Capital One Financial Corp, multado con $80 millones de dólares por no tener políticas y controles de ciberseguridad

Capital One Financial Corp, un banco con sede en los Estados Unidos, sufrió una violación de datos en 2019 y ahora ha sido sancionado con una multa de 80 millones de dólares por no poseer los controles de seguridad informática adecuados para prevenir la violación, como la seguridad de la red, la prevención de la pérdida de datos y los sistemas de alerta para identificar amenazas. La Oficina del Contralor de la Moneda (OCC), órgano regulador de los bancos nacionales, ha impuesto una sanción monetaria civil a Capital One por el hecho de que el banco no haya establecido procedimientos adecuados de gestión de riesgos al migrar sus operaciones a un servicio público basado en la nube.

Además, la OCC ha mencionado que Capital One no había logrado corregir las vulnerabilidades de seguridad, lo que dio lugar a la violación de los datos de las tarjetas de crédito, los números de cuentas bancarias de 80 000 clientes y un millón de números de la seguridad social canadiense. El hacker violó el sistema de Capital One a través de un firewall mal configurado, permitiéndole salirse con la suya con 700 carpetas de información sensible.

El hacker fue condenado y ha sido sentenciado a 25 años de prisión y a una multa de 250 000 dólares. La violación de datos de Capital One no es la primera de su tipo; el sector financiero siempre ha sido uno de los principales objetivos de los ataques cibernéticos. La violación de datos masiva en Equifax debería haber sido una señal de advertencia para que otras empresas reforzaran sus defensas.

Lecciones a aprender sobre el incidente de la violación de datos de Capital One

Las empresas deben comprender la importancia de contar con procedimientos sólidos de seguridad informática y educar a sus empleados, proveedores y partes interesadas en los protocolos de seguridad adecuados. Es importante estar siempre alerta, especialmente cuando sus empleados trabajan a distancia. Aquí hay algunos puntos para recordar cuando defina su lista de control de seguridad informática:

• Siempre parchee las vulnerabilidades de la red y de los dispositivos a tiempo.
• Garantice que las configuraciones de su firewall estén en su mejor momento y compruébelas periódicamente.
• Emplee controles de prevención de pérdida de datos para mantener segura su información comercial confidencial.
• Eduque a sus empleados sobre la ciberhigiene y garantice que la practiquen.
• Implemente los procedimientos de aplicación de listas blancas y negras para mantener sus endpoints seguros.
• Use una VPN cuando se conecte desde un lugar público para evitar los ataques de abrevadero (watering hole attacks) y la interceptación.
• Defina los protocolos de seguridad y combata los ataques de día cero con scripts personalizados para la seguridad temporal.
• Siempre haga una copia de seguridad de sus datos y almacénelos según la regla de copia de seguridad 3-2-1.

Con las soluciones de ManageEngine, puede marcar los parches, la prevención de pérdida de datos, las listas blancas y negras de aplicaciones y las configuraciones de firewall en su lista de control de seguridad.