Equifax: Lecciones aprendidas, de la crisis a la fortaleza

Share

Durante el año 2017, Equifax fue víctima de un incidente de seguridad que expuso los datos de más de 147 millones de sus clientes en los Estados Unidos y Canadá. Este suceso representó un desafío para la compañía, que cuenta con una trayectoria de 122 años. El incidente puso de relieve la importancia de la seguridad de la información y obligó a Equifax a replantearse su enfoque en materia de seguridad.

En lugar de ocultar el incidente, Equifax optó por una política de transparencia que les permitiera aprender y desarrollar una mayor resiliencia frente a futuros desafíos. Durante los últimos cinco años, la compañía ha trabajado en un proceso de cambio y reestructuración, adoptando un enfoque integral de seguridad cibernética.

Luis Bustamante, Business Information Security Officer y vicepresidente de Ciberseguridad para Latinoamérica de Equifax, destaca la importancia del cambio cultural y la implementación de un sistema de ciberseguridad más robusto, el cual ha requerido una inversión de dos mil millones de dólares.

El ejecutivo comenta cómo enfrentaron la crisis, las lecciones aprendidas y las mejores prácticas que les ha permitido contar con un programa de seguridad que se ha extendido en los 27 países donde opera la firma.

Al analizar lo sucedido en Equifax en 2017, el ejecutivo destaca que el incidente fue consecuencia de no ser buenos practicantes de la seguridad. A pesar de tener medidas de seguridad y políticas establecidas, no las estaban implementando adecuadamente, y en algunos casos, no se le daba la debida importancia al área de seguridad porque el enfoque principal se centraba en el negocio, la principal fuente generadora de ingresos.

Hoy en día, esa es una lección aprendida.  Bustamante sostiene que la seguridad es un valor agregado, integrado desde el inicio del proceso de planificación de un producto. “Si bien implica mayores costos, pues hay que dedicar recursos a diseñar, construir y asegurar el funcionamiento seguro de nuestros productos, también estamos garantizando al público que la información y la forma en que la tratamos también lo es”.

Transparencia, una buena práctica

Para Bustamante es importante realizar un análisis del impacto y adoptar una política de transparencia ante un evento de seguridad, no hacerlo podría representar un riesgo mayor. Al transparentar la información se gana credibilidad porque se demuestra que se realizan acciones y existe plan a seguir.  Destacó que, tras identificar el incidente, dedicaron dos meses y medio a realizar una minuciosa investigación y análisis antes de hacerlo público. “Es importante evitar generar ruido innecesario antes de tener una comprensión clara del impacto del incidente”.

El plan de remediación

En 2017, Equifax evaluó su infraestructura existente para determinar qué acciones tomar. “Teníamos demasiadas puertas abiertas, creíamos estar protegidos, pero había riesgos con terceros, riesgos internos por obsolescencia de las aplicaciones y eso hizo que pensáramos hacer una transformación”.

La decisión fue una reestructuración e inició un proceso de transformación digital de la mano de seguridad y ciberseguridad, implementado mejores prácticas, estándares y controles más robustos.   Bustamante advierte que una reestructuración puede ser complicada para aquellas organizaciones que no cuentan con suficiente respaldo financiero, pero destaca la importancia de llevar a cabo el levantamiento del análisis forense para comprender la vulnerabilidad de la organización y determinar qué medidas de seguridad son necesarias. “La capacidad de responder de manera efectiva ante este tipo de amenazas dependerá el éxito de un programa de seguridad”, dijo.

En cuanto al recurso humano, reforzaron el área de seguridad. Pasaron de 185 colaboradores a más de 800 para cumplir tareas específicas, cuentan con un monitoreo constante 24/7 de manera que si en algún momento surge un incidente “levantar” la operación en el menor tiempo y con un bajo impacto.

También, han adoptado como práctica general en la organización la encriptación en tránsito y en reposo, y también la anonimización de la data.

En las oficinas de Equifax en Ecuador se siguen los mismos lineamientos de seguridad de la multinacional. Alicia Baldeón, jefe de Seguridad de la Información, señala que han estandarizado procesos, el monitoreo y soporte, una comunicación constante y un sistema de reportes que nos permite identificar y garantizar que nuestras aplicaciones estén debidamente protegidas.  “Estar bajo un paraguas estandarizado es un beneficio que no muchos tienen, y nos brinda la oportunidad de enfocarnos en otras áreas importantes de la seguridad”.

Cómo funciona la seguridad en Equifax hoy