Perspectivas
A medida que más aspectos de nuestras vidas y trabajo se digitalizan, la superposición inherente entre la privacidad de los datos y los programas de seguridad cibernética se hace cada vez más evidente. Piense en dos círculos de tamaños similares: en el pasado, la privacidad de los datos y la seguridad cibernética pueden haberse superpuesto en los extremos, pero en la actualidad, sus centros se encuentran prácticamente uno encima del otro. En este artículo, damos una mirada inicial a la relación entre la privacidad de datos y la seguridad cibernética, ya que, sin duda, los problemas están conectados y podemos ver esta tendencia en reacciones, publicaciones y estándares de la industria.
Por ejemplo, en 2020, el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. publicó el Marco de Privacidad (PF) y poco después creó un cruce de controles con el Marco de Seguridad Cibernética (CSF). En Europa, el Reglamento General de Protección de Datos (RGPD) ha tenido un papel importante en el impulso del cumplimiento en materia de privacidad de datos desde 2018, que ha influido en las decisiones sobre seguridad cibernética. Y en la actualidad más jurisdicciones fuera de la Unión Europea (UE) están desarrollando sus propios controles legislativos y reglamentarios federales y regionales, especialmente los relacionados con información sobre identificación personal (PII), información personal sobre salud (PHI) y protecciones al consumidor.
Con estas tendencias en marcha, ¿existen métodos para que las iniciativas de privacidad de datos y seguridad cibernética funcionen juntas y reduzcan el riesgo general para la organización? Sí, existen, y describiremos algunas áreas en las que las dos iniciativas pueden funcionar juntas. Específicamente, nos concentramos en identificar áreas de superposición y medidas que se pueden tomar para crear un programa efectivo, todo ello diseñado para proteger mejor los datos y reducir el riesgo cibernético.
Los controles de seguridad cibernética por lo general son voluntarios, a menos que fuerzas externas exijan cumplimiento (p. ej., controles reglamentarios, certificación para hacer negocios, requisito de notificación, etc.). Pero la privacidad de datos tiende a ser obligatoria, a través de la legislación y reglamentaciones bien definidas. Por ejemplo:
Pero existe una paradoja: las exigencias digitales actuales, sumadas a los requisitos legislativos y reglamentarios en materia de privacidad de datos, requieren protecciones de seguridad cibernética. Piénselo de esta manera:
Por tanto, la superposición es inmensa, aunque el apoyo y la aplicación de los controles pueden ser muy diferentes según la perspectiva desde la que se mire el problema.
Las consecuencias de no cumplir con las leyes de privacidad de datos son conocidas: multas, litigios civiles, pérdida de participación de mercado y destrucción de la confianza. Por lo tanto, dado que las consecuencias son claras y tangibles, desde la perspectiva de la privacidad de datos, las mejoras a su programa de seguridad cibernética pueden ganar más apoyo si sus líderes de seguridad de la información, privacidad de datos y gestión de riesgos pueden demostrar claramente la superposición entre estos programas separados pero estrechamente relacionados.
Es la claridad de las consecuencias -específicamente desde la perspectiva de la privacidad de los datos- lo que se convierte en el factor motivador de la mejora. Entonces, ¿cómo pueden actuar juntas estas funciones?
Two data-related questions must be answered to build a strong program:
Dependiendo del tamaño y la complejidad de su organización (p. ej., dónde opera, a qué negocio se dedica, qué fuerzas externas influyen en el tratamiento de sus datos, etc.), las respuestas a estas preguntas pueden no ser claras. Los siguientes son algunos consejos rápidos para explorar cada cuestión:
Después de completar estas tareas, usted podría, de hecho, terminar optando por los requisitos más estrictos, lo cual no es un mal enfoque, porque al menos completó el ejercicio para asegurarse de que no existieran puntos ciegos. La ventaja adicional de utilizar los requisitos más estrictos es que el análisis del mapeo jurisdiccional probablemente lo haya posicionado bien para una cobertura máxima, en la que solo se requieran retoques por jurisdicción.
Asimismo, este ejercicio también puede identificar datos que usted no precisa conservar. A veces, su mejor opción de minimización de riesgos es no recopilar datos o destruir los datos en su poder.
