Perspectivas

Privacidad de datos en 2023: Expectativas, responsabilidades y tácticas de seguridad cibernética para salvaguardar su información

J.S. Held refuerza su práctica del Derecho de Familia con la adquisición de activos de Luttrell Wegis

LEER MÁS cerrar Creado con Sketch.
Inicio·Perspectivas·Artículos

Introducción

A medida que más aspectos de nuestras vidas y trabajo se digitalizan, la superposición inherente entre la privacidad de los datos y los programas de seguridad cibernética se hace cada vez más evidente. Piense en dos círculos de tamaños similares: en el pasado, la privacidad de los datos y la seguridad cibernética pueden haberse superpuesto en los extremos, pero en la actualidad, sus centros se encuentran prácticamente uno encima del otro. En este artículo, damos una mirada inicial a la relación entre la privacidad de datos y la seguridad cibernética, ya que, sin duda, los problemas están conectados y podemos ver esta tendencia en reacciones, publicaciones y estándares de la industria.

Por ejemplo, en 2020, el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. publicó el Marco de Privacidad (PF) y poco después creó un cruce de controles con el Marco de Seguridad Cibernética (CSF). En Europa, el Reglamento General de Protección de Datos (RGPD) ha tenido un papel importante en el impulso del cumplimiento en materia de privacidad de datos desde 2018, que ha influido en las decisiones sobre seguridad cibernética. Y en la actualidad más jurisdicciones fuera de la Unión Europea (UE) están desarrollando sus propios controles legislativos y reglamentarios federales y regionales, especialmente los relacionados con información sobre identificación personal (PII), información personal sobre salud (PHI) y protecciones al consumidor.

Con estas tendencias en marcha, ¿existen métodos para que las iniciativas de privacidad de datos y seguridad cibernética funcionen juntas y reduzcan el riesgo general para la organización? Sí, existen, y describiremos algunas áreas en las que las dos iniciativas pueden funcionar juntas. Específicamente, nos concentramos en identificar áreas de superposición y medidas que se pueden tomar para crear un programa efectivo, todo ello diseñado para proteger mejor los datos y reducir el riesgo cibernético.

Seguridad cibernética y privacidad de datos: Sus diferencias y por qué se necesitan la una a la otra

Los controles de seguridad cibernética por lo general son voluntarios, a menos que fuerzas externas exijan cumplimiento (p. ej., controles reglamentarios, certificación para hacer negocios, requisito de notificación, etc.). Pero la privacidad de datos tiende a ser obligatoria, a través de la legislación y reglamentaciones bien definidas. Por ejemplo:

  • Europa cuenta con el RGPD, la Directiva sobre Protección de Datos en el Ámbito Penal y propuestas de legislación como la Ley de Servicios Digitales, la Ley de Mercados Digitales y la Ley de Inteligencia Artificial.
  • En EE. UU., además de las leyes federales comunes como la Ley de Responsabilidad y Portabilidad del Seguro de Salud de 1996 (HIPAA), la Ley Gramm-Leach-Bliley (GLBA), la Ley de Informes de Crédito Justos (FCRA) y la Ley de Protección de la Privacidad Infantil en Línea de 1998 (COPPA), más estados están sacando sus propias versiones de la legislación sobre privacidad y seguridad de los datos de los consumidores, como la Ley de Privacidad del Consumidor de California (CCPA) y las reglamentaciones sobre seguridad cibernética del Departamento de Servicios Financieros de Nueva York (NYDFS).
  • Otras jurisdicciones de todo el mundo también están ampliando sus leyes de privacidad de datos.

Pero existe una paradoja: las exigencias digitales actuales, sumadas a los requisitos legislativos y reglamentarios en materia de privacidad de datos, requieren protecciones de seguridad cibernética. Piénselo de esta manera:

  • Los controles de seguridad cibernética, desde una perspectiva legislativa y reglamentaria, pueden ser opcionales, pero
  • Los controles de privacidad de datos, debido a la digitalización, requieren controles de seguridad cibernética.

Por tanto, la superposición es inmensa, aunque el apoyo y la aplicación de los controles pueden ser muy diferentes según la perspectiva desde la que se mire el problema.

¿Es más fácil aceptar la privacidad de los datos que la seguridad cibernética?

Las consecuencias de no cumplir con las leyes de privacidad de datos son conocidas: multas, litigios civiles, pérdida de participación de mercado y destrucción de la confianza. Por lo tanto, dado que las consecuencias son claras y tangibles, desde la perspectiva de la privacidad de datos, las mejoras a su programa de seguridad cibernética pueden ganar más apoyo si sus líderes de seguridad de la información, privacidad de datos y gestión de riesgos pueden demostrar claramente la superposición entre estos programas separados pero estrechamente relacionados.

