Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Gestión de Riesgos de Ciberseguridad > Entrega Incorrecta: La Amenaza de Seguridad de Datos a Menudo Pasada por Alto
Misdelivery The Often Overlooked Data Security Threat

Entrega Incorrecta: La Amenaza de Seguridad de Datos a Menudo Pasada por Alto

by Robert Dougherty updated noviembre 23, 2024 Gestión de Riesgos de Ciberseguridad
Reading Time: 6 minutes

Según el Informe de Investigaciones de Violaciones de Datos de Verizon 2022 (DBIR), el 22% de los incidentes de seguridad investigados en 2021 resultaron en una violación de datos. Una violación de datos que figura prominentemente en este informe es la “entrega incorrecta“. Una entrega incorrecta ocurre cuando un usuario envía información personal identificable (PII) o información de salud protegida (PHI) a un destinatario no intencionado a través de correo electrónico u otro canal de comunicación.

La entrega incorrecta jugó un papel en 715 incidentes, de los cuales 708 resultaron en una violación de datos. ¡Esto significa que el 13.5% de todas las violaciones de datos involucraron a alguien enviando accidentalmente información sensible al destinatario equivocado!

¿Qué es la Entrega Incorrecta?

Para ser claros, la entrega incorrecta es una violación de datos. La ausencia de malicia es irrelevante; una vez que la información sensible destinada a usuarios autorizados ha sido entregada a un destinatario no autorizado, el daño está hecho. Desafortunadamente, con tantas personas trabajando de forma remota, el riesgo de entrega incorrecta es más alto que nunca. ¿Por qué?

Primero, los empleados rara vez están en la misma oficina, por lo que tienen que comunicarse por correo electrónico y herramientas de colaboración. Segundo, muchos sufren de sobrecarga de notificaciones. Entre Teams o Slack, correo electrónico y mensajes de texto, es fácil que los empleados se sientan abrumados y compartan datos inadvertidamente con la persona equivocada.

Probablemente Ya Te Ha Pasado

Algunas industrias son más susceptibles a la entrega incorrecta que otras. Los empleados en Servicios Financieros, por ejemplo, tienen tres veces más probabilidades de compartir información sensible erróneamente, según el DBIR de Verizon 2022.

Las empresas de Servicios Financieros, y las firmas de Servicios Profesionales en general, suelen tener grandes bases de clientes y, por lo tanto, comunicaciones extensas y frecuentes con los clientes. No es raro que un empleado en un rol de relaciones con clientes o consultoría envíe hasta cien correos electrónicos cada día a clientes, colegas y socios.

Mientras que el sector de la Salud lideró otros sectores clave en incidentes de entrega incorrecta en 2021, el número de incidentes realmente disminuyó en comparación con años anteriores. Por el contrario, la entrega incorrecta aumentó en estas otras industrias durante el mismo período de tiempo.

En su prisa por proporcionar un servicio al cliente ejemplar, estos empleados ocasionalmente envían información propietaria y sensible al destinatario equivocado, ya sea por correo electrónico o a través de carpetas compartidas. La caché de correo electrónico y el autocompletado desafortunadamente aumentan significativamente la probabilidad de entrega incorrecta.

Un empleado escribe “Jan” en el cuadro “Para” del correo electrónico o “Compartir con” dentro de una aplicación de intercambio de archivos con toda la intención de enviar un contrato a Jan Vincent, pero Jan Valentino se autocompleta en el cuadro en su lugar. Los nombres son tan similares que es fácil pasarlo por alto; fácil pero costoso.

Cuando ocurre la entrega incorrecta de información sensible, generalmente conduce a una violación de datos. Una violación de datos puede costarle a una organización millones en ingresos perdidos y litigios. Peor aún, la pérdida de clientes y la erosión de la marca suelen seguir.

Mejores Prácticas para Minimizar el Riesgo de Entrega Incorrecta

Al aplicar las siguientes prácticas y soluciones, los empleados pueden minimizar el riesgo de una violación de datos relacionada con la entrega incorrecta:

Actualizar la política de seguridad corporativa

La política de seguridad de cualquier organización debe delinear claramente cómo manejar los datos críticos, quién puede acceder a ellos y cómo compartirlos externamente (si y cuando sea necesario).

El uso de una solución de prevención de pérdida de datos (DLP), por ejemplo, es muy importante. DLP incorpora tecnología pero también políticas y procedimientos para ayudar a prevenir la fuga de datos, incluida la entrega incorrecta. Ayuda a las organizaciones a minimizar otras amenazas internas como el robo y el sabotaje. También ayuda a las organizaciones a monitorear los movimientos críticos de archivos y demostrar cumplimiento con las regulaciones de privacidad de datos y estándares regulatorios.

Usar el principio de privilegio mínimo

Usar seguridad de confianza cero para construir, mantener y utilizar un sistema de TI es un enfoque muy seguro para proteger contenido sensible del acceso no autorizado.

