Desarrollo de Caso Violación de datos Equifax

Desarrollo de Caso

Violación de datos Equifax

Resumen:

Equifax es una de las tres empresas de informes de crédito más importantes de Estados Unidos. En septiembre de 2017 anunció que había sido víctima de un hackeo que afectó a más de 140 millones de sus clientes en ese país.

Los atacantes explotaron una vulnerabilidad en un ambiente de código abierto (open source) llamado Apache Struts, que Equifax utilizaba en su plataforma Web de disputas, para acceder y extraer datos personales (PII-Personally Identifiable Information) tales como nombre de la persona, dirección, fecha de nacimiento, número de seguridad social, número de la licencia de manejo y más de doscientos mil números de tarjetas de crédito. Alrededor de este evento han sucedido múltiples situaciones que resultan interesantes. Como parte de los hechos interesantes de este caso, puede destacarse que el director general (CEO) tuvo que comparecer en diversas ocasiones y fue cuestionado fuertemente sobre su involucramiento en el manejo, toma de decisiones y accionar de la organización sobre los temas relativos a la ciberseguridad. Por consecuencia de la empresa como otros ejecutivos importantes de la empresa renunciaron a sus cargos y tras testificar ante varios comités de Estados Unidos, la empresa se enfrentó a docenas de demandas e investigaciones.

Preguntas a Resolver:

1. ¿Cómo funciona el modelo de negocio de Equifax? Explicar bien quién es el consumidor y cuál es el producto.

Es un modelo analítico exclusivo de Equifax que predice el comportamiento de pago de una persona, cuanto más alto sea, mejor es la probabilidad de que una persona pague a tiempo sus deudas. Esta empresa se enfoca en analizar la información crediticia de entidades financieras, usuarios, organizaciones, etc. Con estos datos recopilados la empresa da información a empresas que se pueden aprovechar de esto para su beneficio.

1. ¿Fue Equifax laxo con sus políticas o tuvo mala suerte de sufrir el ciberataque? Explique el porqué de su respuesta.

Mala suerte abunda muchas veces en varias empresas donde por esta razón puede cerrar o ir mal, pero en el caso de Equifax hay que dejar en claro que esto no es nada de “mala suerte” ya que su falta de interés para las mejoras de seguridad hubo este hackeo.

Una empresa de este ímpetu no puede tener tan poca seguridad en sus datos más teniendo información valiosa de usuarios, la política que se llevaba era tan vaga que un sistema básico tenía más seguridad. La falta de auditorías en ciberseguridad es uno de los problemas por el cual tuvo esta falta de seguridad en sus sistemas.

Llego a este pensamiento porque en marzo del 2017 la empresa fue alertada sobre la vulnerabilidad de todos sus aplicativos donde podían actuar rápidamente para una solución pero al no tener el suficiente conocimiento o no tener los recursos adecuados no fueron capaces de tener este problema controlado desde el principio.

1. ¿A quién asignaría usted la responsabilidad por el incumplimiento (el robo) de información? (el equipo de tecnología, la administración, el CEO, la junta directiva). Explique razonadamente su respuesta.

Como toda empresa tiene que tener una organización clara, responsable y madura. Entonces los directivos, los altos mandos y toda la empresa en si tubo la responsabilidad en que haya este ataque. Una empresa que tenga estos recursos es una “mina de oro” para “extorsionistas”. Las personas que tienen cargos más altos tuvieron que tener más interés en cuestiones de seguridad y ser guiados por los grupos que están a cargo de la ciberseguridad.

1. ¿Cómo usted caracterizaría la respuesta de Equifax al inicio del incumplimiento?

Ante posibles ataques o verificación de vulnerabilidades una empresa con políticas seguras tendría la mejor respuesta ante esto, pero Equifax por falta de madurez, ética y mala organización fue muy poco eficiente y vaga. La respuesta debía ser inmediata y dar una solución apta y para futuros problemas que pueda haber en la empresa.

...