La National Cybersecurity Alliance (en español: Alianza nacional para la ciberseguridad) describe a la Semana de la Privacidad de Datos como una iniciativa internacional para facultar a los individuos y animar a las empresas a adoptar el respeto a la privacidad, la protección de los datos y a generar confianza. Así, esta semana es un momento ideal para que las organizaciones evalúen si están haciendo lo suficiente para proteger a los datos delicados, aunque ciertamente, la privacidad de datos debería tener una alta prioridad para las empresas todos los días del año.
Proofpoint apoya el principio de que todas las organizaciones comparten la responsabilidad de tener conciencia acerca de la información personal. Y nos enorgullece mucho el haber sido reconocidos por la National Cybersecurity Alliance como los campeones de la privacidad de datos de 2022. Proofpoint se suma a las muchas otras corporaciones, organizaciones sin ánimo de lucro, instituciones académicas, entidades gubernamentales, ayuntamientos e individuos comprometidos con ayudar a amplificar el importante papel que desempeña la privacidad de datos en la sociedad digital de hoy en día.
En los últimos años, hemos visto como diversos estados de los EE. UU. y diversos países del mundo han ido adoptando o endureciendo sus leyes de privacidad de datos. La aceleración de la digitalización es uno de los factores que influyen en este nuevo énfasis en la privacidad de datos. Pero las leyes, tales como la normativa de protección de datos (que oficialmente se conoce como reglamento general de protección de datos o RGPD) también son la respuesta de los gobiernos ante las inquietudes de sus ciudadanos acerca de la protección de la información.
Ahora más que nunca, la gente quiere saber cómo se están recopilando sus datos, y quién lo hace, y por qué motivos, y también quieren saber si esta información está siendo protegida adecuadamente y cómo. Y ahora, a causa de la pandemia de COVID-19, se está generando (y rastreando) una cantidad aún mayor de datos delicados acerca de los individuos, cosa que plantea interrogantes acerca del equilibrio entre la privacidad de datos personales y los esfuerzos en pro de la salud pública y la actividad económica.
Las personas tienen buenas razones para preocuparse acerca del riesgo de que actores malintencionados quieran obtener su información personal identificable (o PII, del inglés Personally Identifiable Information). Según el Informe de los costes de las amenazas internas del Instituto Ponemon, el 44% de las violaciones de datos implican el riesgo de exposición de los PII de los clientes, y el 26% de las violaciones de datos incluyen PII de los empleados. Y los ataques malintencionados son la causa raíz de más del 50% de las violaciones de datos.
Estas incidencias también tienen impactos financieros reales en las empresas, que es necesario considerar: las violaciones de datos que implican PII de los clientes son las más costosas para las organizaciones, ascendiendo hasta a 180 USD por registro individual, según la investigación de Ponemon. Y las violaciones de datos debido a ataques malintencionados les cuestan a las empresas una media de más de 4 millones de USD.
Mejore la protección de la información implementando buenas prácticas de seguridad
Las organizaciones están bajo una presión constante, y que va en aumento, para garantizar la privacidad de datos, mantener una gobernabilidad adecuada y cumplir adecuadamente con las leyes relevantes y normativas de privacidad de datos, como el RGPD, la ley de privacidad al consumidor de California, o CCPA, la ley de portabilidad y responsabilidad de seguros de salud o HIPAA, y otras normativas, pero sin poner en riesgo el éxito de sus respectivos negocios.
La protección de la información es un equilibrio delicado de lograr, puesto que se superponen los aspectos de privacidad y de seguridad del negocio. El enfocarse en uno de ellos no puede implicar un menoscabo del otro. Con esto en mente, les ofrecemos tres consejos a las organizaciones para ayudarlas a garantizar que sus iniciativas en pro de la privacidad de datos y la gobernabilidad sean eficaces:
1. Use las salvaguardas de seguridad adecuadas para La PII
Si bien algunos tipos de PII son más delicados que otros, es importante considerar las posibles ramificaciones cuando este tipo de información resulta perdida o filtrada. Mientras más delicados sean los datos, mayor será el nivel de protección necesario.
