Jesús Lacosta. Regional Sales Manager para España, Genetec Inc.
Con motivo del mes de la ciberseguridad, que cae en octubre, Genetec te ayuda a resolver las preocupaciones en torno a la privacidad, particularmente en relación con los datos personales, a través de una serie de tres artículos.
En nuestro mundo, cada vez más conectado, no es de extrañar que las preocupaciones en torno a la privacidad, especialmente en relación con los datos personales, vayan en aumento. Las cuestiones sobre quién tiene acceso a qué información y con qué fines, no pueden tomarse a la ligera. En la actualidad, los gobiernos y otros organismos reguladores han desarrollado normativas destinadas a restringir la recopilación, el tratamiento y el acceso a los datos personales, incluidas las grabaciones de vídeo, para ayudar a mantener la privacidad y mitigar los riesgos de las actividades cibernéticas delictivas.
Al mismo tiempo, la adquisición de información digital es un componente vital para proteger a las personas y los bienes. Los gobiernos y las empresas privadas suelen recopilar datos sensibles de las personas que utilizan los espacios de sus instalaciones y sus alrededores. Esto puede incluir información personal identificable (PII), como imágenes de vigilancia, fotos e información de matrículas. ¿Significa esto que tenemos que sacrificar la privacidad en aras de la seguridad de los entornos físicos? La respuesta es, sin duda, no. Las organizaciones sólo tienen que desarrollar sus estrategias de seguridad con intención.
Aunque el concepto de privacidad puede entenderse de diferentes maneras, para los individuos, la privacidad de los datos significa tener el derecho a controlar cómo se recoge y utiliza la información personal, así como evitar el acceso no autorizado a la información. Cuando una organización no hace de la protección de la privacidad una piedra angular de sus políticas de seguridad, se convierte en una idea de última hora que puede dar la impresión de que la privacidad y la seguridad están reñidas. Esto no tiene por qué ser cierto.
Las organizaciones pueden optar por trabajar con proveedores que desarrollen herramientas que incluyan la protección de la privacidad por diseño. Pueden seleccionar e implantar soluciones reforzadas contra las ciberamenazas por parte de los fabricantes desde el primer momento, con el fin de aliviar las preocupaciones en torno a las vulnerabilidades del sistema. Estas soluciones también deben darles un control total sobre sus datos, para que puedan ajustar los métodos y procesos de protección a la evolución de la normativa y también deben ayudarles a configurar el sistema para definir quién tiene acceso a los datos sensibles sin ralentizar los tiempos de respuesta o las investigaciones.
Una época de transformación digital y big data
Parece que no hay límite para el número de dispositivos que se conectan a nuestras infraestructuras. A medida que la conectividad a Internet se generaliza y se hace más asequible, cada vez somos más los que podemos conectar a nuestras redes objetos cotidianos, como teléfonos, sistemas de alarma y equipos de iluminación. Si bien esto ayuda a mejorar la accesibilidad y la facilidad de uso, también puede aumentar la vulnerabilidad del sistema al proporcionar más conexiones de red a los ataques.
Nuestra respuesta a la pandemia de COVID-19 ha acelerado esta transformación digital a escala mundial. Esto es especialmente cierto en relación con el Internet de las cosas (IoT). Cuando las organizaciones pidieron a los empleados que trabajaran desde casa, necesitaron una conectividad aún mayor, así como un acceso más fácil a la información desde un conjunto mayor de dispositivos y múltiples ubicaciones. En esencia, los gobiernos y las empresas privadas estaban extendiendo sus redes mucho más allá de sus edificios de oficinas.
Esto ha provocado un aumento de la preocupación por la privacidad de los datos, sobre todo porque los ciberdelincuentes se han aprovechado de las posibles vulnerabilidades del sistema, de los errores humanos (ingeniería social) y de la falta de aplicación de las mejores prácticas (uso de contraseñas débiles, compartir credenciales personales, hacer clic en enlaces sospechosos, etc.). A medida que conectamos más dispositivos y aplicaciones a nuestras redes, el riesgo de que los datos de las personas acaben en manos equivocadas es aún mayor. El resultado es que nuestras necesidades en materia de salud pública están suscitando una mayor preocupación sobre cómo proteger adecuadamente los datos y el derecho a la intimidad de las personas.
