Ciberseguridad: Decisión organizacional más allá de normativas, leyes y estándares
Actualmente, se están desarrollando reglamentos y normativas de protección de datos personales, como la Ley General de Protección de Datos, LGPD, en Brasil, por ejemplo, que se encuentran en trámite y están vinculadas al Reglamento General de Protección de Datos, o GDPR, de la Unión Europea.
En Chile, se espera que la ley de protección de datos personales sea aprobada en marzo de 2020 y entre en vigencia un año después. En paralelo, las empresas se encuentran en fase de mapeo de procesos y realizando las modificaciones necesarias para dar cumplimiento a la ley.
Adaptarse a este nuevo escenario será muy difícil para la región, pues los datos están repartidos en muchas bases. En este escenario, el Data Protection Officer, DPO, tendrá la difícil tarea de seguir el dato en todo su periplo para asegurar su integridad y seguridad.
Creemos que, durante los primeros meses de aplicación de las nuevas leyes, y a la luz de las primeras sanciones, las empresas comenzarán a requerir más servicios complementarios de ciberseguridad, los que son clave para mejorar los procesos de comunicación y respuesta ante incidentes, y ayudar a las organizaciones a madurar su estrategia de seguridad.
No olvidemos uno de los conceptos que está detrás de la GDPR: buscar que las organizaciones se ocupen proactivamente de la protección de datos personales, mediante medidas de ciberdefensa en toda la cadena de servicio que soporta el negocio.
Podríamos enumerar una larga lista de ataques que han sido producto de brechas de seguridad, pero la verdad es que la mayor parte de los incidentes que afectan la privacidad personal han sido por mal manejo de la información personal dentro de las empresas.
Miles de datos privados se encuentran esparcidos en toda la organización dentro de bases de datos, planillas Excel y correos electrónicos, quedando disponibles para usuarios internos que, sin el debido control y ética, pueden ser exfiltrados, consciente o inconscientemente, a terceros. En este contexto se han registrado exfiltraciones de datos bancarios y médicos.
Desde una perspectiva del actual riesgo tecnológico, las organizaciones tienen un manejo bastante básico en el control de vulnerabilidades conocidas; cuentan con procesos muy básicos de resolución de vulnerabilidades, y han enfocado sus esfuerzos en reforzar su seguridad perimetral, dejando muchas brechas de seguridad en su red interna. Hoy la principal fuente de ataque utiliza vectores que logran burlar los controles perimetrales, muchas veces utilizando técnicas de ingeniería social o simplemente el phishing como técnica para llegar directamente a los usuarios.
La GDPR pone el tema de la protección de datos personales en la agenda legislativa, permitiendo discutir el tema y darle la relevancia que tiene.
El problema es que las organizaciones están aún a la espera de la promulgación de la ley para comenzar a actuar. Esto traerá muchas preocupaciones a los directorios de las compañías, dado el actual nivel de madurez en ciberseguridad, la complejidad que requerirá el cambio en el manejo de los datos y los nuevos roles aún en formación. El resultado será un largo camino en las organizaciones para lograr tomar el desarrollo de un programa de ciberseguridad que permita cumplir con todas las dimensiones que contempla la GDPR.
Sin embargo, no todo es negativo, pues contar con una ley que dé cumplimiento local de protección de datos permite ir elevando el nivel de confiabilidad en la economía, lo cual trae el interés de los inversionistas que buscan países que cuenten con niveles de madurez en protección de datos personales. Es importante también que las distintas normativas dialoguen entre sí, utilizando idealmente los mismos estándares y políticas de seguridad afines.
Carlos Gaule
Director de Ciberseguridad de SONDA
