Por Dotan Nahum, Jefe de Seguridad para Desarrolladores en Check Point Software.
Volvamos a 2018, cuando el escándalo Facebook–Cambridge Analytica cambió el mundo para siempre. Reveló años de uso indebido de datos y abrió el telón sobre las realidades de la seguridad, la privacidad y la propiedad de la información en las Big Tech, algo que, comprensiblemente, a muchos usuarios les resultó difícil de comprender.
Avancemos rápidamente a nuestra era postpandemia, donde el trabajo remoto y la incertidumbre macroeconómica han empujado a las empresas a entornos de nube y a la transformación digital a la velocidad del rayo. Si bien esta aceleración ha sido excelente para el crecimiento empresarial (y para superar la mina terrestre de eventos globales inesperados), la protección de datos ha pasado a un segundo plano.
Pero como las cicatrices de la historia entre Facebook y Cambridge Analytica aún son profundas, los clientes tienen una política de tolerancia cero ante el incumplimiento de las regulaciones sobre datos y la avalancha de disculpas que podrían acompañarlas. Sin embargo, ¿por qué el 75% de los expertos en TI todavía se preocupan por los estándares de cumplimiento? ¿Es esto una señal de que no estamos integrando efectivamente la privacidad y seguridad de los datos en nuestras empresas, a pesar de las continuas preocupaciones y escrutinio?
Seguridad de datos versus privacidad de datos: dos caras de la misma moneda
Definir los objetivos centrales de cada concepto es el primer paso para comprenderlos. La seguridad de los datos gira principalmente en torno a la protección de los datos contra accesos no autorizados, infracciones y amenazas. Abarca tecnologías, prácticas y protocolos para garantizar que los datos permanezcan confidenciales, intactos y disponibles para quienes tienen acceso legítimo, incluidos, entre otros, sistemas de cifrado y detección de amenazas.
Por otro lado, la privacidad de los datos se ocupa del manejo legal y ético de la información personal, verificando que se respeten los derechos de los individuos sobre los datos. Además de medidas técnicas y protocolos administrativos, la privacidad de los datos utiliza controles físicos como tarjetas de acceso, datos biométricos y vigilancia en el lugar de trabajo para proteger contra ataques cibernéticos y errores humanos.
La privacidad y la seguridad de los datos están lejos de ser mutuamente excluyentes. Juntos, crean un enfoque holístico para salvaguardar los datos, garantizando que estén protegidos contra el acceso no autorizado y que no se utilicen de una manera que respete los derechos individuales y la privacidad. No hacerlo puede dañar gravemente la reputación de su organización y erosionar la confianza. Después de todo, es más probable que los clientes compartan información cuando sus datos se manejan de forma segura y ética, lo que demuestra que estos dos campos son las dos caras de la misma moneda.
Analizando los matices y las diferencias
Centrado en la tecnología versus centrado en el cumplimiento
La seguridad de los datos depende en gran medida de medidas técnicas para salvaguardar los datos, apoyándose en herramientas y estrategias como el cifrado, el escaneo de vulnerabilidades y la gestión de parches para fortalecer la ciudadela digital y proteger los datos de piratas informáticos y actores maliciosos. Por el contrario, la privacidad de los datos pone un énfasis significativo en el cumplimiento de las leyes y regulaciones para garantizar el manejo ético de los datos. Algunos de estos procesos incluyen anonimización de datos e informes de violaciones para garantizar el cumplimiento de diversas regulaciones, que incluyen:
- Reglamento General de Protección de Datos (GDPR)
- La Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA)
- La Ley de Privacidad del Consumidor de California (CCPA)
Prevenir violaciones frente a proteger los derechos individuales
Mientras que el objetivo principal de la seguridad de los datos es evitar violaciones de datos y acceso no autorizado (como frustrar ataques cibernéticos y mantener la confidencialidad, integridad y disponibilidad de los datos), la privacidad de los datos busca proteger los derechos de las personas garantizando que sus datos personales sean recopilados, procesados y almacenados de una manera que respete las leyes y regulaciones de privacidad.
Lo técnico versus orientado a políticas
La seguridad de los datos a menudo implica implementar y administrar soluciones técnicas, incluidos firewalls, cifrado y sistemas de detección de amenazas. Por ejemplo, adoptar soluciones que escaneen y monitoreen continuamente activos conocidos y desconocidos para detener las filtraciones de datos antes de que ocurran. La privacidad de los datos está más orientada a las políticas y requiere que se establezcan políticas y procedimientos claros para el manejo, el acceso y la gestión del consentimiento de los datos.
Todos los tipos de datos frente a PII
Gracias al auge de los dispositivos IoT y el comercio electrónico, las interacciones digitales son la norma social y alientan silenciosamente a los usuarios a dejar un extenso rastro de información a su paso. Todos los tipos de datos caen bajo el paraguas de la seguridad de los datos, ya sean registros financieros, propiedad intelectual o bases de datos de clientes. Sin embargo, la privacidad de los datos se refiere particularmente al manejo de información de identificación personal (PII) y datos personales sensibles (utilizados para identificar, contactar o localizar a un individuo) de conformidad con las normas de privacidad.
Interconectados pero distintos
A menudo, los dos vienen como un paquete, ya sea que una organización reconozca la sinergia o no. Por ejemplo, las normas de privacidad exigen medidas de seguridad sólidas para demostrar que las empresas están haciendo todo lo posible para mantener los datos seguros; La confianza en el manejo de datos depende de ambos aspectos, ya que las violaciones erosionan la confianza y la reputación. Los controles de acceso y el cifrado establecen la base de la seguridad de los datos al limitar el acceso a los datos únicamente a usuarios autorizados. Al mismo tiempo, los mecanismos de seguridad de los datos, como firewalls, detección de intrusiones y auditorías de seguridad periódicas, fortalecen las defensas de la privacidad de los datos, protegiendo la información de posibles vulnerabilidades y ciberataques.
El desafío de una protección de datos eficaz no radica en priorizar o dividir los recursos entre medidas de privacidad y seguridad, sino en comprender que van de la mano.