Administración de la privacidad y la identidad digital: Las tareas pendientes

El manejo de los datos empresariales y la protección de la identidad digital en las empresas de la región presenta una realidad preocupante. Además de la utilización de tecnologías obsoletas, se observan políticas débiles y mecanismos de control permisivos. Todo ello en un contexto de poco conocimiento de parte de los tomadores decisiones de las compañías acerca de la importancia de estos temas en el funcionamiento de toda organización.

Según el ESET Security Report 2019, a nivel regional, el 58 % de las empresas consultadas indican como preocupación el robo de información y solo el 50 % indican como preocupación la privacidad de esta. Para el caso de Chile, estos números reflejan el 51 % y 50 %, respectivamente. También llama la atención que a nivel regional solo el 18 % de las empresas indican utilizar soluciones de cifrado de la información con la finalidad de protegerla en caso de robo, y Chile está por sobre la media con un 25 %. Respecto de políticas de seguridad, Chile se encuentra por arriba de la media de la región con un 70 % de empresas que las aplican, contra el 58 % del promedio de Latinoamérica; y respecto de la clasificación de la información, las empresas consultadas en Chile reconocieron hacerlo en un 39 % contra el 26 % de la región.

David Alfaro, Arkavia.

A juicio de David Alfaro, gerente general de Arkavia Networks, si bien existe una serie de normativas, leyes y exigencias sobre la privacidad de los datos, en el aspecto técnico no se puede asegurar que se apliquen los controles necesarios para implementar privacidad. «No son raras las noticias de pérdidas de datos, bases de datos completas y más debido a fallos humanos o técnicos en su resguardo. Dado lo anterior, y pensando además en la protección de identidad digital, es indispensable que las empresas cuenten no solo con las herramientas, sino también con los procedimientos y el capital humano que pongan en práctica dicho resguardo», destaca.

Juan Marino, Cisco.

Por su parte, Juan Marino, responsable de ciberseguridad para MCO de Cisco, explica que en términos generales podría decirse que solo recientemente se comenzó a tomar más en serio el manejo de la privacidad y la identidad digital al definir una estrategia de ciberseguridad que estuviera enfocada en este aspecto y la implementación de los procesos y controles para implementarla. «Aún se sigue arrastrando en las organizaciones públicas y privadas una concepción ya obsoleta de seguridad basada en perímetros, protegiendo el adentro del afuera y con foco en la protección de los sistemas más que en los datos mismos y las identidades. El cambio de contexto impulsado por la digitalización del negocio, la movilidad y la migración a la nube, entre otras cosas, hace que resulte más desafiante la protección de los datos que ya no se encuentran en lugar único y específico», indica.

Sin embargo, la preocupación global sobre el impacto de la fuga de datos sensibles, específicamente la información de identificación personal o PII (Personally Identifiable Information), ha dado lugar a regulaciones como GDPR que comienzan a generar efectos en todas las regiones y que han puesto a la privacidad como prioridad en las agendas de ciberseguridad y TIC «para evitar las consecuencias y eventualmente penalidades incurridas por una brecha en la que se expongan datos sensibles y que adquiera carácter público”, detalla.

El experto agrega que son pocas las organizaciones que han alcanzado madurez en la capacidad de identificar y clasificar la información sensible y que cuentan con una estrategia y capacidades para proteger dicha información de forma efectiva.

Pablo Dubois, CenturyLink

Desde una vereda más optimista, Pablo Dubois, gerente de productos de seguridad de CenturyLink para América Latina, indica que, gracias a leyes como la GDPR europea y derivadas de ella, la gestión de los datos privados de los clientes en Latinoamérica se empieza a manejar de una manera mucho más adecuada. Pero los datos propios de cada empresa o de sus usuarios no corren con el mismo beneficio, ya que no se encuentran tan regulados. «Algo similar podríamos decir que pasa con las identidades digitales: Si son de clientes comienzan a verse más controles, pero cuando uno ve el manejo de identidades internas de la empresa distan mucho de las primeras», dice.     

