Pregunta: Pregunta: ¿Cuál fue la causa raíz de la violación de datos? ¿Cómo se podría haber evitado esta violación de datos? En su opinión, ¿las multas impuestas a ChoicePoint fueron suficientes (lo suficientemente altas) para impedir que un incidente de este tipo volviera a ocurrir? Explica tu respuesta. En su opinión, ¿qué tan efectivos son los cambios implementados

Pregunta:

¿Cuál fue la causa raíz de la violación de datos? ¿Cómo se podría haber evitado esta violación de datos? En su opinión, ¿las multas impuestas a ChoicePoint fueron suficientes (lo suficientemente altas) para impedir que un incidente de este tipo volviera a ocurrir? Explica tu respuesta. En su opinión, ¿qué tan efectivos son los cambios implementados por ChoicePoint para disuadir o defenderse contra las filtraciones de datos? Explica tu respuesta.

Violación de datos de $ 55 millones en ChoicePoint: ChoicePoint es un corredor de datos líder y un servicio de acreditación. Mantiene 19 mil millones de registros públicos de más de 220 millones de ciudadanos estadounidenses. La empresa compra datos personales, incluidos nombres, números de seguridad social, fechas de nacimiento, datos de empleo e historiales de crédito, y luego vende los datos a empresas y agencias gubernamentales. Los departamentos de marketing, recursos humanos, contabilidad y finanzas confían en los datos de ChoicePoint para obtener clientes potenciales, verificación de antecedentes y verificación. Aproximadamente el 70 por ciento de los ingresos de ChoicePoint se genera mediante la venta de registros de consumidores para verificaciones de reclamos de seguros y evaluaciones de antecedentes laborales. ChoicePoint estaba exponiendo los datos al riesgo al ignorar su política de verificar que los clientes potenciales fueran legítimos antes de vender los datos. El desastre era previsible. A principios de 2000, sin realizar una verificación de antecedentes adecuada, ChoicePoint proporcionó a los piratas informáticos cuentas de clientes, que utilizaron para acceder ilegalmente a bases de datos y robar datos confidenciales. Para mayo de 2008, ese fallo de seguridad le había costado a la compañía más de $55 millones en multas, compensación a posibles víctimas de robo de identidad, acuerdos judiciales y honorarios legales. Luego, en junio de 2008, la compañía también pagó $10 millones para resolver una demanda colectiva.

Divulgación pública del problema: El 15 de febrero de 2005, ChoicePoint informó que los datos personales y financieros de 145.000 personas habían sido “comprometidos”. Todas las personas corrían riesgo de robo de identidad después de que Olatunji Oluwatosin, un ciudadano nigeriano que vive en California, simuló representar a varias empresas legítimas. Irónicamente, las credenciales de Oluwatosin no habían sido verificadas, lo que le permitió configurar más de 50 cuentas comerciales falsas. Esas cuentas le dieron acceso a bases de datos que contenían datos financieros personales. Oluwatosin fue arrestado en febrero de 2005, se declaró culpable de conspiración y hurto mayor, y fue sentenciado a 10 años de prisión y multado con 6,5 millones de dólares. Las sanciones estatales y federales a las que se enfrentaba ChoicePoint eran mucho mayores. Las leyes de privacidad y antifraude requerían que ChoicePoint revelara lo que había sucedido. La legislación de violación de la privacidad de California requiere que los residentes estén informados cuando la información personal se ha visto comprometida. Los fiscales generales indignados en 44 estados exigieron que la compañía notifique a todos los ciudadanos estadounidenses afectados. A nivel federal, ChoicePoint fue acusada de múltiples cargos de negligencia por no seguir prácticas razonables de seguridad de la información. En 2005, la empresa recibió la multa más grande en la historia de la Comisión Federal de Comercio (FTC): $15 millones. La FTC acusó a ChoicePoint de violar:

-La Ley de Informe Justo de Crédito (FCRA) por proporcionar informes de crédito a suscriptores que no tenían un propósito permisible para obtenerlos y por no mantener procedimientos razonables para verificar las identidades de sus suscriptores.

-La Ley FTC por declaraciones falsas y engañosas sobre políticas de privacidad en su sitio web. El 4 de marzo de 2005, en lo que fue el primero para una empresa que cotiza en bolsa, ChoicePoint presentó un informe 8-K ante la SEC advirtiendo a los accionistas que los ingresos se verían afectados negativamente por la violación de datos. En enero de 2006, con el anuncio público del alcance de las multas, el precio de las acciones de ChoicePoint se desplomó.

La solución: cuando una empresa viola las leyes estatales, federales o de la SEC, se le dictará la solución a su problema. La solución a la exposición al riesgo de ChoicePoint fue ordenada por la FTC. La empresa tuvo que implementar nuevos procedimientos para garantizar que proporcione informes de consumidores solo a empresas legítimas con fines lícitos. Además, la FTC ordenó a ChoicePoint que estableciera y mantuviera un programa integral de seguridad de la información y que obtuviera auditorías de un profesional de seguridad externo independiente cada dos años hasta 2026. Para tranquilizar a las partes interesadas, ChoicePoint contrató a Carol DiBattiste, exadministradora adjunta de la Administración de Seguridad del Transporte. , como director de privacidad (CPO). Los resultados ChoicePoint reformó sus prácticas comerciales y medidas de seguridad de datos, que eran demasiado laxas en relación con su exposición al riesgo. La empresa tuvo que dejar de anteponer prácticas comerciales arriesgadas que se centraban en los ingresos a corto plazo a la rentabilidad a largo plazo. Esta decisión comercial es una compensación necesaria y ética. La violación de datos de ChoicePoint atrajo la atención nacional sobre las políticas de seguridad de las empresas. Señaló la necesidad de mejorar el gobierno corporativo. Aunque no existe una definición generalmente aceptada, el gobierno corporativo se refiere a las reglas y procesos que aseguran que la empresa se adhiera a las normas éticas aceptadas, las mejores prácticas y las leyes. Las empresas que recopilan información confidencial del consumidor tienen la responsabilidad de mantenerla segura. Junto con los fraudes de alto perfil y el malware, las filtraciones de datos han desencadenado un aumento en las leyes y la participación del gobierno para responsabilizar a las empresas y su administración por fallas en el gobierno. Sin embargo, desde la violación de datos sin precedentes de ChoicePoint, han ocurrido muchos otros incidentes de seguridad de la información y robos de datos de mayor magnitud.

Fuentes: Compilado de ftc.gov, Gross (2005), Kaplan (2008), Mimoso (2006) y Scalet (2005).