Dice el Día de la privacidad de los datos, yo digo el Día de la protección de datos. ¿Dejemos todo?
El Día de la privacidad de los datos, o el Día de la protección de datos si se encuentra en Europa, ha llegado una vez más. Incluso Google se ha involucrado; recordando a todos todas las herramientas que tienen a su disposición para controlar su configuración de privacidad. A pesar de algunas reacciones en Twitter por parte de personas molestas con Google por no utilizar el «Día de la protección de datos» reconocido en Europa, el gurú de seguridad de TI dice no cancele todo. Si el pastel de chocolate puede tener su propio día (sí, es cierto y te lo perdiste), entonces ¿por qué no la privacidad y la protección de los datos? Los datos son un asunto serio.
Jonathan Sander, vicepresidente de estrategia de producto de Lieberman Software, lo entiende y cree que las personas deben conocer las realidades de lo que realmente significa la protección de datos. Dijo: “Si le preguntas a la persona promedio en la calle sobre la privacidad de los datos, es más probable que mencionen la configuración de Facebook que las protecciones legales. A la mayoría de las personas les preocupa que los sitios web les envíen SPAM, y considerarán que su privacidad está bien protegida si no reciben SPAM de una organización a la que proporcionaron sus datos. La idea de que existe todo un mercado para sus datos privados y la idea de que la política de privacidad para la que hicieron clic apresuradamente para aceptar permite que sus datos se vendan en el mercado abierto nunca se les ocurre «.
Pero también agrega que difícilmente se puede culpar a los ciudadanos por estar confundidos cuando el gobierno aún tiene que formar un «todo racional» en lo que respecta a las leyes relativas a la privacidad de los datos. “En este momento, el caso del Departamento de Justicia de EE. UU. (DOJ) contra Microsoft acerca de una citación para los correos electrónicos en la nube todavía se está abriendo camino en el sistema. El caso cuestiona todos los aspectos básicos de la cuestión de la privacidad. ¿Quién posee un correo electrónico, el autor o el proveedor de servicios en la nube? ¿Se puede obligar a un proveedor de servicios en la nube a ceder los datos de un ciudadano? Si la elasticidad de la nube significa que un documento se encuentra almacenado fuera de suelo estadounidense, ¿tiene el Departamento de Justicia el derecho a obtenerlo sin tratar con los otros gobiernos involucrados?
“La privacidad, al final, es un asunto legal. Tanto los tribunales superiores como la legislatura aún tienen que opinar sobre la privacidad. ¿Podemos culpar a la persona promedio si también tiene más preguntas que respuestas cuando asiste a su evento local del Día de la Privacidad? «
Y cuando se trata de datos, que después de todo es el meollo del asunto, la cantidad está creciendo a un ritmo enorme, especialmente en las organizaciones, que tienen el deber con los clientes y empleados de mantener esos datos de manera responsable y protegerlos del fraude. David Gibson, vicepresidente de estrategia y desarrollo de mercado del especialista en seguridad de datos empresariales Varonis, dijo que la mayoría de las organizaciones de hoy se basan en datos, se den cuenta o no, y eso las expone al riesgo.
“Detectar y prevenir el fraude y el abuso es un desafío de Big Data debido a la escala del problema: miles de usuarios que acceden a millones de archivos constantemente significa que los tipos de procesamiento necesarios para detectar ataques internos requieren nuevos enfoques de administración y monitoreo.
“La detección de fraudes y abusos comienza con la supervisión. No puede administrar lo que no monitorea y es imposible detectar el abuso de un activo a menos que esté monitoreando cómo se usa «.
Gibson continúa argumentando que si las organizaciones no monitorean sus datos de manera significativa, entonces es extremadamente difícil detectar el fraude. “La prueba de que los métodos tradicionales no funcionan está en la creciente frecuencia y magnitud de las filtraciones de datos relacionadas con datos no estructurados. No solo hay más datos de los que preocuparse, sino que también contienen información más sensible y valiosa y cada vez es más fácil para los atacantes exfiltrar esos datos, ya que generalmente no se monitorean. Si lo que intentas robar no está siendo vigilado, tienes muchas más posibilidades de escapar «.
Dijo que la respuesta está en User Behavior Analytics, pero solo si tiene los componentes correctos como parte del análisis, como la actividad de acceso, el contenido y la accesibilidad. “No se puede analizar el comportamiento si no se supervisa el acceso real. Las empresas que priorizan el monitoreo real del acceso a los datos están obteniendo una ventaja sobre UBA y la detección de amenazas internas en datos no estructurados. Cuanto mejor sea el seguimiento, mejores serán los análisis y es probable que la solución sea más eficaz «.
Si aún no está claro por qué se deben considerar más los datos y la protección de datos, más allá de un solo día del año, entonces tal vez el hecho de que las nuevas regulaciones de privacidad dirigidas a las empresas entren en vigencia este año sea más convincente. El Reglamento general europeo de protección de datos es un nuevo reglamento de privacidad que puede imponer multas de hasta el cuatro por ciento de los ingresos globales anuales emitidos para las empresas que no protegen los datos de los ciudadanos y residentes de la UE.
“El día de la privacidad de los datos es una gran oportunidad para que las organizaciones reevalúen sus programas de privacidad”, dijo Tim Erlin, director de riesgos de TI y estrategia de seguridad de Tripwire. “La privacidad a menudo se trata como parte de iniciativas de seguridad más amplias. Si bien este enfoque aborda algunos problemas clave de privacidad, es posible que otros no reciban la atención que merecen «.
Para concluir, Erlin presenta los cinco principales errores de privacidad de datos que cometen las empresas:
- No conservar solo los datos esenciales del consumidor: Muchas organizaciones mantienen una gran cantidad de datos de los clientes en caso de que los necesiten «algún día». Si bien este enfoque puede parecer prudente, estos datos pueden convertirse fácilmente en un objetivo importante para los atacantes cibernéticos y, debido a que no son críticos para el negocio, es posible que no reciban las mismas protecciones que otros datos más confidenciales.
- No cifrar los datos del cliente: Si bien existen algunos requisitos reglamentarios para cifrar los datos de los clientes, las empresas deben establecer procesos internos para mantener los datos cifrados. Dejar los datos de los clientes sin cifrar hace que sea mucho más fácil de capturar para los atacantes.
- No asegurar las rutas de acceso: Cifrar los datos del cliente es importante, pero debe descifrarse para usarlos en una aplicación en algún momento. Los atacantes intentarán poner en peligro las aplicaciones que utilizan datos de clientes para acceder a esos datos. “No se preocupe, los datos están encriptados”, es una mentalidad peligrosa.
- No parchear las vulnerabilidades conocidas: Los expertos en seguridad pueden estar más interesados en el análisis técnico del último malware, pero es más probable que los ataques exitosos aprovechen la vulnerabilidad del servidor web de tres años que les da acceso a datos de alto valor. Aplicar parches a los sistemas no es atractivo, pero es esencial para proteger los datos.
- No monitorear y controlar simples configuraciones erróneas: Más de una de las infracciones que han aparecido en los titulares recientemente ha sido el resultado de una base de datos o un servidor mal configurados. Si no está monitoreando las configuraciones del servidor para detectar cambios, tiene un punto ciego en su seguridad que los atacantes pueden aprovechar.
Ya sea que esté considerando sus propios datos personales este año o la seguridad de las organizaciones para las que trabaja, IT Security Guru insta encarecidamente a todos a que examinen más de cerca las prácticas de protección de datos y comiencen a hacer cambios para mejorar hoy.