La violación de datos de Fb continúa en los titulares.
A diferencia de los hacks de sitios net que robaron información de tarjetas de crédito de los principales minoristas, la empresa en cuestión, Cambridge Analytica, tenía derecho a usar esos datos.
Desafortunadamente, usaron esta información sin permiso y de una manera evidentemente engañosa tanto para los usuarios de Fb como para el propio Fb.
El CEO de Fb, Mark Zuckerberg, prometió realizar cambios para evitar este tipo de abuso de información en el futuro, pero parece que muchos de estos ajustes se están realizando internamente.
Los usuarios individuales y las organizaciones deben continuar tomando sus propios pasos para garantizar que su información permanezca lo más privada y segura posible.
Para las personas, el proceso de mejora de la protección en línea es bastante very simple. Esto puede variar desde abandonar sitios como Facebook por completo, hasta evitar los llamados sitios de juegos y cuestionarios gratuitos que requieren que usted dé acceso a su información y la de sus amigos.
Un enfoque separado es usar diferentes cuentas. Uno podría usarse para acceder a páginas financieras importantes. Un segundo y más podría usarse para sitios de redes sociales. El uso de varias cuentas puede crear más trabajo, pero agrega capas adicionales para mantener a un intruso alejado de sus datos clave.
Las empresas, por otro lado, necesitan un enfoque más integral. Si bien casi todos emplean firewalls, listas de control de acceso, encriptación de cuentas y más para evitar un ataque, muchas organizaciones no logran mantener el marco que conduce a los datos.
Un ejemplo es una empresa que utiliza cuentas de usuario con reglas que exigen cambios periódicos de contraseña, pero que no cambia las credenciales de los dispositivos de infraestructura de cortafuegos, enrutadores o conmutadores. De hecho, muchos de estos nunca cambian.
Los usuarios de los servicios de datos world wide web también deben cambiar sus contraseñas. El acceso requiere un nombre de usuario y contraseña o clave API, que se crea cuando se crea la aplicación pero, de nuevo, rara vez se cambia. Un exempleado que conoce la clave de seguridad API para su portal de procesamiento de tarjetas de crédito podría acceder a estos datos incluso si ya no estuviera empleado en esa empresa.
Puede empeorar. Muchas grandes empresas utilizan empresas adicionales para ayudar con el desarrollo de aplicaciones. En este escenario, el application se copia en los servidores de las empresas adicionales y puede contener las mismas claves API o combinaciones de nombre de usuario/contraseña utilizadas en la aplicación de producción. Dado que la mayoría rara vez se modifican, un empleado externo descontento ahora tiene acceso a toda la información que necesita para recopilar los datos.
También se deben implementar procesos adicionales para evitar una violación de datos. Éstos incluyen…
• Identifique todos los dispositivos involucrados en el acceso público a los datos corporativos, incluidos firewalls, enrutadores, conmutadores, servidores, and many others. Desarrolle listas de handle de acceso (ACL) detalladas para cada uno de estos dispositivos. Nuevamente, cambie las contraseñas utilizadas para acceder a estos dispositivos con frecuencia y cámbielas cada vez que un miembro de cualquier ACL en esa ruta abandone la organización.
• Identificar todas las contraseñas de aplicaciones integradas que acceden a los datos. Estas son contraseñas «integradas» en las aplicaciones que acceden a los datos. Cambie estas contraseñas con frecuencia. Cámbielos cuando una persona que trabaje en uno de estos paquetes de application deje la empresa.
• Cuando utilice la asistencia de desarrollo de aplicaciones de terceros, cree credenciales de terceros separadas y cámbielas con frecuencia.
• Si utiliza una clave API para acceder a los servicios website, solicite una nueva clave cuando las personas involucradas en esos servicios net abandonen la empresa.
• Anticipe que ocurrirá una infracción y desarrolle planes para identificarla y detenerla. ¿Cómo se protegen las empresas de esto? Es un poco complicado, pero no inalcanzable. La mayoría de los sistemas de bases de datos tienen auditoría incorporada y, lamentablemente, no se usa correctamente o no se united states of america en absoluto.
Un ejemplo sería si una base de datos tuviera una tabla de datos que contuviera datos de clientes o empleados. Como desarrollador de aplicaciones, uno esperaría que una aplicación acceda a estos datos. Sin embargo, si se ejecutó una consulta ad hoc que consultó una gran parte de esos datos, un keep track of de base de datos configurado correctamente debería al menos proporcionar una advertencia de que esto está sucediendo.
• Utilice la gestión de cambios para controlar el cambio. Se debe instalar un software package de gestión de cambios para facilitar la gestión y el seguimiento. Suspender todas las cuentas que no sean de producción hasta que se lively una solicitud de cambio.
• No confíe en la auditoría interna. Cuando una empresa se audita a sí misma, generalmente minimiza los posibles errores. Lo mejor es contratar a un tercero para verificar su seguridad y políticas.
Muchas empresas ofrecen servicios de auditoría, pero con el tiempo este autor ha descubierto que un enfoque forense funciona mejor. Es una necesidad analizar, crear políticas y monitorear todos los aspectos del marco. Sí, es tedioso cambiar todos los dispositivos y las contraseñas integradas, pero es más fácil que enfrentarse a la opinión pública en caso de una violación de datos.
¡Facebook bloquea mi PC! Aquí se explica cómo solucionar este problema para siempre.
¿divorciarse? ¡Revisa tu página de Facebook!
¿Quién es dueño de un grupo o foro de Facebook?
Principales razones por las que Facebook es tan popular
Cómo usar Facebook Live para marketing
Estafa de Facebook: ¿Sigue siendo fuerte?