Por ejemplo, una lista de nombres de clientes y direcciones de correo electrónico no requieren de las mismas protecciones de seguridad que una lista de nombres de clientes y números de tarjetas de crédito. Dicho esto, ambos conjuntos de PII deben permanecer muy seguros y solo deben compartirse si es estrictamente necesario. Ciertamente, no es el tipo de información que usted querrá distribuir libremente, sobre todo a instituciones que compitan contra la suya.
2. Recopile solamente la PII que su organización realmente necesita, y asegúrese de tener implementadas las medidas apropiadas para su manejo y almacenamiento
Las organizaciones suelen necesitar recolectar diversos tipos de datos para brindarles a los clientes un servicio eficaz. Esta información puede incluir listas de correo electrónico, registros médicos, información de pago y números de identificación únicos. Dicho esto, la mejor práctica es limitar la recolección de PII a solamente los elementos críticos para el negocio. Piense cuidadosamente acerca de la información que está solicitando, porque su negocio será responsable de su salvaguarda.
El mismo enfoque cuidadoso hacia la recopilación de datos puede aplicarse al tema del procesamiento y almacenamiento de PII. El nivel de exposición al riesgo de una organización se incrementa cuando aumenta el volumen de PII. Por tanto, antes de almacenar estos datos, evalúe si son críticos para el negocio. Si no lo son, descártelos de manera segura y documente todos y cada uno de los puntos de contacto al procesar los PII para poder evaluar correctamente todos los riesgos.
Si el almacenamiento de los PII es fundamental para el negocio, asegúrese de estar aplicando las salvaguardas adecuadas, tales como medidas de seguridad físicas para los archivos en papel y un servidor encriptado y seguro para los archivos electrónicos. Además, examine frecuentemente sus datos almacenados y purgue todo aquello que esté desfasado o que ya no sea necesario.
3. Aplique buenas prácticas de seguridad a la PII cuando sea adecuado
Combine la seguridad de la información con programas de gobernabilidad de datos que le permitan identificar, clasificar y proteger activos de datos críticos y delicados. Las organizaciones pueden reducir el riesgo de exposición para sus datos usando controles técnicos y convirtiendo a la privacidad de datos en una prioridad empresarial.
Encripte la PII de los clientes y almacénela en servidores internos o dentro de entornos basados en la nube adecuadamente protegidos, que estén separados de cualquier servidor de cara al exterior. Estas barreras ralentizarán a cualquier actor de amenazas que logre cruzar su entrada principal. Coloque un cortafuegos entre los servidores para añadir más obstáculos y limitar la libertad de movimiento lateral de los atacantes.
El observar medidas de seguridad básicas, como la protección de sistemas seguros con contraseñas difíciles de descifrar, es un factor clave. Y también lo es el mantener seguras esas contraseñas. No permita que individuos no autorizados tengan acceso a áreas o sistemas seguros. Aplique controles de acceso, tales como la autenticación multifactorial, a los sistemas que alojen datos personales. Similarmente, no se apresure a revelar datos acerca de sus clientes, compañeros o usted mismo, ni por teléfono ni por redes sociales.
Manténgase al día con la evolución de las leyes de privacidad de datos
Para muchas organizaciones progresistas de hoy en día, una estrategia eficaz de privacidad de datos implica combinar las inversiones de seguridad para TI con la ciberseguridad y la protección de la información, porque unos buenos niveles de gobernabilidad y conformidad producirán un buen nivel de seguridad.
Además, para las empresas es fundamental mantenerse actualizadas con la evolución de las leyes de privacidad de datos. Por ejemplo, debido a que más países están alineando sus leyes de privacidad con el RGPD, a muchas organizaciones les convendrá considerar un enfoque proactivo hacia el asegurarse de que estén cumpliendo con las obligaciones contempladas en el RGPD, incluso si no están inmediatamente obligadas a ello.
Para conocer más datos acerca de las leyes de privacidad de datos, como el RGPD, y ver interesantes consejos para la gestión del riesgo en la privacidad de datos, inscríbase en el webinario de 30 minutos de Proofpoint: Respetar la privacidad, proteger los datos y generar confianza. Se hará esta semana, el jueves 27 de enero, a las 10:00 a. m. PT/1 p. m. ET. ¡No olvide registrarse hoy mismo!