Desde la filtración de datos de Equifax en septiembre de 2017, que expuso la información personal de 147 millones de estadounidenses, y las muchas otras filtraciones de datos de alto perfil que han ocurrido desde entonces, la seguridad y la privacidad de los datos se han convertido en preocupaciones apremiantes a nivel de la sala de juntas.
«La debacle de Equifax es el momento en el que muchos de los problemas inherentes salieron realmente a la luz a nivel empresarial», dijo Aaron Shum, jefe de práctica, Seguridad, Privacidad, Riesgo y Cumplimiento, en Info-Tech Research Group. «Es donde descubrimos el nivel de incompetencia que puede existir en una organización».
Según el Informe Especial del Barómetro de Confianza Edelman 2019: In Brands We Trust…, el 81% de los consumidores dijo que la confiabilidad de la marca juega un papel importante en sus decisiones de compra. En otras palabras, las violaciones de datos hoy en día no solo representan un riesgo de fondo en forma de sanciones, sino que también ponen en peligro la marca y la reputación de una organización, impactando directamente en su capacidad para atraer nuevos clientes y retener los existentes.
«Las empresas deben tratar la privacidad como una cuestión tanto de cumplimiento como de riesgo empresarial para reducir las sanciones reglamentarias y los impactos comerciales, como el daño a la reputación y la consiguiente pérdida de clientes debido a las violaciones de la privacidad», dijo
Steve Durbin, director gerente del Foro de Seguridad de la Información en el Reino Unido.
Más que semántica
Para muchas personas ajenas a la comunidad de la infoseguridad, los términos «seguridad de los datos» y «privacidad de los datos» suelen utilizarse indistintamente. En realidad, aunque comparten un objetivo común, no son lo mismo, dijo Greg Ewing, socio de ciberseguridad de Potomac Law.
«La diferencia entre la privacidad de los datos y la seguridad de los datos es la diferencia entre la protección de la información personal de alguien y las medidas de seguridad que usted tiene para proteger toda la información de su empresa», dijo.
Con normativas como la Ley de Privacidad del Consumidor de California (CCPA) y el Reglamento General de Protección de Datos (GDPR) de la UE ya en vigor, esta distinción es más que una cuestión semántica. El GDPR, por ejemplo, impone graves sanciones económicas que pueden ascender a miles de millones de dólares por violaciones de datos que impliquen información personal identificable (PII) de ciudadanos de la UE. Con un importe de entre 2.500 y 7.500 dólares por registro de PII, las sanciones por incumplimiento en virtud de la CCPA también pueden acumularse rápidamente.
Con la pandemia de COVID-19 que no muestra signos de disminuir, más personas están pasando más tiempo en línea que nunca. El cambio masivo en el uso de Internet, tanto antes como después del COVID-19, combinado con la desconfianza general en la forma en que las grandes empresas de medios sociales y de entretenimiento monetizan los datos de los clientes, no está pasando desapercibido para los reguladores estatales. Según la Conferencia Nacional de Legisladores Estatales, se están estudiando proyectos de ley sobre privacidad en 30 estados.
«La privacidad de los datos es, en esencia, un subconjunto de la seguridad de los datos de una organización», dijo Ewing. «La distinción es importante porque, aunque las herramientas utilizadas para mantener la privacidad de los datos y para garantizar la seguridad de los mismos pueden solaparse, ambas suelen ser abordadas de forma diferente por equipos distintos que utilizan herramientas diferentes.»
Este solapamiento puede causar confusión, dejando a las empresas que se centran sólo en la seguridad de los datos con la falsa impresión de que, por defecto, la privacidad de los datos también está protegida. Esto no es así. A diferencia de la seguridad de los datos, que se centra en la protección de todos los datos de una organización contra el robo o la corrupción (como durante un ataque de ransomware), la privacidad de los datos es más granular. Para garantizar la privacidad de los datos, las organizaciones deben comprender, rastrear y controlar aspectos como quién está autorizado a acceder a los datos y dónde se almacenan, por ejemplo, en una nube que cumpla con la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA).
