Nunca he calculado el porcentaje, pero hay una gran cantidad de datos cifrados en las infracciones. Por esa razón, aunque escuche sobre muchas infracciones, nunca tienen un gran impacto en los clientes o la población en general. Si tuviera que adivinar, diría que menos de la mitad de las infracciones en estos días resultan en un impacto negativo directo para las personas o empresas cuyos datos se perdieron.
Simon es incorrecto: hay cientos de leyes que requieren notificación de incumplimiento a nivel mundial, y muchas de ellas requieren notificación independientemente de si los datos están encriptados o no, y con una buena razón. A veces, los datos cifrados no están protegidos, según cómo acceda el ataque a los datos. Por ejemplo, el disco de mi computadora portátil está encriptado, pero si el malware infectara mi computadora portátil, podría ver todos estos datos sin encriptar. Este tipo de cifrado solo protege mis datos cuando mi computadora portátil está apagada . Este es el caso con la mayoría de los servidores.
En el caso de las contraseñas, la mejor práctica es usar un hash seguro y sal en lugar de la contraseña. En otras palabras, una empresa debería poder validar que está iniciando sesión con la contraseña correcta, ¡aunque no tengan idea de cuál es su contraseña y no puedan recuperarla! ¿Alguna vez te han enviado tu contraseña? Esa es una señal segura de que su contraseña no se está manejando de manera segura y está en riesgo, en caso de que esa empresa sea violada.
- En un trabajo de seguridad cibernética, ¿te despiden si fallas? ¿Eso arruina tu carrera?
- He comenzado una nueva compañía de seguridad y me resulta difícil adquirir negocios. ¿Cómo obtienen contratos y trabajan las empresas de seguridad?
- ¿Los 10 mejores hackers en la India?
- Sistemas operativos: ¿Cuáles son las implicaciones de seguridad debido a la condición de carrera?
- ¿Es cierto que los archivos de imagen pueden contener scripts incrustados y si el espectador abre la imagen, el código puede ejecutarse?
También debemos tener en cuenta que, en la mayoría de las infracciones de datos, no todos los datos tienen el mismo valor. Se puede abusar claramente de los números de tarjetas de crédito, por lo que deben estar cifrados, según los requisitos de protección de datos de pago (PCI DSS). Sin embargo, el nombre del titular de la tarjeta, la dirección y otra información a menudo NO están encriptados, y aún pueden ser útiles para un atacante. Por ejemplo, tal vez la respuesta a las preguntas de seguridad en un sitio permite que un atacante acceda a un sitio web completamente diferente donde utilizó las mismas preguntas de seguridad para la recuperación de la contraseña.