El papel de la Ley
Los gobiernos y otros organismos reguladores tienen un importante papel que desempeñar a la hora de mitigar los riesgos asociados a la ciberactividad delictiva y proteger la privacidad. Como sabemos, las ciberamenazas no están disminuyendo. Desde los hackeos de sistemas hasta los ataques DDoS, pasando por el aumento de la prevalencia de los ataques de ransomware, la ciberactividad delictiva va en aumento.
Para hacer frente a esto, los gobiernos han desarrollado una legislación que responsabiliza más a las empresas de las violaciones de la privacidad de los datos o de la ciberseguridad. El Reglamento General de Protección de Datos (RGPD) de la Unión Europea es el mandato más notable promulgado hasta la fecha. Pero otros, como la Ley de Privacidad del Consumidor de California (CCPA), la Ley de Protección de la Información Personal y del Documento Electrónico de Canadá (PIPEDA) y la Ley General de Protección de Datos (LGPD) de Brasil también están teniendo un gran impacto en la forma en que damos forma y desplegamos los sistemas de seguridad.
Los organismos reguladores también están emitiendo normas de cumplimiento en los mercados verticales. Por ejemplo, el Departamento de Salud y Servicios Humanos de Estados Unidos promulgó la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPPA) para proteger la privacidad y la seguridad de la información sanitaria. Del mismo modo, la North American Electric Reliability Corporation (NERC) ha publicado la norma Critical Infrastructure Protection (CIP). Estos reglamentos y normas pueden especificar cómo asegurar una instalación, proteger los datos y gestionar las operaciones. Como resultado, las organizaciones deben a veces adherirse a múltiples normas y leyes en evolución simultáneamente.
El coste de la conformidad
Según un estudio sobre el riesgo para la privacidad realizado en 2020 por la IAPP, el 43% de las organizaciones están trabajando para cumplir entre dos y cinco leyes de privacidad diferentes. Además, el cumplimiento de leyes y reglamentos cada vez más estrictos en distintas zonas geográficas y sectores ha puesto a prueba los recursos de muchas organizaciones.
Lograr el cumplimiento de la normativa suele implicar tareas que requieren mucho tiempo y trabajo, como la revisión y aplicación de políticas corporativas, la auditoría de procedimientos y sistemas y la reinversión en nuevas tecnologías. En la actualidad, muchas organizaciones se esfuerzan por encontrar el personal y los recursos necesarios para respaldar las políticas de privacidad.
Para complicar aún más la cuestión, están surgiendo nuevas preguntas sobre quién es el responsable último de proteger los datos y la privacidad. Gartner, la empresa global de investigación y asesoramiento, predice que, para 2025, el 75% de los directores generales serán personalmente responsables de los ataques a los sistemas de seguridad, tanto cibernéticos como físicos. Esto seguramente conducirá a una mayor atención por parte de la alta dirección en la implementación de soluciones de seguridad física que den prioridad al cumplimiento de la ciberseguridad y la privacidad.
Para mitigar los riesgos y mantener los costes bajo control, las organizaciones necesitan una estrategia única, basada en sólidos principios de ciberseguridad y privacidad que les funcionen hoy y en el futuro. La buena noticia es que, en 2020, la IAPP también descubrió que 565 de los encuestados están trabajando para conseguir una estrategia única y global de protección de datos y privacidad que pueda adaptarse a los requisitos jurisdiccionales según sea necesario. La cuestión ahora es cómo llegar a ese punto.
En la siguiente parte de esta serie de tres artículos, veremos cuál es la clave para mitigar los riesgos y mantener los costes bajo control.