Un buen ejemplo de las diferencias entre la privacidad y la seguridad de los datos fue la recolección de 87 millones de perfiles de usuarios de Facebook por parte de la ya desaparecida consultora política Cambridge Analytica durante las elecciones presidenciales estadounidenses de 2016-17, dijo Joshua Kail, un consultor de comunicaciones que dirigió las relaciones públicas de la agencia para Cambridge Analytica hasta su cierre en mayo de 2018. Aunque los datos eran seguros, Facebook abusó de su propia política de privacidad y de un decreto de consentimiento de la FTC de 2011 sobre el uso de los datos de los usuarios.
«Fue un caso extraño de un fallo en la seguridad de los datos desde la perspectiva de que básicamente entregaron los datos y luego se utilizaron de manera inapropiada, en lugar de un ciberataque malicioso tradicional», dijo. «En cuanto a la privacidad de los datos, todos la perdimos en el momento en que nos registramos con una cuenta. Realmente, no fueron ‘nuestros datos’ los que utilizó Cambridge, fueron los datos de Facebook sobre nosotros. En esta distinción es donde reside el verdadero peligro de las políticas de datos actuales.»
Kail apareció recientemente en el podcast TechRepublic Dynamic Developer de Bill Detwiler para hablar de la privacidad y los derechos de los datos.
Una cuestión de confianza
Aunque la privacidad de los datos está más regulada cada año, sigue siendo una cuestión que, hoy en día, se reduce en gran medida a la confianza, dijo Kayne McGladrey, miembro del IEEE y estratega de ciberseguridad en Ascent Solutions. Como demuestra la reacción a raíz del escándalo de Cambridge Analytica, lo que la gente espera de las empresas con las que hace negocios es tan importante como las leyes que rigen el uso de sus datos.
«La privacidad de los datos de hoy en día tiene que ver sobre todo con el tratamiento de los datos personales basado en las leyes, los reglamentos y las normas sociales», dijo McGladrey. «A menudo, esto se ve representado por un consumidor que ignora una política de privacidad incomprensible (que tardaría casi 20 minutos en leer) antes de hacer clic en un botón para reconocer su consentimiento a dicha política. Su aceptación de la política permite a la organización manejar sus datos de forma documentada, como por ejemplo utilizarlos para mostrarle publicidad dirigida en función de sus intereses inferidos. Sin embargo, si esa organización vendiera esos datos personales a otra organización para hacer algo inesperado (como utilizarlos para suprimir la libertad de expresión protegida) sin el consentimiento del consumidor, eso sería una violación de la privacidad, ya sea por control normativo o por violación de las normas sociales.»
Dado todo lo que ha sucedido en los últimos años -el constante bombo de las violaciones masivas de datos y los ciberataques cada vez más intensos a empresas y particulares- no es de extrañar que la gente sienta que sus datos ya no están seguros en manos de las empresas con las que hacen negocios, o de los gobiernos que ordenan su recopilación.
Debido a esta desconfianza, el imperativo de que las empresas se pongan al frente de estas cuestiones no podría ser mayor, dijo Lili Ana, gerente de Gobernanza de la Seguridad de la Información en loanDepot.
«A medida que la industria de la piratería informática crece rápidamente y los ciberdelincuentes se financian mejor, y a medida que la transformación global de los lugares de trabajo digitales en casa sigue siendo la nueva normalidad, las empresas deben tomar medidas para entender la seguridad de la información y cómo la privacidad y la seguridad de los datos trabajan juntas para proteger a las empresas y a los consumidores», dijo Ana. «Invertir en salvaguardar su negocio con un enfoque proactivo es mucho menos costoso que la alternativa, que es un incidente de datos o una violación que no sólo puede destruir un negocio, sino que puede arruinar la reputación, la credibilidad y la confianza del consumidor.»
También vea
- Las empresas con malas prácticas de privacidad son un 80% más propensas a sufrir una violación de datos (TechRepublic)
- Las empresas suelen confiar en los procesos manuales para cumplir con la nueva ley de privacidad de California (TechRepublic)
- Cómo utilizar la distribución avanzada de seguridad y privacidad de Whonix (TechRepublic)
- Zoom: Hemos cumplido todas nuestras promesas de seguridad y privacidad, salvo una (TechRepublic)
- Los clientes no quieren ceder sus datos por cuestiones de privacidad, según Okta (TechRepublic)
- La mayoría de los estadounidenses están dispuestos a renunciar a la privacidad de los datos personales para combatir la propagación del COVID-19 (TechRepublic)