El mundo digitalizado: la ciberseguridad y privacidad
Hoy día, los negocios tienen un fuerte componente digital en la mayoría de las industrias y están completamente globalizados. Esto genera que, por ejemplo, una compañía basada en Latinoamérica tenga clientes en la Unión Europea o Estados Unidos y viceversa. La situación económica global también tiene un impacto en la expansión de los negocios y la búsqueda de mejores propuestas, costos asequibles y cobertura 24/7. Si bien esto genera un ecosistema económico cada vez más amplio e interconectado, desde la perspectiva de privacidad y ciberseguridad, también se amplían los desafíos para mantener los datos protegidos y contener la superficie de ataque con la que cuentan los cibercriminales.
Desafíos en un mundo digitalizado
Existe una muy clara tendencia a adoptar el Reglamento General de Protección de Datos (RGPD) de la UE que no solo se ve en las actualizaciones legislativas que se están dando en Latinoamérica sino también en los debates que se están teniendo en algunos estados de EE. UU. Además, se amplía la tendencia al considerar el camino iniciado con la Ley de Privacidad del Consumidor de California (CCPA, por sus siglas en inglés).
¿Cuál es la relación que existe entre privacidad y ciberseguridad?
Los profesionales de ambos mundos están cada vez más conectados, ya que tanto el delegado de protección de datos (DPO, por sus siglas en inglés)—a cargo de velar por el cumplimiento de los requerimientos legales en materia de privacidad—como el director de seguridad de la información (CISO)—a cargo de la identificación y asesoramiento para el tratamiento de los riesgos—comparten intereses y son participantes clave en los proyectos, negocios, procesos, flujos y todo lo que tenga que ver con el tratamiento de datos personales con niveles adecuados de protección. Cabe destacar que esta interacción se da en proyectos o empresas que cuentan con una determinada madurez, ya sea que estos roles son ocupados por personal propio o por servicios profesionales. (En este artículo no estamos considerando aquellos casos en los que este equipo no se incluye.)
Protección adecuada de datos personales
Se suele encontrar mucho en la bibliografía e incluso en requerimientos de proyecto o contratos, la frase «los datos personales se deben proteger adecuadamente» y eso tal cual como se ve es muy amplio y permite interpretaciones de todo tipo. Si bien la legislación está intentando ser cada vez más específica, en el marco de este artículo entendemos «protección adecuada» como aquella que pudiera surgir de las recomendaciones de un análisis de impacto en la privacidad (PIA)—responsabilidad del CISO—o un análisis de riesgos (RA) como parte de la gestión profesional de los proyectos, ya que el PIA no aplica en todos los casos.
Es en esta instancia, se logra la mayor interacción entre el profesional de ciberseguridad y el de privacidad, ya que los responsables analizan en conjunto, mantienen debates, intercambian ideas y consultan, en efecto logrando en conjunto una propuesta que enriquece el tratamiento de datos que está bajo análisis.
Recomendaciones de ciberseguridad
Desde hace un tiempo, el marco regulatorio mantiene la postura de que las compañías deleguen la responsabilidad por la protección adecuada de los datos personales e impulsen la responsabilidad proactiva con fin de obligar a las compañías a incorporar la protección de datos en el diseño de su negocio—cosa que se reconoce como privacy by design y privacy by default (privacidad desde el diseño y por defecto).
Sin embargo, desde el plano de la ciberseguridad, el aporte que se hace en general surge del entendimiento acerca de cómo implementar, de forma eficaz y con costo eficiente, distintos marcos (o frameworks, en inglés) ya existentes hace tiempo. Si bien no es el objetivo de este artículo describir las medidas de ciberseguridad aplicables, ya que surgen de los distintos análisis de riesgos, recomendamos algunos marcos de ciberseguridad que se pueden utilizar de referencia:
- • Controles críticos de seguridad del Centro de Seguridad de Internet (CIS)
• Normas de seguridad establecidas por la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA, por sus siglas en inglés)
• La Resolución 47/2018 estableció la Agencia de Acceso a la Información Pública (AAIP) y las medidas de seguridad, tratamiento y conservación de los datos personales en medios informatizados.
• Los controles de seguridad recomendados del Instituto Nacional de Estándares y Tecnología (NIST)
SP 800-53, revisión 5, para los sistemas y organizaciones de información federales.
• Las Estrategias para mitigar incidentes de ciberseguridad del Centro de Ciberseguridad Australiano (ACSC).
• El artículo 32 del Reglamento General de Protección de Datos.
• Orientación sobre seguridad de datos, según el Reglamento General de Protección de Datos (RGPD RU) del Reino Unido.
Hacer las cosas bien en materia de protección de datos significa ofrecer recomendaciones profesionales basadas en estándares internacionales, entendiendo los riesgos, el negocio involucrado y la forma en que dichos riesgos pueden tratarse, asignando recursos económicos y humanos de forma eficaz.