Es la claridad de las consecuencias -específicamente desde la perspectiva de la privacidad de los datos- lo que se convierte en el factor motivador de la mejora. Entonces, ¿cómo pueden actuar juntas estas funciones?

Eliminar las incógnitas desconocidas

Two data-related questions must be answered to build a strong program:

  • ¿Qué normas (p. ej., leyes, reglamentaciones, exigencias de retención, etc.) se aplican a usted?
  • ¿Qué datos tiene usted?

Dependiendo del tamaño y la complejidad de su organización (p. ej., dónde opera, a qué negocio se dedica, qué fuerzas externas influyen en el tratamiento de sus datos, etc.), las respuestas a estas preguntas pueden no ser claras. Los siguientes son algunos consejos rápidos para explorar cada cuestión:

  • Trace un mapa de los requisitos por jurisdicción. Sin este análisis, tendrá puntos ciegos. Puede tirar los dados y suponer los requisitos más estrictos, pero este camino es potencialmente ineficaz, puede dar lugar a un escaso retorno de las inversiones y pasar por alto requisitos jurisdiccionales únicos. Espere aportes significativos de diversas fuentes (p. ej., abogados, seguridad, privacidad, unidades de negocio y quizás, incluso, proveedores).
  • Evalúe, clasifique y priorice los requisitos. Una vez que esté completo el análisis jurisdiccional, continúe la revisión desde la perspectiva de la gestión de riesgos que permitirá la priorización de riesgos. Eso implica conocer sus niveles de tolerancia al riesgo. Por ejemplo, la jurisdicción X tiene requisitos extremadamente estrictos, pero sus operaciones en esa área son tan limitadas que la decisión comercial más apropiada es asumir cierto riesgo.
  • Compare los requisitos con los datos que usted tiene. Esta tarea puede ser engañosa. Si sus datos no se han clasificado o deben reclasificarse en categorías que se ajusten a los requisitos jurisdiccionales, es posible que tenga un punto ciego grave. Una vez que sea capaz de realizar esta tarea, debe poder identificar las brechas que deban cubrirse.
  • Valide los procedimientos de clasificación de datos. Una clasificación de datos bien gestionada puede ser salvadora debido a las numerosas repercusiones posteriores. La clasificación ayuda a determinar la segmentación, la procedencia, la residencia y los requisitos de conservación, y facilita la evaluación y la identificación durante la respuesta.

Después de completar estas tareas, usted podría, de hecho, terminar optando por los requisitos más estrictos, lo cual no es un mal enfoque, porque al menos completó el ejercicio para asegurarse de que no existieran puntos ciegos. La ventaja adicional de utilizar los requisitos más estrictos es que el análisis del mapeo jurisdiccional probablemente lo haya posicionado bien para una cobertura máxima, en la que solo se requieran retoques por jurisdicción.

Asimismo, este ejercicio también puede identificar datos que usted no precisa conservar. A veces, su mejor opción de minimización de riesgos es no recopilar datos o destruir los datos en su poder.

Las malas decisiones tienen su origen en la mala información

Otra cuestión importante para tener en cuenta es la fiabilidad de su análisis. La uniformidad de los datos desempeña un papel significativo a la hora de generar resultados importantes y mantener el buen funcionamiento de las operaciones (p. ej., las actividades diarias, el procesamiento y la seguridad de los datos y la facilitación de la respuesta a incidentes). Por lo tanto, toda operación que no procure la normalización de los datos tendrá dificultades para producir los mejores resultados. Hágase estas preguntas:

  • ¿Qué tipos de datos (p. ej., propiedad intelectual, cliente, PHI, etc.) tiene?
  • ¿Están segregados los tipos de datos y, si es así, cómo?
  • Y lo más importante, ¿cuán seguro está usted de estas respuestas?

Existe un dicho en el mundo de la informática: si mete basura, saca basura. Esta es precisamente la situación que quiere evitar, porque hacerlo lo pone en la tesitura de tomar decisiones. No solo se ponen en riesgo sus esfuerzos de privacidad de datos, sino que genera ineficiencias en sus procesos de respuesta a incidentes e, ingenuamente, podría tomar malas decisiones para la operación del negocio.

Prepararse para lo peor

Suponiendo que haya llegado hasta aquí en su viaje de privacidad de datos, las últimas piezas del rompecabezas son el mantenimiento del programa y la preparación para la vulneración. Las organizaciones maduras incorporarán procesos que puedan extraer automáticamente los requisitos de privacidad de datos. Desde la perspectiva de una vulneración, se habrán desarrollado y probado matrices de escalación predeterminadas, vías de evaluación y flujogramas de comunicación para crear memoria muscular. Estos son los principios fundamentales de los programas sólidos de privacidad de datos y de seguridad cibernética.