La seguridad de confianza cero se puede definir libremente como una práctica de diseño que requiere que los usuarios del sistema sean autenticados, autorizados o validados continuamente antes de acceder a un sistema que contiene o maneja información sensible. El acceso es privilegiado y se concede caso por caso. La seguridad de confianza cero minimiza significativamente el riesgo de acceso no autorizado a la PII, PHI o propiedad intelectual (IP) de una organización.

Ofrecer capacitación regular

La tecnología está en un estado de avance constante. Desafortunadamente, también lo está el cibercrimen. Las organizaciones y sus empleados deben, por lo tanto, mantenerse al día con los cambios en ambos ámbitos para seguir siendo competitivos y proteger la propiedad intelectual de su organización.

Los humanos no tienen por qué ser el eslabón más débil en la protección de datos. Proporcionar a los empleados capacitaciones periódicas para soluciones de gestión de almacenamiento de datos y transferencia de archivos puede ayudar a los empleados a mantenerse actualizados con los sistemas y tecnologías en evolución, así como minimizar el riesgo de acceso no autorizado, como la entrega incorrecta, que podría resultar en una filtración de datos.

Considerar la transferencia de archivos administrada

La transferencia de archivos administrada (MFT) centraliza muchas de las características y protocolos de otros mecanismos de intercambio de archivos en una plataforma para transferencias de archivos seguras, eficientes y legalmente compatibles a través de una organización o entre organizaciones.

Además, las plataformas MFT están diseñadas de tal manera que aseguran el cumplimiento con regulaciones relevantes como la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA), el Reglamento General de Protección de Datos (GDPR), el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), y la Ley Gramm-Leach-Bliley (GLBA). Cuando las organizaciones automatizan sus transferencias de archivos, minimizan el riesgo de errores humanos, como la entrega incorrecta, que pueden llevar a una violación de datos.

Previene Filtraciones de Datos Relacionadas con Entrega Incorrecta con Kiteworks

Las organizaciones minimizan el riesgo de entrega incorrecta siempre que comparten PII, PHI, IP u otra información sensible utilizando la red de contenido privado (PCN) de Kiteworks.

Si un empleado envía accidentalmente un archivo a Bill Smith en lugar de Bill Smithers usando el correo electrónico seguro de Kiteworks, el empleado puede retirar el archivo antes de que Bill Smith lo acceda. En caso de que se hayan enviado múltiples archivos, el empleado puede elegir qué archivos eliminar.

Kiteworks - Enviar Correos Electrónicos Seguros

Si un empleado envía accidentalmente archivos a un destinatario no intencionado usando Kiteworks, él/ella puede retirar y eliminar el archivo en cuestión con solo unos pocos clics. (fuente: Kiteworks)

Eliminación de Correo Electrónico Seguro de Kiteworks

El usuario de Kiteworks luego es solicitado para aprobar la eliminación del archivo. (fuente: Kiteworks)

El uso compartido seguro de archivos de Kiteworks también da a los usuarios el control para establecer y cambiar quién tiene acceso al contenido sensible. Si un empleado invita a Michael Johnson en lugar de Michelle Johnson a acceder a una carpeta que contiene archivos sensibles sobre una fusión pendiente, el empleado puede revocar los permisos de Michael, evitando que Michael acceda a cualquiera de los archivos en la carpeta.

Pensamientos Finales

La PCN de Kiteworks protege el contenido más sensible de las organizaciones siempre que los empleados lo compartan externamente, incluso en el caso de que un empleado envíe esa información a un destinatario no intencionado. Las capacidades de retiro de archivos y destinatarios en el correo electrónico seguro y el uso compartido seguro de archivos, respectivamente, aseguran que la PII, PHI e IP de las organizaciones se mantengan privadas en todo momento. 

Con Kiteworks, las organizaciones también:

  • Unifican canales de comunicación de contenido seguro como correo electrónico, uso compartido de archivos, SFTP, MFT y formularios web. Esto incluye extender de manera nativa los clientes de correo electrónico estándar para promover una experiencia de usuario sin interrupciones y proteger cada correo electrónico que contenga contenido sensible enviado a través de estos clientes.
  • Rastrean contenido, metadatos, actividad de usuarios y eventos del sistema para aumentar la efectividad del centro de operaciones de seguridad (SOC), informar sobre el acceso de terceros y cumplir fácilmente con los requisitos de informes de cumplimiento normativo.
  • Controlan el acceso al contenido y las reglas funcionales adaptadas a los perfiles de riesgo y roles de usuario. Aprovechan la administración centralizada para proteger el contenido en correos electrónicos, formularios web, MFT y uso compartido seguro de archivos para una gobernanza integral y cumplimiento con auditorías internas y externas.
  • Aseguran los datos mediante el cifrado del contenido en reposo y en movimiento e integraciones con inicio de sesión único (SSO), autenticación multifactor (MFA), antivirus (AV), protección avanzada contra amenazas (ATP) y prevención de pérdida de datos (DLP), para minimizar el riesgo de exposición no intencionada de información sensible, como la entrega incorrecta.

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks