Las políticas de protección de datos se pueden identificar como el conjunto de reglas y procedimientos vigentes y aplicables dentro del ámbito de autoridad de una organización.
Es decir, que éstas políticas de protección de datos están dirigidas a los usuarios que tienen acceso y utilizan datos personales, con el fin de garantizar la seguridad de esta información.
Además, no debemos olvidar que el artículo 39.1.b) de RGPD menciona de manera expresa como funciones del DPD “la supervisión del cumplimiento de las políticas del encargado en materia de protección de datos”.
Del mismo modo, y a partir de lo dispuesto en el artículo 32 RGPD, debemos entender que la obligación de aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado, corresponde tanto al responsable, como al encargado del tratamiento de los datos.
Resulta que las implicaciones y los costes de las brechas de seguridad de datos son noticia de primera plana y abarcan todo, desde la pérdida de puestos de trabajo hasta la pérdida de ingresos e imagen.
Sin duda, y a medida que el volumen y la proliferación de datos continúan creciendo, los enfoques de seguridad tradicionales ya no ofrecen la seguridad de datos necesaria.
Por eso es que algunas investigaciones citan las condiciones que seguirán desafiando a las organizaciones a salvaguardar sus datos y también aumentarán su responsabilidad para proteger su información.
Por lo tanto, y con estas condiciones, las organizaciones deben tener un conocimiento completo de sus datos confidenciales y su riesgo para garantizar el cumplimiento de las políticas y leyes de privacidad.
Resulta que con ello, las organizaciones deben supervisar cualquier actividad sospechosa, el acceso a datos no autorizados y remediar con controles de seguridad, alertas o notificaciones.
En consecuencia, se hace necesario el uso de algunas herramientas que ayuden a mitigar todo esto.
DATOS SENSIBLES
La definición de datos sensibles es bastante amplia y puede cambiar de un país a otro, de una organización a otra, o incluso de un individuo a otro.
En realidad, en algunos países, puedes encontrar que el número de la seguridad social se considera extremadamente sensible, al igual que todos los registros relacionados con información sobre la salud, sin embargo, en otros países algunos de estos datos no son sensibles.
Además, a nivel mundial, se suele aceptar que datos como los de la tarjetas de crédito o de débito son datos confidenciales, explícitamente el número de la tarjeta y los detalles acerca del PIN y los códigos de seguridad.
De todos modos, cada organización tiene ciertos datos que clasifican como sensibles. Por ejemplo, los detalles sobre el salario de los empleados se pueden considerar datos sensibles.
También la propiedad intelectual o datos sobre investigaciones, se consideran, por su naturaleza, datos sensibles.
Por consiguiente, podríamos decir que los datos sensibles son aquellos que deben protegerse del acceso no autorizado para salvaguardar la privacidad o seguridad de un individuo o de una organización.
Esta información confidencial se puede clasificar en tres tipos principales:
-Información personal.
La información personal identificable (PII), es información con la que se puede rastrear a un individuo y que si se divulga podría resultar en un perjuicio para esa persona.
Es decir, esa información puede incluir datos biométricos, datos médicos, información financiera personalmente identificable, identificadores únicos tales como el pasaporte o los números de la Seguridad Social, etc.
Claro que las amenazas pueden incluir no sólo delitos tales como el robo de identidad sino que también se pueden utilizar para divulgar información personal de un individuo que prefiere que siga siendo privada.
-Información de negocio.
Los datos sensibles de un negocio incluyen cualquier dato que suponga un riesgo para una compañía si son descubiertos por un competidor o por el público en general.
Es decir, dicha información incluye secretos comerciales, planes de adquisición, datos financieros, información de proveedores e información sobre sus clientes, entre otras muchas posibilidades.
Sin duda, y con la cada vez mayor cantidad de datos que son generados por los negocios, los métodos para proteger la información corporativa de accesos no autorizados se están volviendo parte integral de la seguridad de las compañías.
Por ejemplo, estos métodos incluyen gestión de metadatos, encriptación de datos y otros métodos de enmascaramiento de datos.
-Información clasificada.
La información clasificada suele pertenecer a un organismo de la Administración y se restringe de acuerdo a un nivel de sensibilidad definido.
Por ejemplo, en algunos países esta información se puede clasificar como restringida, secreto confidencial, secreto o alto secreto.
En realidad, la información generalmente se clasifica para proteger su seguridad.
De todas formas, una vez el riesgo de daño ha pasado o ha disminuido, la información clasificada puede ser desclasificada y posiblemente hecha pública.
