Vale la pena pensar en las violaciones de datos físicos, así como en cometer un ataque
Por: Chris Stokel-Walker
(Cybernews)-En la carrera por protegernos del riesgo siempre presente de la piratería, las empresas y los expertos en seguridad de la información tienden a centrarse en los elementos intangibles. Estamos atentos a los ataques de phishing y al riesgo de que los piratas informáticos oculten nuestros datos de los servidores.
Lo que a menudo no pensamos es en la seguridad del hardware en el que se guardan esos datos. Estamos tan acostumbrados a que los piratas informáticos se cuelen a través de puertas traseras digitales que pasamos por alto la importancia de desechar y destruir adecuadamente la infraestructura física en la que se almacenan esos datos. Pero a menudo es un tesoro de información que a los hackers les encantaría tener en sus manos.
La eliminación adecuada de tales dispositivos de almacenamiento de datos es crucial, y es algo que puede ser castigado si no se hace correctamente, como aprendió en septiembre Morgan Stanley Smith Barney (MSSB), ahora conocido como Morgan Stanley Wealth Management. Se ha visto obligado a pagar 35 millones de dólares a la Comisión de Bolsa y Valores de EE. UU. (SEC) para resolver las reclamaciones de que no se deshizo correctamente de los discos duros y servidores que contenían datos personales de los clientes entre 2015 y 2020.
Qué salió mal
En múltiples ocasiones, MSSB contrató a una empresa de mudanzas y almacenamiento sin experiencia ni pericia en servicios de destrucción de datos para desmantelar miles de discos duros y servidores que contenían información de identificación personal de millones de sus clientes, según la SEC. Debido a que el banco no supervisó adecuadamente la eliminación de los dispositivos y el hardware por parte de la empresa, la organización que los recibió pudo venderlos.
La empresa de mudanzas vendió miles de dispositivos que habían sido propiedad del banco, incluidos servidores y discos duros, a un tercero. Algunos de esos dispositivos contenían detalles de clientes y finalmente se revendieron en un sitio de subastas en Internet sin que se eliminaran los datos. Cuando se dieron cuenta de esto, MSSB intentó recuperar algunos de los dispositivos, que contenían miles de piezas de datos de clientes sin cifrar, pero no pudo recuperar la gran mayoría de los dispositivos.
“Las fallas de MSSB en este caso son asombrosas. Los clientes confían su información personal a profesionales financieros con la comprensión y la expectativa de que estará protegida, y MSSB se quedó muy corto al hacerlo”, dice Gurbir S. Grewal, Director de la División de Cumplimiento de la SEC. “Si no se protege adecuadamente, esta información confidencial puede terminar en las manos equivocadas y tener consecuencias desastrosas para los inversores. La acción de hoy envía un mensaje claro a las instituciones financieras de que deben tomarse en serio su obligación de salvaguardar dichos datos”.
Los riesgos involucrados
Por su parte, Morgan Stanley llegó a un acuerdo y no admitió ni negó los hallazgos de la SEC sobre su manejo de datos y supervisión de terceros. Sin embargo, un portavoz ha dicho que la compañía está «encantada de resolver este asunto». “Hemos notificado previamente a los clientes correspondientes sobre estos asuntos, que ocurrieron hace varios años y no hemos detectado ningún acceso no autorizado o uso indebido de la información personal del cliente”, agregaron.
Pero la situación destaca los desafíos de no desechar correctamente el hardware de la computadora y la forma en que los datos se pueden recuperar fácilmente del hardware. Por lo tanto, es de vital importancia desechar y destruir cualquier dispositivo antes de deshacerse de él, incluida la destrucción física de los artículos. También es vital borrar todos los datos de los dispositivos que usan el software para que los datos no se puedan recuperar de ellos. Y para los dispositivos activos, el uso de software de encriptación es clave.
Las empresas que deseen evitar los mismos errores también pueden querer aprender de otro de los hallazgos de la SEC contra MSSB: un ejercicio de conciliación de registros realizado por el banco reveló que faltaban 42 servidores, todos potencialmente con información de clientes sin cifrar e información de informes de consumidores. Asegurarse de saber dónde están sus dispositivos en todo momento es crucial.
