Dos en una semana: Ahora un tercero revela datos de Gemini
Tras el incidente de la semana pasada que afectó a 77 000 empleados de Uber, ahora es la compañía de intercambio y custodia de criptomonedas, Gemini, la que ha anunciado que ha sufrido una fuga de datos originada en un tercero.
Al parecer, según explica la propia nota de la compañía, se han filtrado direcciones de correo y parte de números de teléfono sin que los sistemas de la compañía se hayan visto afectados. En este caso, a diferencia de la semana pasada, hay algunas lecciones positivas que podemos extraer de la situación:
Gemini ha hecho esfuerzos, además de por implementar medidas (lo importante), por demostrar a sus clientes que las ha implementado: En su página sobre seguridad indican que, al menos, han hecho el esfuerzo de pasar auditorías SOC1 y SOC2, lo que muestra una clara intención hacia sus clientes.
A pesar de la brecha (y los inconvenientes de los intentos de phishing), al menos se había aplicado el principio de prudencia y el tercero afectado sólo tenía unos pocos datos: La mejor forma de reducir el riesgo es siempre minimizar el impacto todo lo posible.
Lecciones aprendidas
De estos accidentes, hay que tratar de aprender lo máximo posible. En este caso, pensamos que hay lecciones que podemos sacar de lo sucedido:
Una estrategia de gestión del riesgo siempre es «evitarlo», es decir, si el tercero no necesita los datos, no se los enviemos, o al menos, enviemos siempre lo mínimo posible.
Nada puede evitar que suframos un incidente, así que siempre es mejor ponerse en el peor de los casos, «prepararse para lo peor y confiar en que no suceda».
Es decir, por un lado, aplicar políticas de minimización en el tratamiento de datos como se establecen en el apartado [SO.03] de la metodología de calificación y dotarse de un mecanismo para la gestión de incidentes (dominio [IH]).
Reflexiones finales
Como no hay mucha información sobre la brecha en sí, nos gustaría terminar con algunas reflexiones sobre el gestión de riesgo de terceros a raíz del artículo de VentureBeat que se hacía eco de la noticia:
Estamos al 100% de acuerdo en que lo primero que tienen que hacer las organizaciones es entender su exposición a este riesgo de terceros y analizar el impacto potencial que éstos pueden tener.
A raíz de ahí, hay que asumir la «propiedad» de ese riesgo, es decir, entender que hay que hacer algo con él porque, hoy por hoy, la mitad de los incidentes nacen en los terceros (ver resultados de la última edición de nuestro Estudio sobre la ciberseguridad en la cadena de suministro)
Aunque el contrato es el punto de partida y se debe monitorizar este riesgo, obviamente, creemos que no se puede y no se debe renunciar a solicitar a los proveedores demostración del cumplimiento de medidas de seguridad (ya sea mediante una calificación o una certificación / auditoría de las que evalúan las medidas de seguridad efectivamente implementadas: SOC2 Tipo II, Esquema Nacional de Seguridad, PCI-DSS, etc.), es decir, evitando las que se refieren a sistemas de gestión exclusivamente, como la famosa ISO27001.