Privacidad y protección de datos: cómo encontrar el equilibrio en tu enfoque del riesgo de ciberseguridad

Por Eric Schmitt, director global de seguridad de la información, y Brenda G. Corey, vicepresidenta sénior de cumplimiento normativo y asuntos regulatorios

En un mundo cada vez más preocupado por la privacidad y la protección, las empresas deben encontrar un equilibrio entre su conciencia del riesgo y el cumplimiento normativo, en un contexto de cambios normativos rápidos.

Desde el punto de vista de la protección de datos, en los últimos 24 meses se ha prestado mayor atención a garantizar que los datos se conserven únicamente durante el tiempo que sean necesarios o según lo exija la ley. Ahora que las leyes sobre transparencia y derechos de datos ya están en vigor en dos estados de EE. UU. (la CPRA de California yVirginia) y entrarán en vigor en otros tres estados de EE. UU. durante 2023 (Colorado,Connecticut yUtah), es el momento de que las empresas evalúen su infraestructura, identifiquen las áreas susceptibles de ser explotadas por personas malintencionadas y formen a sus empleados en las mejores prácticas para proteger los datos sensibles.

Conservación de documentos

Un aspecto fundamental es el cumplimiento íntegro del calendario de conservación de registros. Este calendario es esencial para garantizar que solo conservamos los datos durante el tiempo necesario, lo que reduce el riesgo al disminuir la cantidad de datos almacenados, y para cumplir con la legislación vigente. Hoy en día, empresas de todo el mundo están emprendiendo este proceso y revisando sus políticas actuales para garantizar el cumplimiento normativo. Es importante garantizar que se cumplan las obligaciones de conservación de registros para múltiples partes interesadas —autoridades reguladoras, clientes y compañías de seguros— y en jurisdicciones específicas, así como a nivel global.

Resiliencia cibernética

En el ámbito tecnológico de la empresa, es importante que los equipos de ciberseguridad, copias de seguridad y recuperación ante desastres aúnen esfuerzos y ofrezcan un programa más cohesionado bajo el lema de la «ciberresiliencia». Este nivel de colaboración contribuye a garantizar que los planes de continuidad, tanto empresariales como tecnológicos, tengan en cuenta cómo implementar medidas de protección en caso de una ciberamenaza, lo que permite a la organización responder rápidamente ante las amenazas emergentes. Las empresas deben asegurarse de que su programa de continuidad incluya cuestiones relacionadas con la ciberseguridad.

Detección proactiva de amenazas

Con la misión de «romper las propias defensas antes de que lo haga alguien más», los equipos de ciberseguridad tratan de atacar los propios entornos cibernéticos de una organización tal y como lo haría un atacante malintencionado, un proceso denominado «búsqueda de amenazas». Esto proporciona visibilidad no solo para detectar los puntos débiles en los que podrían producirse ataques, sino también para desarrollar una respuesta más rápida que permita proteger los datos de copia de seguridad y garantizar que no se pierda todo en caso de amenaza. La búsqueda de amenazas debe complementar un programa sólido de pruebas de vulnerabilidad y de penetración, no sustituirlo. La caza de amenazas ofrece dos grandes ventajas: sus defensores aprenden a identificar ataques al trabajar con los cazadores de amenazas, y la empresa puede ayudar a identificar áreas que puedan necesitar controles adicionales.

Establecer una línea de defensa

Hay que saber qué se tiene antes de poder protegerlo. Al realizar un mapeo de datos de todas las líneas de negocio y de los tipos de datos que circulan por ellas —incluido qué proveedores comparten esa información—, se puede obtener una visión clara de cómo y dónde están protegidos los datos. El uso de los «ejercicios de joya de la corona» de MITRE permite identificar las vulnerabilidades en torno a los datos que hay que proteger, de modo que las defensas puedan organizarse en capas según corresponda.

La formación de los empleados es otro pilar fundamental de las iniciativas para garantizar una protección y privacidad de datos óptimas. En lo que respecta a los riesgos de ciberseguridad, su personal es su primera y última línea de defensa. La cuestión de cómo se puede formar mejor a los empleados para que identifiquen de forma eficaz las amenazas entrantes, como los correos electrónicos de phishing y otras actividades maliciosas, y cómo reforzar este comportamiento de manera positiva, debe ser siempre una prioridad. Se deben realizar ejercicios de formación sobre correos electrónicos de phishing de forma regular para toda la organización. Los compañeros de los equipos que manejan constantemente datos confidenciales pueden necesitar evaluaciones más frecuentes para la prevención de fugas de datos.

En el sector de las reclamaciones, los responsables de protección de datos se encargan de garantizar que las solicitudes relacionadas con los derechos sobre los datos de los reclamantes se tramiten de forma rápida y eficaz. En cumplimiento de la legislación en materia de protección de datos, se puede recurrir a la inteligencia artificial para ofrecer mejores servicios a los usuarios, como por ejemplo en el caso de la revisión automatizada de reclamaciones.

Privacidad desde el diseño

La privacidad y la seguridad de los datos pueden suponer un factor diferenciador para una empresa y sus clientes cuando se integran de forma inherente en la estrategia de inversión y operaciones. A medida que una empresa desarrolla sus nuevos procesos y programas, incluido el flujo de información dentro del sistema, es fundamental que los equipos de primera línea sepan cómo abordar la privacidad desde el diseño. Los organismos reguladores están ejerciendo una mayor presión para reducir la huella de los datos; las empresas deben actuar con la debida diligencia planteándose preguntas profundas sobre sus programas de seguridad de datos y sopesando su inversión en inteligencia sobre amenazas.