Conclusión: Conectar la privacidad de datos con la seguridad cibernética

En una próxima miniserie de dos partes sobre higiene cibernética, examinaremos cómo un buen programa de seguridad cibernética puede proceder de buenas prácticas en materia de privacidad de datos. Las claves del éxito en el futuro inmediato residirán, concretamente, en su personal: la capacidad de los líderes para demostrar por qué la seguridad importa para los usuarios cotidianos, ir más allá de cómo actuar de manera segura y adaptarse a los cambiantes entornos de trabajo.

Reconocimientos

Le agradecemos a George Platsis y Ron J. Yearwood Jr., CISSP, CISM, CIPM, por aportar su conocimiento y experiencia, que fueron de gran ayuda en esta investigación.

Más sobre los colaboradores de J.S. Held

George Platsis, CCISO, es un director sénior que presta servicios de Descubrimiento e Investigación Digital en la práctica de Investigaciones Globales de J.S. Held. George ha diseñado y proporcionado soluciones, además de dirigir equipos, concentrado en mejorar la preparación ante ataques cibernéticos y diseñar programas de respuesta a incidentes específicos para unidades comerciales o a nivel empresarial, y ha elaborado soluciones de fortalecimiento del patrimonio de información para una serie de clientes incluidos en la lista Fortune 100 en el campo de la atención médica, medios, servicios financieros, fabricación, defensa e industrias comerciales electrónicas. Como parte de su trabajo en Seguridad Cibernética, George juega un papel fundamental para desarrollar y brindar acciones de resiliencia y respuesta proactiva ante incidentes. Tiene amplia experiencia en ingeniería, programas de respuesta a incidentes a nivel empresarial, evaluación de preparación ante ataques cibernéticos, continuidad del negocio y recuperación ante desastres. También cuenta con experiencia en acuerdos de respuesta a incidentes, investigaciones complejas y tiene experiencia laboral en seguridad, gestión de emergencias, planificación en contextos de pandemia y campos de investigación sobre armas biológicas.

Puede contactarse con George enviando un correo electrónico a [email protected] o llamando al +1 321 346 6441.

Encuentre su experto.

Esta publicación es solo para fines educativos y de información general. Puede contener errores y se proporciona tal cual. No tiene el propósito de brindar asesoramiento específico, legal o de otro tipo. Las opiniones y los puntos de vista no son necesariamente los de J.S. Held o sus afiliados, y no debe asumirse que J.S. Held se suscribe a cualquier método, interpretación o análisis en particular simplemente porque aparece en esta publicación. Negamos cualquier representación y/o garantía con respecto a la exactitud, puntualidad, calidad o aplicabilidad de cualquiera de los contenidos. Usted no debe actuar, o dejar de actuar, en función de esta publicación, y renunciamos a toda responsabilidad con respecto a tales acciones o falta de acción. No asumimos ninguna responsabilidad por la información contenida en esta publicación y rechazamos cualquier responsabilidad o daño con respecto a dicha información. Esta publicación no sustituye el asesoramiento legal competente. El contenido del presente documento puede ser actualizado o modificado de otro modo sin previo aviso.

Perspectivas

Protección de los datos en la nube y mitigación de los riesgos cibernéticos asociados con una fuerza laboral remota

Este documento analiza los riesgos inherentes a la protección de los datos electrónicos del cliente en plataformas en la nube que han surgido con la proliferación de los entornos de trabajo en el hogar. También explica por qué es importante para los usuarios…

Perspectivas

Análisis de criptomonedas: evaluación de los datos

Morgan Stanley, Goldman Sachs y Citigroup han invertido más de $2 mil millones en empresas de criptomonedas y tecnología blockchain desde agosto de 2021. Fidelity ahora ofrece Bitcoin como parte de sus planes 401k. Blackrock habilitó su plataforma Aladdin…

Perspectivas

Cómo el proceso de aprendizaje activo continuo (CAL) turboalimenta la clasificación y la relevancia en la revisión de documentos

Este artículo analiza los beneficios de usar el aprendizaje activo continuo (CAL), que es una forma más rentable, ahorradora de tiempo y flexible de la revisión asistida por tecnología (TAR). Para investigadores y abogados, el CAL les proporciona la capacidad de...

 
PERSPECTIVAS DE LA INDUSTRIA
Manténgase al día con las últimas investigaciones y anuncios de nuestro equipo.
Nuestros expertos