Incumplimiento de datos para pequeñas empresas: mitigación de daños

Si bien las filtraciones de datos en minoristas gigantes como Target y TJ Maxx acaparan la atención, es un escenario igualmente realista para las pequeñas empresas, y los ataques a ese nivel pueden resultar lejanos. más devastador Los expertos dicen que los propietarios de pequeñas empresas que no hacen de la protección de la información personal de sus clientes una prioridad principal pronto podrían encontrarse fuera de servicio.

"No sé cómo las pequeñas y medianas empresas pueden sobrevivir a algo de esa magnitud". Will Pelgrin, presidente y CEO del Center for Internet Security, le dijo a Mobby Business.

Jefff Kosc, socio de la firma de abogados Benesch, Friedlander, Coplan & Aronoff LLP, dijo que las empresas ponen en peligro los datos personales de los clientes, como los números de la tarjeta de crédito y la Seguridad Social enfrentan una multitud de costos, no todos tienen un monto exacto en dólares.

Uno de los mayores costos proviene de las compañías de tarjetas de crédito y débito que, según Kosc, tienen amplios poderes y derechos en situaciones de violación de datos, especialmente si se descubrió que la empresa no estaba cumpliendo con las regulaciones de la industria de tarjetas de pago (PCI). Las reglamentaciones de PCI rigen las medidas de seguridad específicas que deben cumplir las empresas que aceptan tarjetas de crédito y débito.

"Si hay una violación de PCI, tienen los derechos para nivelar las multas a los comerciantes", dijo Kosc sobre el crédito y el débito. compañías de tarjetas. "También tienen derecho según esos acuerdos a cobrar cualquier cargo fraudulento que se realice en la tarjeta de cualquier persona como resultado de la violación de datos".

Además de pagar a las compañías de tarjetas de crédito, las empresas incurren en costos asociados con alertar a los consumidores de la incumplir, pagar sus servicios de control de crédito, investigar cómo se produjo el incumplimiento y tomar medidas adicionales para garantizar que no vuelva a suceder.

Investigaciones recientes del Ponemon Institute y Symantec calculan que a las empresas les cuesta $ 188 por registro perdido.

Kosc dijo que muchas empresas en estas situaciones también enfrentan una pérdida de productividad porque los empleados están más enfocados en limpiar el desastre que en las responsabilidades cotidianas normales.

"Estás alejando a todos de sus obligaciones laborales normales. para hacer frente a una violación de datos ", dijo.

Dependiendo del alcance de la infracción, Kosc dijo que las empresas también enfrentan posibles multas por parte de la Comisión Federal de Comercio. Señaló a TJ Maxx como un ejemplo, que se vio obligado a pagar más de $ 9 millones en multas a más de 40 fiscales generales diferentes después de su incumplimiento en 2007.

Además de los costos difíciles, las empresas también sufren daños potencialmente invaluables a su reputación y confianza.

"Hay una comunidad de personas que tienen una relación de confianza con usted y que pueden verse en peligro", dijo Pelgrin. "Cómo recuperarse de todo eso puede ser muy difícil".

Protección de su empresa

Un problema es que muchos piensan que debido a su tamaño, las pequeñas empresas no son un objetivo de los cibercriminales.

"Nosotros Tiendo a pensar que no nos va a pasar porque somos demasiado pequeños, y que realmente están mirando a las compañías más grandes, y ese no es el caso ", dijo. "Todo el mundo está bajo constante ataque en este punto".

Dado que los cibercriminales se han vuelto tan efectivos en los últimos años, Pelgrin dijo que incluso con las mejores medidas de seguridad vigentes, no hay garantías de que las empresas estén a salvo.

"Hay no es una bala de plata ", dijo Pelgrin. "Lo mejor que puede hacer es ser lo más diligente y vigilante posible para asegurarse de haber hecho todo lo posible para estar lo más seguro posible".