Otra cuestión importante para tener en cuenta es la fiabilidad de su análisis. La uniformidad de los datos desempeña un papel significativo a la hora de generar resultados importantes y mantener el buen funcionamiento de las operaciones (p. ej., las actividades diarias, el procesamiento y la seguridad de los datos y la facilitación de la respuesta a incidentes). Por lo tanto, toda operación que no procure la normalización de los datos tendrá dificultades para producir los mejores resultados. Hágase estas preguntas:
Existe un dicho en el mundo de la informática: si mete basura, saca basura. Esta es precisamente la situación que quiere evitar, porque hacerlo lo pone en la tesitura de tomar decisiones. No solo se ponen en riesgo sus esfuerzos de privacidad de datos, sino que genera ineficiencias en sus procesos de respuesta a incidentes e, ingenuamente, podría tomar malas decisiones para la operación del negocio.
Suponiendo que haya llegado hasta aquí en su viaje de privacidad de datos, las últimas piezas del rompecabezas son el mantenimiento del programa y la preparación para la vulneración. Las organizaciones maduras incorporarán procesos que puedan extraer automáticamente los requisitos de privacidad de datos. Desde la perspectiva de una vulneración, se habrán desarrollado y probado matrices de escalación predeterminadas, vías de evaluación y flujogramas de comunicación para crear memoria muscular. Estos son los principios fundamentales de los programas sólidos de privacidad de datos y de seguridad cibernética.
En una próxima miniserie de dos partes sobre higiene cibernética, examinaremos cómo un buen programa de seguridad cibernética puede proceder de buenas prácticas en materia de privacidad de datos. Las claves del éxito en el futuro inmediato residirán, concretamente, en su personal: la capacidad de los líderes para demostrar por qué la seguridad importa para los usuarios cotidianos, ir más allá de cómo actuar de manera segura y adaptarse a los cambiantes entornos de trabajo.
Le agradecemos a George Platsis y Ron J. Yearwood Jr., CISSP, CISM, CIPM, por aportar su conocimiento y experiencia, que fueron de gran ayuda en esta investigación.
George Platsis, CCISO, es un director sénior que presta servicios de Descubrimiento e Investigación Digital en la práctica de Investigaciones Globales de J.S. Held. George ha diseñado y proporcionado soluciones, además de dirigir equipos, concentrado en mejorar la preparación ante ataques cibernéticos y diseñar programas de respuesta a incidentes específicos para unidades comerciales o a nivel empresarial, y ha elaborado soluciones de fortalecimiento del patrimonio de información para una serie de clientes incluidos en la lista Fortune 100 en el campo de la atención médica, medios, servicios financieros, fabricación, defensa e industrias comerciales electrónicas. Como parte de su trabajo en Seguridad Cibernética, George juega un papel fundamental para desarrollar y brindar acciones de resiliencia y respuesta proactiva ante incidentes. Tiene amplia experiencia en ingeniería, programas de respuesta a incidentes a nivel empresarial, evaluación de preparación ante ataques cibernéticos, continuidad del negocio y recuperación ante desastres. También cuenta con experiencia en acuerdos de respuesta a incidentes, investigaciones complejas y tiene experiencia laboral en seguridad, gestión de emergencias, planificación en contextos de pandemia y campos de investigación sobre armas biológicas.
Puede contactarse con George enviando un correo electrónico a [email protected] o llamando al +1 321 346 6441.
Este documento analiza los riesgos inherentes a la protección de los datos electrónicos del cliente en plataformas en la nube que han surgido con la proliferación de los entornos de trabajo en el hogar. También explica por qué es importante para los usuarios…
Morgan Stanley, Goldman Sachs y Citigroup han invertido más de $2 mil millones en empresas de criptomonedas y tecnología blockchain desde agosto de 2021. Fidelity ahora ofrece Bitcoin como parte de sus planes 401k. Blackrock habilitó su plataforma Aladdin…
Este artículo analiza los beneficios de usar el aprendizaje activo continuo (CAL), que es una forma más rentable, ahorradora de tiempo y flexible de la revisión asistida por tecnología (TAR). Para investigadores y abogados, el CAL les proporciona la capacidad de...