DATOS SENSIBLES EN ENTORNOS NO PRODUCTIVOS
Los datos sensibles forman parte de la práctica comercial normal de todas las empresas.
Sin embargo, permitir que los datos confidenciales de las aplicaciones de producción se copien y utilicen para los entornos de desarrollo y prueba aumenta el potencial de robo, pérdida o exposición, lo que aumenta el riesgo de la organización.
Por eso, el desarrollo de nuevos sistemas de TI es una forma común de mejorar la eficiencia o ampliar las capacidades de un negocio.
Es decir, que los desarrolladores necesitarán esos datos para analizarlos y comprender los problemas de compatibilidad.
Del mismo modo, es importante probar el nuevo sistema para garantizar que los desarrolladores implementan el sistema correctamente.
En efecto, se necesitan datos para probar el sistema.
Además de las pruebas que sirven para el proceso de desarrollo, también es común que el sistema deba mostrarse a otras personas (gerentes, inversores, socios, clientes, etc.) y una demostración realista también requiere datos.
Y aunque robar datos de su entorno de producción puede ser una tarea seriamente difícil, robarla de entornos no productivos podría ser tan simple como irse con el portátil de un desarrollador mientras está durmiendo en el tren de vuelta a casa.
El entorno puede haber cambiado, pero los datos no: siguen siendo valiosos.
Ya que los entornos no productivos no son tan seguros como los entornos de producción, son una puerta trasera, lo que hace que la seguridad de producción sea inútil. Por ejemplo:
- Las empresas de venta minorista comparten los datos de sus diferentes puntos de venta con investigadores de mercado para poder analizar los patrones de compra de sus clientes.
- Las organizaciones farmacéuticas y de salud comparten datos de los pacientes sobre investigaciones médicas para evaluar la eficiencia de los tratamientos médicos y los ensayos clínicos.
PROTEGER LOS DATOS
Como resultado de todo lo anterior, en las organizaciones copian decenas de millones de datos de clientes y consumidores a entornos que no son los de producción, y no muchas compañías hacen algo para proteger estos datos, incluso cuando comparten los datos con personal externo u otras empresas.
Resulta que numerosos estudios de la Industria de la privacidad de datos han concluido que las compañías no hacen mucho por impedir que los datos sensibles puedan caer en manos de malhechores.
Casi una de cada cuatro compañías dice que alguna vez ha perdido datos reales, o que se los han robado, y hasta un 50% dice que no tienen forma de saber si los datos que no están en producción pueden haber visto comprometidos alguna vez.
En consecuencia, la protección de la información es vital en entornos que no son los de producción y se ha convertido en una de las tareas más críticas de los últimos años.
No obstante, podemos ponerle solución a estos problemas, con técnicas como el enmascaramiento de datos sensibles, que reemplaza los datos reales con otros que son realistas y permite que puedan ser utilizados con seguridad en entornos de desarrollo, de pruebas, socios externos, empresas colaboradoras y otros fines diferentes a los de producción.
Por lo visto, ha habido casos donde los datos críticos de clientes, cuando se han perdido, han causado que una organización se enfrente a demandas y que tengan que gastar cientos de miles de euros o incluso millones para mitigar el problema.
En efecto, se trata de un coste enorme para cualquier organización en el caso de que durante un evento desafortunado se pierdan datos críticos de clientes.
Por ejemplo, tenemos las normas PCI, las cuales son unos estándares de seguridad formulados para mejorar la seguridad de los datos de cuentas y tarjetas.
Las empresas que fundaron esta organización son algunas de las más conocidas de ese sector, como American Express, MasterCard y Visa.
Resulta que los estándares PCI tienen requisitos específicos que se ocupan de la seguridad de los datos. Algunos de esos requisitos dicen que los números de cuenta y números de tarjeta no se pueden utilizar en pruebas o entornos que no sean los de producción.
Sin embargo, la parte más difícil de esto es la implementación.
¿Cómo se puede desarrollar y probar una aplicación si no dispones de datos con los que probarla?
La solución es el enmascaramiento de datos.
Por lo visto, con estas técnicas, los equipos de pruebas de aplicaciones pueden simular pruebas sin utilizar realmente los datos más sensibles de las tarjetas de crédito de sus clientes.
En relación con estas posibles fugas, o pérdidas de información, durante los próximos días, vamos a exponer diferentes ejemplos de políticas de protección de datos que deberías implantar en tu empresa.
Esperamos que os sean de utilidad.