Nueve lecciones aprendidas a partir de la violación de datos de Equifax

El 7 de septiembre de 2017, Equifax anunció que fueron víctimas de un ataque de exfiltración de datos y que los atacantes comprometieron más de 145 millones de registros de consumidores estadounidenses. Millones de otros registros sobre ciudadanos británicos y canadienses también fueron comprometidos. Fue la violación de datos más grande de 2017 y sigue siendo una de las diez más grandes hasta la fecha.

Las infracciones relacionadas con tarjetas de crédito pueden ser devastadoras, pero las tarjetas de crédito tienen una vida limitada. Si una o más tarjetas se violan, basta con cerrar la cuenta que el problema se soluciona.

Sin embargo, lo que hace que el impacto de la brecha de Equifax sea particularmente devastador es que gran parte de la información que se rompe tiene una vida útil muy larga. La información personal, como el nombre de una persona, la fecha de nacimiento, el número de seguro social, la dirección de correo electrónico y más, puede ser explotada durante décadas después de una violación.

Durante mi reciente webinar “Applying Vulnerability Management Lessons from the Equifax breach to Improve Your Security in 2019”, que puede ver aquí, comenté sobre la violación de Equifax y algunos de los problemas que hicieron que ocurriese este incidente. Si bien las fallas en la seguridad de la información en Equifax fueron muchas, aquí están los 9 errores y descuidos fundamentales que allanaron el camino para esta brecha calamitosa:

1. Estrategia de seguridad e infraestructura ineficaces

2. Mala gestión de parches

3. Falta de un programa de gestión certificado

4. Mala preparación de notificación de incumplimiento

5. Sistemas heredados con graves problemas de seguridad

6. Estructura de gestión de TI ineficaz

7. Políticas de seguridad de la información deficientes

8. La falta de un inventario de software

9. Falta de cumplimiento de PCI para una aplicación crítica

Si Equifax hubiera implementado y ejecutado de manera consistente una política de administración de parches efectiva, la violación de datos de 2017 se habría evitado. Su falla en parchar una vulnerabilidad crítica conocida en Apache Struts dejó un sistema crítico clave en riesgo por 145 días. Eso es casi cinco meses durante los cuales los atacantes disfrutaron de reinado libre en una de las bases de datos de consumidores más grandes del planeta.

Equifax gastó más de $ 300 millones para recuperarse de la brecha, de los cuales el seguro solo cubrió alrededor de $ 75 millones. Si Equifax hubiera invertido parte de ese dinero en una mejor gestión de la seguridad de la información (administración de vulnerabilidades, etc.), ella no habría manchado su reputación de esa forma.

El corazón del fracaso de Equifax fue que, fundamentalmente, descuidaron la implementación de un programa adecuado de gobernancia de la información para proteger sus datos confidenciales. La lección que cada organización puede sacar de Equifax es que esta brecha se podría evitar por completo.

Solo cuando las empresas toman en serio la seguridad de la información, y tienen un CISO que está capacitado con personal y un presupuesto, pueden esperar razonablemente evitar el mismo sino que Equifax. De lo contrario, como dijo Gene Spafford, profesor de ciencias de la computación de la Universidad de Purdue “si su posición en una organización incluye responsabilidad por la seguridad de la información, pero usted no tiene la autoridad correspondiente, entonces seguramente usted llevará la culpa cuando algo suceda".

Para una inmersión más profunda en la brecha de Equifax y las duras lecciones aprendidas, vea mi webinar.