios donde la información de la tarjeta de crédito fue robada en los principales minoristas, la empresa en cuestión, Cambridge Analytica, tenía derecho a utilizar estos datos.
Desafortunadamente, usaron esta información sin permiso y de una manera abiertamente engañosa tanto para los usuarios de Facebook como para el propio Facebook.
El CEO de Facebook, Mark Zuckerberg, ha prometido hacer cambios para evitar que este tipo de uso indebido de información ocurra en el futuro, pero parece que muchos de esos ajustes se realizarán internamente.
Los usuarios individuales y las empresas aún deben tomar sus propios pasos para garantizar que su información permanezca lo más protegida y segura posible.
Para las personas, el proceso para mejorar la protección en línea es bastante simple. Esto puede ir desde abandonar sitios como Facebook por completo, hasta evitar los llamados sitios de juegos y cuestionarios gratuitos donde se le solicita que proporcione acceso a su información y la de sus amigos.
Un enfoque separado consiste en emplear diferentes cuentas. Uno podría usarse para acceder a sitios financieros importantes. Un segundo y otros podrían usarse hackear facebook para páginas de redes sociales. El uso de una variedad de cuentas puede generar más trabajo, pero agrega capas adicionales para mantener a un infiltrado alejado de sus datos clave.
Las empresas, por otro lado, necesitan un enfoque más integral. Si bien casi todos emplean firewalls, listas de control de acceso, cifrado de cuentas y más para evitar un ataque, muchas empresas no mantienen el marco que conduce a los datos.
Un ejemplo es una empresa que emplea cuentas de usuario con reglas que obligan a cambiar las contraseñas con regularidad, pero no cambia las credenciales de sus dispositivos de infraestructura para firewalls, enrutadores o contraseñas de conmutadores. De hecho, muchos de estos nunca cambian.
Aquellos que emplean servicios de datos web también deben modificar sus contraseñas. Se requiere un nombre de usuario y contraseña o una clave de API para acceder a ellos, que se crean cuando se crea la aplicación, pero que rara vez se cambian. Un ex miembro del personal que conoce la clave de seguridad API para su puerta de enlace de procesamiento de tarjetas de crédito, podría acceder a esos datos incluso si ya no estuviera empleado en esa empresa.
Las cosas pueden empeorar aún más. Muchas grandes empresas utilizan empresas adicionales para ayudar en el desarrollo de aplicaciones. En este escenario, el software se copia en los servidores de las empresas adicionales y puede contener las mismas claves API o combinaciones de nombre de usuario / contraseña que se utilizan en la aplicación de producción. Dado que la mayoría rara vez se cambian, un trabajador descontento de una empresa de terceros ahora tiene acceso a toda la información que necesita para obtener los datos.
También se deben tomar procesos adicionales para evitar que ocurra una violación de datos. Éstas incluyen…
• Identificar todos los dispositivos involucrados en el acceso público a los datos de la empresa, incluidos firewalls, enrutadores, conmutadores, servidores, etc. Desarrolle listas de control de acceso (ACL) detalladas para todos estos dispositivos. Nuevamente, cambie las contraseñas utilizadas para acceder a estos dispositivos con frecuencia y cámbielas cuando cualquier miembro de cualquier ACL en esta ruta abandone la empresa.
• Identificar todas las contraseñas de aplicaciones integradas que acceden a los datos. Estas son contraseñas que están “integradas” en las aplicaciones que acceden a los datos. Cambie estas contraseñas con frecuencia. Cámbielos cuando cualquier persona que trabaje en cualquiera de estos paquetes de software deje la empresa.
• Cuando utilice empresas de terceros para ayudar en el desarrollo de aplicaciones, establezca credenciales de terceros independientes y cámbielas con frecuencia.
• Si utiliza una clave API para acceder a los servicios web, solicite una nueva clave cuando las personas involucradas en esos servicios web abandonen la empresa.
• Anticipe que ocurrirá una infracción y desarrolle planes para detectarla y detenerla. ¿Cómo se protegen las empresas contra esto? Es un poco complicado pero no está fuera de alcance. La mayoría de los sistemas de bases de datos tienen auditorías integradas y, lamentablemente, no se utilizan correctamente o en absoluto.
Un ejemplo sería si una base de datos tuviera una tabla de datos que contuviera datos de clientes o empleados. Como desarrollador de aplicaciones, uno esperaría que una aplicación acceda a estos datos, sin embargo, si se realizó una consulta ad-hoc que consultara una gran parte de estos datos, la auditoría de la base de datos configurada correctamente debería, como mínimo, proporcionar una alerta de que esto está sucediendo. .
• Utilice la gestión de cambios para controlar el cambio. Se debe instalar el software de gestión de cambios para facilitar la gestión y el seguimiento. Bloquea todas las cuentas que no sean de producción hasta que se active una solicitud de cambio.
• No confíe en la auditoría interna. Cuando una empresa se audita a sí misma, normalmente minimizan los posibles defectos. Es mejor utilizar un tercero para auditar su seguridad y auditar sus políticas.