Consejos para el correcto control de la privacidad y la identidad digital

Los expertos coinciden en que la base de un correcto control de la identidad al interior de una organización es realizar un análisis y determinar cuál es la información crítica que se maneja; el perfil y las características de los usuarios de la compañía; y cuáles son las tecnologías y políticas en este ámbito que ya existen dentro de la empresa.

Luis Lubeck, ESET.

Luis Lubeck, investigador de seguridad de ESET, explica que para lograr un correcto control y gestión de la información es fundamental entender la seguridad en todos sus ámbitos: «Es necesario contar con una solución robusta de seguridad que pueda avisar ante posibles filtrados o ataques a la información, como así también una política activa de capacitación a todos los empleados en cuanto a la concientización necesaria del buen manejo de la información y el cuidado de la identidad tanto personal como empresarial, ya que el vector de ataques más activo todavía es el que se realiza a través de ingeniería social, generalmente por información que se consigue por fuentes públicas (redes sociales a la cabeza). Por último, la empresa debe contar con un plan de seguridad y manejo de la información, así como planes de contingencia ante el robo o filtrado de información, ya que se puede ver afectada comercial o económicamente ante la caída de su imagen pública por estos hechos».

Para Marino, de Cisco, el primer paso consiste en realizar un análisis juicioso de qué tipos de información maneja la organización, tanto interna como de terceros y de clientes, para poder determinar niveles de criticidad que luego den lugar a una estrategia de clasificación. «Luego recién se abre el juego a un análisis de capacidades tecnológicas que pueden ser de gran ayuda para la implementación de los controles necesarios para cumplir con la estrategia. En este sentido, resulta fundamental implementar segmentación que permita diferenciar el acceso de los usuarios, dispositivos, aplicaciones que correspondan en cada caso siguiendo el paradigma que está ganando mucha relevancia recientemente conocido como ‹zero-trust›. Según este paradigma, resulta fundamental minimizar la ‹confianza› establecida entre usuarios, dispositivos y aplicaciones de modo de evitar las consecuencias de un comprometimiento de alguno de estos recursos y, por consiguiente, que el abuso de confianza irrestricta permita la ejecución de un ataque que tome control de múltiples recursos», enfatiza el experto.

Otra mirada interesante para abordar estas preocupaciones es aplicar un «enfoque holístico», como lo indica Dubois, de CenturyLink: «Se deben tratar de la misma manera las identidades digitales de clientes internos como externos, haciendo principal hincapié en la privacidad de los datos. Ya no solo estamos hablando de identidades de personas, sino que tenemos que comenzar a pensar en identidades digitales de aplicaciones, de dispositivos, etc. Además, hay que considerar que ya estamos hablando de identidades en un entorno multinube, multiaplicación, multirregional, donde comienza a tener mucho más sentido contar con soluciones de manejo de estas en modalidad de servicio o directamente tercerizadas».

Finalmente, Dubois agrega la posibilidad de contar con asistencia para esta gestión basada en inteligencia artificial, ya que los entornos donde se mueven los usuarios son muy variados y en constante modificación; esto, sumado a la criticidad de la información que muchas veces se requiere, va a hacer que la gestión mediante personas sea cada vez más difícil y que se requiera de asistencia artificial para poder cubrir todos los campos.

Consejos para proteger la privacidad de datos

David Alfaro, gerente general de Arkavia Networks, ofrece algunos consejos para proteger la privacidad de los datos sensibles:

1. Nunca confiarse, la tecnología por sí sola no es suficiente.
2. Mantenerse vigilantes, contando idealmente con apoyo de monitoreo 24x7.
3. Implementar herramientas que eviten la fuga de datos, sin importar la forma en que se produzca.
4. Mantener registros de auditoría de todos los accesos, intentos de acceso y cualquier interacción con la data.
5. Considerar un equipo de respuesta a incidentes, que contribuya a la resiliencia en ciberseguridad, para retornar prontamente a operaciones y que reduzca el daño causado.
6. Considerar mantener los datos siempre encriptados, de modo tal que la obtención de archivos no implique la violación de la confidencialidad ni el conocimiento de su contenido.