Privacidad y protección de datos: equilibrar su enfoque ante los riesgos de ciberseguridad

Por Eric Schmitt, director global de seguridad de la información, y Brenda G. Corey, vicepresidenta sénior de cumplimiento normativo y regulación.

En un mundo cada vez más preocupado por la privacidad y la protección, las empresas deben equilibrar su conciencia del riesgo con el cumplimiento normativo en un contexto de rápidos cambios en la legislación.

Desde el punto de vista de la protección de datos, en los últimos 24 meses se ha hecho mayor hincapié en garantizar que los datos solo se conserven durante el periodo en que sean necesarios o según lo exija la ley. Con las leyes de transparencia y derechos sobre los datos ya en vigor en dos estados de EE. UU. (California CPRA,Virginia) y su entrada en vigor en otros tres estados de EE. UU. durante 2023 (Colorado,Connecticut,Utah), ahora es el momento de que las empresas evalúen su infraestructura, aíslen las áreas de posible explotación por parte de malos actores y eduquen a los empleados sobre las mejores prácticas para proteger los datos confidenciales.

Conservación de registros

Un aspecto muy importante es el cumplimiento íntegro del calendario de conservación de registros. El calendario de conservación de registros es fundamental para garantizar que solo conservamos los datos durante el periodo necesario, lo que reduce el riesgo al disminuir la cantidad de datos almacenados y nos permite cumplir con la legislación vigente. Empresas de todo el mundo se han embarcado en este proceso y están revalidando sus políticas actuales para garantizar el cumplimiento normativo. Es importante garantizar que se cumplan las obligaciones de conservación de registros para las distintas partes interesadas (legales, clientes y compañías de seguros), tanto en jurisdicciones específicas como a nivel mundial.

Resiliencia cibernética

En el aspecto tecnológico del negocio, es importante que los equipos de ciberseguridad, copias de seguridad y recuperación ante desastres se unan y ofrezcan un programa más unificado bajo el lema de «ciberresiliencia». Este nivel de colaboración ayuda a garantizar que los planes de continuidad, incluidos los empresariales y tecnológicos, tengan en cuenta cómo implementar protecciones en caso de una ciberamenaza, lo que permite a una organización responder rápidamente a las amenazas emergentes. Las empresas deben asegurarse de que su programa de continuidad incluya cuestiones relacionadas con la ciberseguridad.

Búsqueda de amenazas

Con la misión de «romperte antes de que lo haga otra persona», los equipos de ciberseguridad buscan atacar los entornos cibernéticos de una organización de la misma manera que lo haría un malhechor, un proceso denominado «búsqueda de amenazas». Esto proporciona visibilidad no solo para detectar los puntos débiles donde pueden producirse ataques, sino también para crear una respuesta más rápida que permita proteger los datos de respaldo y garantizar que no se pierda todo en caso de una amenaza. La búsqueda de amenazas debe complementar un programa sólido de pruebas de vulnerabilidad y penetración, no sustituirlo. La caza de amenazas tiene dos grandes ventajas: sus defensores aprenden a identificar los ataques mientras trabajan con los cazadores de amenazas, y la empresa puede ayudar a identificar las áreas que pueden necesitar controles adicionales.

Establecer una línea de defensa

Para proteger lo que tienes, primero debes saber qué es lo que tienes. Al mapear los datos de todas las líneas de negocio y los tipos de datos que fluyen entre ellas, incluyendo qué proveedores comparten esa información, puedes obtener una imagen clara de cómo y dónde se protegen los datos. El uso de los «ejercicios de la joya de la corona» de MITRE permite destacar las vulnerabilidades en torno a los datos que hay que proteger, de modo que las defensas se puedan estratificar en consecuencia.

La formación de los compañeros de trabajo es otro nivel de esfuerzos óptimos para la privacidad y protección de datos. Cuando se trata de riesgos de ciberseguridad, su personal es su primera y última línea de defensa. La cuestión de cómo se puede formar mejor a los empleados para identificar de forma positiva las amenazas entrantes, como los correos electrónicos de phishing y otras actividades maliciosas, y cómo reforzar este comportamiento de forma positiva, siempre debe ser una prioridad. Se deben realizar ejercicios de formación sobre correos electrónicos de phishing de forma regular para toda la organización. Los compañeros de equipos que manejan constantemente datos confidenciales pueden necesitar evaluaciones más frecuentes para prevenir la violación de datos.

En el sector de las reclamaciones, los responsables de privacidad se encargan de garantizar que las solicitudes relacionadas con los derechos sobre los datos se tramiten de forma rápida y eficaz para los reclamantes individuales. En consonancia con las leyes de privacidad, se puede recurrir a la inteligencia artificial para prestar mejores servicios a las personas, como en el caso de las revisiones automatizadas de reclamaciones.

Privacidad desde el diseño

La privacidad y la seguridad de los datos pueden ser un factor diferenciador para una empresa y sus clientes cuando se integran en la estrategia de inversión y operaciones. A medida que una empresa desarrolla sus nuevos procesos y programas, incluido el flujo de información dentro del sistema, es esencial que los equipos de primera línea sepan cómo abordar la privacidad desde el diseño. Las agencias reguladoras están ejerciendo una mayor presión para reducir la huella de los datos; las empresas deben actuar con la debida diligencia, planteando preguntas profundas sobre sus programas de seguridad de datos y sopesando su inversión en inteligencia sobre amenazas.