Cada día, los consumidores y los usuarios confían la seguridad de su información de identificación personal (PII) a su organización. Como líder empresarial, es su responsabilidad garantizar que los datos personales se gestionen de forma ética y de conformidad con las normativas globales.
Al mismo tiempo que piensa en la privacidad y la seguridad de los datos, también existe una necesidad insaciable de los datos que impulsan las decisiones empresariales, algunas de las cuales también pueden estar cubiertas por las normativas de privacidad de datos. ¿Cómo se extrae de forma segura la PII para obtener información sobre el negocio y el mercado, al tiempo que se garantiza que se identifica y protege en toda la empresa?
En este artículo se analiza el estado actual de las normativas de privacidad de datos, por qué se trata de un problema de nivel C y las preguntas que los líderes empresariales deben plantear sobre cómo se manejan y utilizan los datos en la organización.
EL ESTADO ACTUAL DE LAS REGULACIONES DE PRIVACIDAD DE DATOS
Si bien puede parecer que el GDPR es una “vieja noticia”, la realidad es que la regulación se está aplicando con fuerza. Según la última encuesta de violación de datos de GDPR de DLA Piper, los reguladores de protección de datos han impuesto €114 millones en multas bajo el régimen GDPR, ya que entró en vigor el 25 de mayo de 2018, para una amplia gama de infracciones GDPR.
Desde entonces se han promulgado otras regulaciones de datos, como la Ley de Protección al Consumidor de California (CCPA, por sus inglés), que comenzó a hacer cumplir las medidas del 1 de julio de 2020. La Ley de Derechos de Privacidad de California (CPRA) estará en la boleta electoral en noviembre de 2020 y modificará el CCPA con derechos, regulaciones y definiciones más amplias de datos personales.
Mientras tanto, las empresas estadounidenses de varias industrias deben seguir cumpliendo con las regulaciones existentes de privacidad de datos, tales como:
- HIPAA – (Ley de Portabilidad y Responsabilidad del Seguro Médico)
Legislación que proporciona disposiciones de privacidad y seguridad de datos para salvaguardar la información médica. - HITECH (Health Information Technology for Economic and Clinical Health) – Parte de la Ley De Recuperación y Reinversión Estadounidense de 2009 (ARRA) con un alcance más amplio de privacidad de datos que la HIPAA.
- PCI-DSS (Payment Card Industry Data Security Standard) – Normas que cubren el manejo seguro de los datos del titular de la tarjeta para prevenir violaciones y promover la confianza del consumidor.
- Otras regulaciones estatales – En ausencia de una ley federal de privacidad de datos, 25 estados adicionales tienen diferentes niveles de regulación. Entre ellos, Nueva York y Massachusetts tienen algunas de las protecciones más fuertes.
¿POR QUÉ LA PRIVACIDAD DE DATOS ES UN PROBLEMA DE NIVEL C?
Ya sea debido a un ataque malicioso o criminal, un error humano relacionado con un correo electrónico de phishing, o una avería en un sistema de TI o proceso de negocio, las infracciones ocurren. No son solo los datos personales los que están en riesgo; otros tipos de datos confidenciales podrían causar daños si son exfiltrados por un adversario. Los datos confidenciales se extienden a:
- información financiera
- contratos con clientes y proveedores
- ficheros de personal
- propiedad intelectual
- internos comunicaciones
- secretos comerciales
- nuevos planes de productos
- precios y propuestas
- cualquier otra cosa que pudiera dañar su negocio si cayera en manos equivocadas
Todos hemos visto los sensacionales titulares sobre las filtraciones masivas de datos, y la filtración de datos ha continuado a un ritmo creciente en 2020. Según el informe global Data Breach QuickView Report para el primer trimestre de 2020, el número de registros expuestos en el primer trimestre de 2020 aumentó un 48% en comparación con el primer trimestre de 2019. Y, once de esas infracciones expusieron más de 100,000,000 registros cada uno, diez de ellos debido a bases de datos o servicios mal configurados.
Incluso las pequeñas brechas pueden causar daño, pero las que acaparan los titulares pueden resultar en daños irreparables en áreas como:
- Credibilidad y confianza de la marca — la recopilación inmediata de datos de clientes le da responsabilidad fiduciaria por esa información. Esta es una de las razones por las que las violaciones de datos hacen tanto daño: son una traición a la confianza.
En la encuesta Edelman Brand Trust de 2019, se observó que es difícil para las marcas recuperar la confianza después de que la confianza de los consumidores se haya debilitado. Después de que una marca muestra un comportamiento poco ético o sufre una controversia, el 45 por ciento de los consumidores dijeron que la marca nunca sería capaz de recuperar su confianza, mientras que el 40 por ciento dijo que dejaría de comprar de esa marca por completo.
