A raíz de las noticias aparecidas sobre la brecha de seguridad de la marca de cosméticos Yves Rocher, que ha expuesto los datos personales de más de 2.5 millones de su clientes por culpa de una brecha de seguridad (en la que se incluye información comercial confidencial e información personal de los usuarios de la firma). El incidente se ha debido a la falta de protección de la base de datos de un servicio de terceros. Concretamente, la compañía Aliznet, especializada en la transformación digital y que, además de Yves Rocher, trabaja para otras grandes compañías, como Lacoste. Dado que no es la primera ocasión en la que una empresa sufre una brecha de datos por la falta de seguridad de terceros, parece necesario realizar una reflexión al respecto.

Y es que, a las personas ajenas a las organizaciones no les cuesta mucho esfuerzo encontrar bases de datos no seguras y acceder a información confidencial. De hecho, ahora existen herramientas diseñadas para detectar errores de configuración abusivos dentro de los activos de TI, como las bases de datos de ElasticSearch. Debido a estas herramientas (y al continuo descuido de las empresas en lo que respecta a la ciberseguridad), el abuso de las configuraciones erróneas ha crecido en popularidad como un vector de ataque en todas las industrias.

Dichas vulnerabilidades pueden plantear amenazas importantes para la seguridad de los datos, el bienestar de los afectados, el cumplimiento de la normativa y la reputación de la marca. Incluso las empresas con recursos de TI limitados deben asumir la responsabilidad de proteger los datos de los usuarios; no hay excusa para las prácticas de seguridad negligentes y dejar expuestas las bases de datos.

Por ello, deben recurrir a soluciones flexibles y rentables que puedan evitar la fuga de datos; por ejemplo, agentes de seguridad de acceso a la nube (CASB) que cuentan con características como la gestión de la postura de seguridad en la nube (CSPM), prevención de pérdida de datos (DLP), análisis de comportamiento de usuarios y entidades (UEBA) y cifrado de datos en reposo. Solo con este tipo de capacidades, una empresa puede estar segura de que sus datos están verdaderamente seguros.

About Author

Anurag Kahol

Deja un comentario