¿Qué se puede hacer para limitar el robo de identidad corporativa?

Este es un problema difícil de variar desde la perspectiva corporativa. Estoy asumiendo A partir de su pregunta, está más interesado en lo que puede hacer el negocio en lugar de que en lo que el individuo puede hacer.

Creo que hay dos áreas principales en las que las empresas deberían centrarse para poder reducir el riesgo de que sus datos se vean comprometidos y utilizados para el robo de identidad

1. Concientización y educación del personal
2. Aumento de la madurez de la capacidad corporativa

La mayoría de las violaciones de datos se inician a través de ataques de ingeniería social contra el personal. Estos a menudo toman la forma de correos electrónicos de phishing y ataques de phishing de lanza contra el personal. Aumentar la conciencia del personal sobre estos tipos de ingeniería social. Los ataques son una buena manera de reducir los riesgos. Es por esto que muchas organizaciones grandes En realidad, ahora realizan campañas de phishing contra su personal como entrenamiento. proceso. Por ejemplo, Twitter hace esto como parte del nuevo personal. inducción. Hay una serie de empresas, como Phish5, que proporcionan este Tipo de servicio a las corporaciones.

La otra cosa que las empresas deben hacer es tener una política y procedimientos claros Con respecto a la recolección, almacenamiento y destrucción de datos, políticas y procedimientos. relacionados con la gestión de datos, la clasificación y la custodia que lo hace aclarar quién es responsable de garantizar que todos los datos cumplan con la política corporativa y procedimientos

Sin embargo, tener estas políticas y procedimientos no es suficiente. La corporacion También debe tener procedimientos establecidos para garantizar estas políticas y procedimientos. se están siguiendo y que se revisan de forma regular. Esto es Esencialmente el modelo de madurez de capacidad (CMM). En este modelo, una corporación. La madurez se mide según el lugar donde se sientan con respecto a la documentación. de políticas y procedimientos y nivel de adherencia. Los niveles, desde los más bajos hasta Los más altos tienden a estar en la línea de

1. Policies and procedures are ad hoc and not documented
2. Policies and procedures are documented, but may not be adhered to
3. Policies and procedures are documented and adhered to, but adherence is
   not verified
4. Documented policies and procedures are adhered to and adherence is
   verified (logged, audited, etc)
5. Documented policies and procedures are adhered to, verified and reviewed
   on a regular basis. 

En general, el personal intentará hacer lo correcto. Sin embargo, lo correcto es No siempre es obvio. Tener políticas y procedimientos claros ayudará con esto por Proporcionar al personal la información necesaria para asegurar el conocimiento de los problemas. y requisitos. Esto conduce a procesos de negocio más maduros que son menos Es probable que tenga inconsistencia o confíe en suposiciones que pueden no ser válidas. Eso También ayuda a garantizar la cultura correcta dentro de la organización.

El liderazgo es crítico para lograr una cultura corporativa madura y consciente de los datos. y la gobernanza. Tiene que haber un esfuerzo decidido por parte de los ejecutivos de la Organización para establecer una cultura donde los datos del cliente son valorados y protegidos. y manejado de manera consistente y segura. Para las organizaciones más grandes, este es un objetivo complejo y desafiante y puede tener un esfuerzo considerable para lograr.

También es necesario que los consumidores sean más exigentes. A menudo, las corporaciones solo mejorará cuando sea obvio que no hacerlo afectará la línea de fondo. Como consumidores, deberíamos mirar cosas como el servicio política de privacidad de los proveedores y estar dispuesto a no utilizar el servicio si esa política No proporciona suficiente protección. Todos debemos adoptar una posición proactiva. y se niegan a utilizar un servicio si ese servicio no está dispuesto a demostrar que Tomaremos las medidas necesarias para garantizar que nuestros datos personales sean suficientes. protegido. Debemos exigir saber cómo utilizarán nuestros datos, cuándo lo harán. destruir nuestros datos, qué protecciones tienen implementadas para nuestros datos y que nos informará de cualquier incidente que pueda haber comprometido, ya sea el Confidencialidad o integridad de nuestros datos. Desafortunadamente, muchos de nosotros somos dispuestos a renunciar a nuestros datos personales con demasiada facilidad.

Como dijiste:

  

ya que una gran cantidad de información personal como nuestros nombres, ubicación, información de contacto y otros datos personales están disponibles para los estafadores expertos para cometer robo de identidad.

Este es un problema que es difícil de evitar, por lo que los siguientes pasos pueden ayudarlo a intentar evitar el fraude:

• Limite lo que la gente puede ver sobre usted en sus diversos perfiles en línea
• Limite la cantidad de lugares en los que se registra con su información principal (si este es un boletín aleatorio, ¿realmente lo necesita?)
• Mantente al tanto de lo extraño que está pasando con tus perfiles sociales.
• Realice una búsqueda de sí mismo en línea e intente minimizar la información que está proporcionando.

Nota: la autoconciencia es la clave para protegerse contra el fraude. Si en un momento dado ve alguna actividad sospechosa con respecto a su identidad, investigue y proceda con las acciones requeridas.

Responderé desde mi experiencia laboral como auditor de TI. El robo de identidad se produce con mayor frecuencia en la ingeniería social que aprovecha la psicología humana en lugar de a través de medios tecnológicos. Los vectores de ataque pueden incluir entre otros:

1. Phishing
2. Spear phishing: subgrupo objetivo de empleados
3. Caza de ballenas: se dirige a la alta dirección y los ejecutivos

Este tipo de ataques son difíciles de evitar por medios tecnológicos, y las contramedidas deben basarse en la educación de los empleados. A los usuarios se les puede enseñar pasos simples como los siguientes:

• Desconfíe de los correos electrónicos enviados desde el dominio de la compañía en busca de información personal
• Desconfíe de las solicitudes de información provenientes de una fuente confiable y autorizada, como un ejecutivo de nivel C
• Pase el cursor sobre un enlace para ver el destino de origen, en lugar de hacer clic

El robo de identidad corporativa no solo se produce a través de las redes sociales sino también a través de otros medios, como el buceo de basureros, la suplantación de identidad y / o la navegación por los hombros (observar a una persona desde atrás). Las contramedidas pueden incluir:

1. Asegúrese de que todos los empleados sigan los pasos adecuados para desechar información confidencial, por ejemplo, a través de la trituración en lugar de simplemente desecharla en la basura.

2. Utilice la autenticación de dos factores para autenticar a la persona que reclama una identidad en particular (saber, tener o es)

3. Enmascare todas las contraseñas mostradas en la pantalla de la computadora

En última instancia, el éxito de una estrategia para defenderse contra el robo de identidad corporativa recae en empleados educados e informados, y los incentivos que la administración de la empresa ofrece para que los empleados se conviertan de esta manera.