- Consecuencias legales — Además de multas significativas que podrían ser impuestas por la aplicación de la protección de datos y las autoridades gubernamentales, hay una población litigiosa dispuesta a demandar por daños y perjuicios.
Los costos legales de la lucha contra el procesamiento son sustanciales, por no hablar de distraer mucho para los altos ejecutivos que también están tratando de dirigir el negocio. Las demandas colectivas pueden dar lugar a acuerdos de mega millonarios que seguramente serán un éxito para los resultados de la compañía.
- Costo — El costo de detectar y responder a una violación de datos puede ser considerable. Según el último informe de costo de una violación de datos de IBM y el Instituto Ponemon, el costo promedio global de una violación de datos es de $3,86 millones, pero en los Estados Unidos, el costo promedio es de $8,64 millones. Esta cifra es para una violación bastante pequeña de unos 25,000 registros. Tiene en cuenta la pérdida de negocio y el coste de las actividades de respuesta en categorías que incluyen detección de infracciones, escalado, notificación y respuesta posterior a la infracción. También considere que, si los empleados están trabajando en la mitigación de las infracciones, no están trabajando en otras cosas, por lo que la productividad se verá afectada.
PREGUNTAS QUE DEBE HACER SOBRE SUS DATOS
Ahora que entiende por qué los líderes empresariales deben asumir un papel activo en materia de privacidad de datos, deberá confiar el desarrollo y la ejecución de una estrategia de seguridad de datos a sus equipos técnicos. Estas son algunas preguntas que usted debe hacer a sus gerentes de nivel superior como parte de sus responsabilidades de gobierno:
¿Entendemos las regulaciones de privacidad de datos pertinentes en todo el mundo y cómo cumplirlas? – Dependiendo de su geografía e industria, es posible que tenga regulaciones más estrictas que requieren adherencia. Comprender el alcance de sus requisitos legales es un buen lugar para comenzar a la hora de formular una estrategia que abarque todas las protecciones que necesitará.
¿Qué datos tenemos y dónde residen en nuestra organización? – Este es especialmente importante si está almacenando datos en varios servidores, tanto en las instalaciones como en la nube. Y no solo mire los datos de producción, ya que sus datos confidenciales también pueden residir en entornos que no son de producción, como bases de datos de desarrollo o prueba, copias de seguridad fuera del sitio, servidores de informes y otros repositorios. Un actor malintencionado no tendrá que atacar los datos de producción si hay instancias menos protegidas disponibles.
¿Cuáles son las amenazas potenciales a nuestros datos? – realizar una evaluación realista de la amenaza y poner en marcha estrategias de mitigación para los escenarios potenciales. Los internos involuntarios siguen siendo una de las principales causas de las filtraciones de datos cuando responden a un correo electrónico de phishing, pierden su tarjeta de clave, son laxos con la seguridad de la contraseña o por una amplia variedad de razones.
¿Cómo nos aseguramos de que nuestras prácticas de desarrollo de aplicaciones y bases de datos se adhieran a estándares de codificación seguros? – Los desarrolladores de aplicaciones y bases de datos a menudo toman la ruta rápida y fácil a la codificación, especialmente cuando están bajo presión. ¿Se enseñan y promueven prácticas de codificación seguras y seguridad mediante principios de diseño dentro de la organización? ¿Dispone de mecanismos para garantizar que se cumplan los estándares de codificación? Asegúrese de trabajar con un responsable de protección de datos (GDPR) o un experto similar que pueda proporcionar orientación independiente para garantizar que su empresa cumple con las normativas de privacidad de datos adecuadas.
LA NECESIDAD INSACIABLE DE DATOS
El Big Data está impulsando las decisiones empresariales cotidianas, haciendo que sea necesario extraer, transformar y cargar datos de un repositorio a otro para su análisis. Esta tarea se ha vuelto más compleja debido a la diversidad de orígenes de datos y tipos de datos en uso hoy en día. La presión está en los equipos de analistas para preparar conjuntos de datos para informes y análisis y suministrarlos a los usuarios empresariales de toda la organización.
El cumplimiento normativo no debe ser un obstáculo para la innovación, pero la necesidad de datos en tiempo real debe equilibrarse con los requisitos y obligaciones de privacidad de datos, tanto para el negocio como para sus clientes. Como líder empresarial, depende de usted establecer los objetivos de seguridad de datos, crear las políticas que los respalden y proporcionar las herramientas para aplicarlos.
Al abordar los problemas relacionados con la protección de datos personales y confidenciales, también está protegiendo a su empresa contra el incumplimiento, las sanciones financieras, la productividad deteriorada y el daño a su reputación.
Por Jesús García, Country Manager de Quest Software en México