Protección de Datos: ¿por qué debería preocuparse su empresa?
Según datos suministrados por Entel Ocean, el costo global de los ciberataques alcanza aproximadamente los 7.700 millones de dólares al año, donde Chile representa un 5% del total de incidencias relativas a América Latina. ¡Vea en este artículo por qué y cómo garantizar la protección de datos!
Después de Brasil, México es el país latinoamericano que más sufre de ciberataques según la consultora Willis Towers Watson. De acuerdo con este estudio, se estima que en 2018 el 83 % de las empresas mexicanas fueron víctima de algún tipo de ciberataque al menos una vez en el año, con pérdidas en promedio de 1,5 millones de dólares.
Además, El 56 % de las empresas mexicanas encuestadas por PWC para este mismo periodo experimentaron al menos un ataque de correo electrónico exitoso de robo de datos (también conocido como “phishing”), lo que llevó al 23% de estas empresas a pérdidas financieras.
Frente al desafío de proteger a las empresas, los gobiernos y los ciudadanos de los riesgos cibernéticos, varios países de la región han hecho avances significativos en la legislación.
Como ejemplo tenemos la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) en México. Chile por su parte tiene la Ley de Protección de la Vida Privada (LPVP), más las respectivas adhesiones al Convenio sobre Ciberdelincuencia.
Sin embargo, poner en práctica estas leyes y garantizar una verdadera protección de datos requiere planificación, inversión y herramientas adecuadas. En este artículo brindaremos una descripción general de la protección de datos en América Latina y cómo puede implementarla en su empresa.
Por aquí encontrarás:
Los riesgos cibernéticos en América Latina
Qué es la Ley de Protección de Datos
¿Qué es la protección de datos?
3 herramientas de protección de datos
Cómo usar los datos correctamente
¡Buena lectura!
Los riesgos cibernéticos en América Latina
En América Latina, sólo en la primera mitad del año pasado hubo 31.500 millones de intentos de hackeo de empresas, un número 94% más alto que en el mismo período del año anterior.
Entre las principales razones de este desagradable registro, el director de Fortinet, la empresa que lideró el estudio, apunta a dos causas. La primera es que las estafas son cada vez más sofisticadas. Y el segundo es la baja inversión en ciberseguridad.
Si bien el escenario ha mejorado en la pandemia, la inversión en seguridad de la información y protección de datos todavía corresponde a sólo el 10% del monto total destinado a tecnología. Para que tengamos una referencia comparativa, la agencia de la Unión Europea para la Ciberseguridad (ENISA) estima que en promedio los países del viejo continente triplican esta cifra con respecto a sus pares latinoamericanos.
Qué es la Ley de Protección de Datos
Aunque cada país tiene la suya con un nombre específico y por lo general las siglas pueden variar, las Leyes de Protección de Datos son todas aquellas legislaciones que regulan integralmente la protección de datos personales en cualquier país del mundo.
En otras palabras, las LPD determinan los procesos por los que deben pasar los datos personales para ser recolectados, transmitidos, almacenados, evaluados e incluso eliminados por las empresas. Cubren:
- Todas las operaciones de tratamiento realizadas en el territorio nacional.
- Cualquier actividad de tratamiento de datos que tenga por objeto ofrecer o suministrar bienes o servicios.
- El tratamiento de datos de personas físicas ubicadas en el territorio nacional (ya sean naturales o extranjeras).
- El tratamiento de datos personales que hayan sido recabados en el territorio nacional.
Con el fin de garantizar no solo el derecho a la privacidad sino también a la intimidad, las LPD contemplan dos categorías de información:
Datos personales: toda información que permita identificar a una persona. Ejemplo: nombre, cédula de identidad, número de inscripción fiscal, sexo, fecha y lugar de nacimiento, teléfono, domicilio, localización vía GPS, datos de tarjeta o banco, fotografía retrato, historial médico, hábitos de consumo, dirección IP (Protocolo Internet) cookies, etc.
Datos sensibles: información que identifique el origen racial o étnico, convicción religiosa, opinión política, afiliación sindical u organización de carácter religioso, filosófico o político, datos referentes a la salud o vida sexual, datos genéticos o biométricos, cuando se vincule a una persona natural.
¿Qué es la protección de datos?
La protección de datos es una parte importante de la gestión de la seguridad de la información. Consiste en una serie de normas y procedimientos que tienen por objeto garantizar la inviolabilidad de la información, en particular, de los datos personales sensibles de la organización.
