La privacidad de la información
El Día de la privacidad de la información sirve para recordar una de las responsabilidades más importantes de cualquier empresa: mantener a salvo los datos confidenciales.
Los consumidores cada vez saben más sobre la información que se recoge sobre ellos, cómo se utilizan esos datos y de qué manera ponen en peligro esa información las vulneraciones de seguridad que se producen diariamente. Por consiguiente, para mantener la confianza de los consumidores (y seguir cumpliendo las normativas vigentes), es imperativo que las empresas hagan de la seguridad su máxima prioridad.
El año pasado se produjo un cambio fundamental en la forma en que las empresas llevan a cabo sus actividades, ya que la mayoría se vio obligada a cambiar rápidamente a un modelo de trabajo en remoto debido a la pandemia mundial de la COVID-19. Ahora que ha empezado la distribución de la vacuna, algunos pueden pensar que es solo cuestión de tiempo antes de que se reanude el trabajo ‘normal’ en la oficina. Sin embargo, no creemos que ocurra esto. En lugar de eso, veremos una combinación permanente de trabajo a distancia y presencial, así como empleados móviles cuyos espacios de trabajo cambian constantemente. Las empresas deben estar preparadas para continuar operando de esta forma a la vez que se cercioran de que los datos están seguros, sin importar dónde o cómo se acceda a ellos.
Lamentablemente, muchas empresas carecen de las capacidades necesarias para lograr lo anterior y dependen de herramientas obsoletas diseñadas para trabajar en las instalaciones, que no ofrecen la granularidad que se necesita hoy en día. Para hacer frente a estos desafíos, es necesario tomar algunas medidas. En primer lugar, las empresas deben tener un inventario de datos preciso. Este paso es fundamental para cumplir las normativas de privacidad de datos, incluido el Reglamento General de Protección de Datos (RGPD) en Europa y la Ley de Privacidad del Consumidor de California (CCPA) en Estados Unidos; porque, si las empresas no conocen la información que tienen o a dónde va, entonces no pueden protegerla adecuadamente. Lo que se necesita es un conjunto de registros exhaustivos que rastreen toda la actividad de los archivos, los usuarios, las aplicaciones y la web para revelar todo lo ocurre con los datos de los consumidores.
A continuación, las empresas deben proteger el acceso a la información de los consumidores, así como los diversos sistemas que la almacenan. Esto puede resultar más difícil en el caso de las compañías mal preparadas para adoptar las tecnologías de la nube y otras capacidades de trabajo a distancia, ya que los datos de los consumidores pueden ser potencialmente accesibles a través de numerosas aplicaciones y en varios dispositivos. Para hacer frente a este problema, las empresas pueden exigir que los empleados que intenten acceder a los datos de los consumidores estén autenticados mediante el inicio de sesión único (SSO), así como mediante la autenticación de múltiples factores (MFA). Esto ayudará a garantizar que solo los usuarios legítimos y autorizados puedan tener acceso a la información de los consumidores.
Por último, las empresas deben tener un conocimiento profundo de las jurisdicciones de los datos y de cualquier reto de seguridad que pueda surgir después de migrar a la nube. Según estipulan algunas normativas de privacidad de datos como la CCPA, los datos solo se pueden almacenar o transferir cuando el estado tiene jurisdicción o existe un acuerdo para ello. Del mismo modo, en virtud del RGPD, toda la información de identificación personal debe estar protegida con políticas y procesos que permitan la auditoría y el cumplimiento. Para garantizar el cumplimiento, las empresas deben buscar soluciones de seguridad que permitan cifrar los datos de la nube (dondequiera que residan), manteniendo al mismo tiempo el control local de las claves de cifrado.
Además, son muy útiles las soluciones que permiten o deniegan dinámicamente el acceso basándose en factores contextuales como la ubicación del usuario, el tipo de dispositivo o el rol de trabajo, junto con las capacidades de prevención de pérdida de datos (DLP). Para facilitar la gestión y para que la seguridad sea rentable y uniforme, las empresas deben elegir una plataforma de seguridad única que integre todas estas capacidades en una sola solución.
Anurag Kahol de Bitglass