Para proteger los datos de los consumidores lo más posible, Pelgrin aconseja a las empresas: tome varios pasos:

• Conozca su entorno : Esto significa hacer un inventario de todo el hardware y software que tiene, así como también la versión que está ejecutando cada uno. Para protegerse, necesita saber exactamente lo que posee. "¿Cuáles son sus activos, cómo es su infraestructura, cómo es su red?" Pelgrin dijo. "Puede haber una vulnerabilidad conocida y es posible que ni siquiera piense que está dentro de su infraestructura y, sin su conocimiento, podría estar totalmente habilitada en toda su infraestructura y, por lo tanto, lo haría muy vulnerable a un ataque".
• Proteja su entorno : lleve su hardware, software y red al máximo nivel de seguridad. Pelgrin dijo que cuando las pequeñas empresas compran hardware y software nuevos, no siempre tienen las últimas medidas de seguridad sobre ellos. Dijo que es fundamental que las empresas revisen cada pieza del equipo y descarguen todos los últimos parches de seguridad. Además, dijo que todas las configuraciones de seguridad deberían subir hasta donde sea posible sin obstaculizar las operaciones.
• Controle su entorno : Pelgrin dijo que es imperativo que las empresas no concedan a todos sus empleados acceso total a su red y datos. Dijo que los empleados no deberían tener acceso a niveles más altos de administración, entonces necesitan y no deberían poder descargar lo que quieran de donde quieran. "La mayoría de sus empleados no deberían tener acceso administrativo completo a sus máquinas", dijo Pelgrin. "Ese acceso administrativo debería limitarse a muy pocos individuos de confianza". Además, las empresas quieren asegurarse de que las compañías y los proveedores con los que trabajan también tengan niveles de seguridad estrictos. Pelgrin dijo que es fundamental contar con documentación de las organizaciones a las que subcontrata partes de su negocio sobre exactamente qué medidas de seguridad tienen. "Necesita cumplir con los estándares de lo que se emplearía internamente", dijo.
• Supervise su entorno : esto implica autodiagnosticar constantemente los sistemas y la red para garantizar que actúen y funcionen como deberían. "No es necesario ser un ciberperiodista para saber que algo anda mal", dijo Pelgrin. "Tu instinto es un gran primer signo de que algo puede estar mal, y luego tienes que acercarte a los que tienen experiencia para ayudar a diagnosticar si, de hecho, has sido víctima de un incidente cibernético".

Pelgrin también alienta a las empresas dedicar tiempo todos los meses para capacitar a los empleados sobre la importancia de la seguridad cibernética y cómo pueden asegurarse de que no están contribuyendo a las filtraciones.

"Desea que sea real para los empleados y la única manera de hacerlo es hablar sobre y practicarlo ", dijo.

Kosc cree que un paso clave para mantener es tener algunos en la organización cuya principal responsabilidad es la seguridad.

" Tiene que ser algo que todos recuerden todos los días, porque ese es su trabajo ", dijo.

Mitigando los Daños

Kosc dijo que las empresas deberían tener una estrategia clara sobre cómo lidiar con una infracción, ya que muchos expertos creen que no se trata de si, pero cuándo sucederá.

"Usted quiere tener un plan en su lugar antes de que suceda algo como esto", dijo Kosc. "Entonces, cuando ocurre un evento, usted sabe qué hacer y cómo limitar la responsabilidad lo más posible".

Parte de ese plan es saber a quién llamar para pedir ayuda. Pelgrin dijo que en tiempos de crisis, no querrá perder el tiempo averiguando quién puede ayudarlo.

"Desea tener esas relaciones en el frente y en su lugar", dijo Pelgrin.

Los proveedores de seguros son una fuente relativamente nueva de ayuda para las empresas. En los últimos años, muchos han comenzado a ofrecer seguro de violación de datos.

Lynn LaGram, vicepresidente asistente de suscripción comercial pequeña en The Hartford, dijo que han estado ofreciendo seguro de violación de datos desde 2011, y su cobertura se divide en dos partes.