El buen gobierno de la seguridad y la protección de datos debe trabajar en dos frentes: el control de acceso y confidencialidad de la información, y la prevención frente a ciberataques. De esta forma, el equipo de TI protege los datos de amenazas internas y externas.
En este sentido, la metodología “Privacy by Design” (PBD) puede ser una buena guía. Desarrollado en los años 90, el concepto fue incluido en el RGPD (Reglamento de Protección de Datos de la Unión Europea) y su lógica también forma parte de las LPD.
La propuesta central de PBD es incorporar la privacidad y protección de datos personales en todos los proyectos desarrollados por una organización, desde su inicio. Para ello, trabaja a través de 7 principios:
- Proactivo, no reactivo. Preventivo, no correctivo;
- Privacidad por defecto;
- Privacidad integrada en el diseño;
- Funcionalidad completa (suma positiva, no suma cero);
- Seguridad de extremo a extremo (protección de ciclo de vida completo);
- Visibilidad y transparencia;
- Respeto a la privacidad de los usuarios.
Además de Privacy by Design, otras herramientas pueden contribuir a la protección de datos en su empresa. Hablemos de 3 de ellos a continuación.
3 herramientas de protección de datos
Security Command Center
En general, Security Command Center es una plataforma de administración de riesgos y seguridad que se puede usar en Google Cloud Platform.
Por lo tanto, presenta 4 grandes ventajas para las organizaciones, a saber:
Visibilidad y control centralizados: le permite comprender la cantidad de proyectos, qué recursos se implementan y administrar qué cuentas de servicio se agregaron o eliminaron.
Posibilidad de descubrir errores de configuración y vulnerabilidades: reconozca errores de configuración y violaciones de cumplimiento en los recursos de Google Cloud y resuelva estos problemas siguiendo recomendaciones prácticas;
Crear informes y mantener el cumplimiento;
Detección de amenazas dirigidas a sus recursos de Google Cloud: encuentre amenazas dirigidas a sus recursos utilizando registros y el sistema de inteligencia de amenazas único de Google; use instrumentación a nivel de kernel para identificar posibles compromisos en contenedores.
Chronicle Security
Chronicle Security es un producto de centro de control y mando analítico de Google Cloud centrado en la protección cibernética.
El enfoque principal de Chronicle es crear una identidad de todo lo que pasa en su red, utilizando bloques de Machine Learning para comprender el comportamiento del usuario y también el comportamiento de las aplicaciones que pasan a través de la red de su organización.
Además, realiza telemetría creando inteligencia para tus analíticas.
En este punto, la integración con la herramienta de escaneo de información Virustotal, permite el uso de herramientas de investigación, caza y criminalística forense dentro de su red administrada por este centro de comando y control.
reCAPTCHA
reCAPTCHA es una herramienta enfocada en proteger su frontera: cuando su aplicación o sitio web va a recibir autenticación de usuario final, reCAPTCHA protege su entorno.
De esta manera, asegura que solo los usuarios válidos puedan completar el registro o la carga de un archivo determinado, por ejemplo.
La herramienta utiliza el concepto de autogestión de Google Cloud Enterprise para admitir cualquier escala de trabajo.
Por ejemplo: reCAPTCHA puede respaldar una operación en la que necesita abrir un formulario de registro para un millón de abogados.
Protegiendo la infraestructura de su organización de HTML a todo el contenido que pasa por esa página. Garantizar que se verifique la identidad de cada usuario final.
Además, reCAPTCHA le permite determinar si es necesario el uso de un segundo factor de autenticación, si se impedirá el paso de datos o incluso si se impedirá que este interagente acceda a la red de su organización.
Todas estas instancias de análisis tienen lugar en el entorno de la nube, sin siquiera llegar al límite del entorno local.
El reCAPTCHA, entonces, evitará transacciones fraudulentas, intentos de ingreso de robots/sintéticos, además de gestionar el control de lavado y mal uso de su información como la minería.
Garantizando así que solo los usuarios legítimos pasen a su entorno local.
Cómo usar los datos correctamente
Ahora que ya conoces las herramientas ideales para llevar a cabo la Protección de Datos, ¿qué tal si empiezas a utilizarlas de la mejor manera?
Los datos pueden ser una rica fuente para impulsar la innovación y mejorar la experiencia del cliente. ¿Quieres saber cómo? ¡Descarga la guía de Google Cloud “4 pasos para la innovación basada en datos” y descúbrelo!