El primero cubre el gasto de respuesta y puede pagar cosas tales como notificar a los clientes después de una infracción, establecer un control de crédito para clientes afectados, contratar una firma de relaciones públicas para ayudar a reparar daños reputacionales y contratar expertos legales y forenses para evaluar si se produjo una infracción y de dónde vino.

LaGram dijo a través de The Hartford que las empresas pueden obtener entre $ 10,000 y $ 100,00 en cobertura de respuesta.

La segunda parte cubre los gastos que las pequeñas empresas podrían enfrentar si se presentaran demandas. contra ellos por los consumidores a los que se les robó la información.

"Esto cubre las adjudicaciones, acuerdos o fallos civiles que el propietario de la pequeña empresa estaría legalmente obligado a pagar como una res ult de una violación de datos ", dijo LaGram.

Kosc dijo que la mayoría de las demandas civiles presentadas contra las empresas que perdieron datos no han sido efectivas en este momento porque en muchas de estas situaciones los consumidores no pueden probar que los ladrones hayan usado su información robada de alguna manera.

"No ha habido muchos hasta ahora han tenido éxito, porque tienen que poder mostrar un daño real ", dijo Kosc. "Hasta que pueda proporcionar una lesión real se ha sufrido, (un tribunal) no puede otorgarle una indemnización por daños y perjuicios".

Aunque originalmente las pequeñas empresas tardaron en adoptar un seguro contra incumplimientos de datos, LaGram dijo más de ellas, especialmente a la luz del último los casos de alto perfil del año: han estado agregándolo a su arsenal de protección.

"La violación de datos es una de nuestras coberturas opcionales más vendidas", dijo.

Reparando la reputación

Para que las empresas comiencen a reparar su reputación y reconstruyendo la confianza después de una violación de datos, Pelgrin dijo que es imperativo que sean directos con los clientes cuando suceda, independientemente de las leyes estatales que dicten.

"Creo firmemente que no es así si ocurren cosas malas, sino cómo reaccionar cuando suceden cosas malas ", dijo. "Eso demuestra la calidad de la empresa y eso muestra la calidad de las personas que trabajan para esa empresa".

Pelgrin dijo que lo último que una empresa quiere que suceda es que la violación se divulgue seis meses después de que ocurra. ocurrió y los clientes piensan que no hicieron nada al respecto porque no tenían que hacerlo.

"Entonces estás en condiciones de tratar de justificar por qué te aferraste a esa información", dijo Pelgrin.

La clave es alertar a los clientes tan pronto como la información sobre la infracción sea concreta.

"No querrás poner miedo en las personas", dijo Pelgrin. "Realmente necesita saber qué sucedió, así que cuando proporciona la información, está muy claro que esto es lo que sabemos, esto es lo que sucedió y esto es lo que recomendamos para mitigarlo".

LaGram dijo que las pequeñas empresas deben entender que esto, sin duda, podría pasarles.

"Los propietarios de pequeñas empresas se dirigen a un ritmo mucho más alto que las operaciones más grandes, porque son más fáciles de penetrar", dijo. "Es muy fácil que suceda en un entorno de pequeña empresa".

Publicado originalmente en Mobby Business.

Ciberseguridad: una guía para la pequeña empresa

Las amenazas en línea están en la mente de todos después de la violación de esta semana en OneLogin. La compañía de gestión de identidad y acceso con más de 2.000 clientes empresariales fue pirateada, y las consecuencias no han terminado. Durante la violación de la seguridad, los hackers aún desconocidos pueden haber obtenido información privada sobre los usuarios, las aplicaciones y varias claves.

(Negocio)

¿Debería comprar sus iPhones de empleados? BYOD Pros y contras

Los teléfonos inteligentes y las tabletas son lo que hace que muchos pequeños negocios tic. Los dispositivos móviles modernos son lo suficientemente portátiles para un viaje diario y lo suficientemente poderosos como para mantener a sus empleados productivos desde cualquier lugar. Para muchas pequeñas empresas y nuevas empresas, estos dispositivos son prácticamente indispensables.

(Negocio)