Las herramientas de protección de datos funcionan prácticamente sin ningún contexto sobre de qué datos supuestamente protegen. Descubrimiento La protección de datos sensibles, confidenciales y regulados ha sido una prioridad para casi todos los CISO durante los últimos 10 años. En respuesta, el sector de la seguridad informática ha desarrollado una gama de soluciones para ayudar a descubrir y clasificar la información y así protegerla mejor. Sin embargo, estas soluciones se enfrentaban a un problema persistente: las herramientas de protección de datos funcionan prácticamente sin contexto sobre a quién pertenecen los datos que supuestamente protegen.
La importancia de proteger los datos personales y privados es cada vez mayor: no solo las revelaciones sobre filtraciones son casi cotidianas, sino que existe una creciente lista de normas y regulaciones de privacidad de datos que enfatizan la obligación de las empresas de proteger los datos que conservan sobre sus clientes y usuarios. Otras normas exigen controles adecuados por parte de las empresas y un conjunto de procesos de respuesta y notificación ante filtraciones para los usuarios y clientes afectados por la exposición de sus datos privados.
Ahora que las preocupaciones por la privacidad son primordiales tanto para los consumidores como para las empresas, que se ven obligadas a cumplir nuevos requisitos de cumplimiento, la pregunta con la que muchos luchan es: ¿cómo puedo proteger la privacidad de mis clientes si no sé nada sobre los datos que estoy protegiendo?
El entorno ha evolucionado para centrarse más en la privacidad, pero las herramientas de protección de datos aún no se han adaptado a este cambio. Las soluciones de seguridad informática se han centrado en construir muros alrededor de la información y garantizar su cifrado a menos que se autorice el acceso. Cortafuegos en la periferia, agentes en el servidor, puertas de enlace frente al servidor, IPS, antivirus, DLP, IPS, SIEM, EDR, UEBA, PIM, IAM, SSO... la lista continúa. Aun así, una pregunta fundamental sigue sin respuesta: ¿de quién son los datos y cuál es su relevancia? ¿Se trata del número de seguro social de un cliente? ¿De un empleado? ¿De una persona cualquiera? ¿De un niño? ¿De un residente extranjero?
Hay un elemento clave que falta en la protección de datos actual: conocer la identidad de los datos, o quién es el "sujeto de datos", como lo denominan los profesionales de la privacidad y las normativas. ¿Por qué es útil conocer la identidad de los datos? Aquí hay cinco razones breves:
1. Precisión mejorada
La mayoría de las herramientas de protección de datos actuales se basan en expresiones regulares para identificar información personal y sensible, como un número de la Seguridad Social (SSN) o un número de tarjeta de crédito. El problema es que lo que parece un SSN no siempre lo es. Podría ser un número de teléfono de 9 dígitos y guiones. Sin embargo, si sabe que un SSN pertenece a un cliente o empleado suyo, sabe que está viendo un SSN real.
2. El contexto de identidad define la sensibilidad
La información de identificación personal (PII) se considera sensible solo en el contexto de un usuario específico. Información personal como género, religión, edad, rutas para correr, preferencias de compra, dirección residencial... toda esta información es sensible solo si puede vincularse a una persona específica. Las herramientas actuales de protección de datos no pueden analizar si un archivo o registro que contiene información sobre el género, la altura y el peso de una persona son atributos de un cliente específico. No existe ninguna expresión regular ni algoritmo de aprendizaje automático que pueda determinarlo sin saber de quién son los datos. Para ello, se necesita la identidad de los datos.
3. Plan de respuesta ante infracciones
Debe asumir que va a sufrir una vulneración de seguridad. Por eso, 25 estados de EE. UU. y el inminente RGPD exigen que cuente con un plan de respuesta ante vulneraciones y que pueda notificar a sus clientes en caso de una vulneración en un plazo de 72 horas. A menos que desee notificar a todos sus clientes cuando descubra una vulneración de seguridad en un centro de datos o una base de datos, necesita saber dónde se almacenan los datos de cada cliente. Además, si obtiene un volcado de datos de registros personales pirateados y desea saber cuáles de sus clientes se vieron afectados para poder notificarles o, al menos, pedirles que restablezcan sus contraseñas, debe poder correlacionar dicho volcado de datos con los datos de sus clientes. Esto requiere, nuevamente, conocer la identidad de los datos.
4. Respeto de los derechos del titular de los datos
Si bien el término "derechos del titular de los datos" suele asociarse con el Reglamento General de Protección de Datos (RGPD) de la UE, el principio de la propiedad de los datos del consumidor está ampliamente arraigado en EE. UU. a través de diversas regulaciones existentes, como la HIPAA, y se enfatiza cada vez más en las nuevas normas emitidas por la FTC y la FCC. Los derechos del titular de los datos se refieren a un conjunto de derechos que tienen las personas con respecto a sus datos personales y las limitaciones sobre cómo los proveedores de servicios, agencias gubernamentales y otros organismos los recopilan y procesan. Esto incluye el derecho a saber qué datos se almacenan sobre usted, el derecho a acceder a ellos, así como el derecho a borrarlos o modificarlos. No poder satisfacer y honrar estos derechos puede traducirse en fuertes sanciones, hasta el 41% de los ingresos globales según el RGPD. Para que una organización pueda satisfacer estos derechos, debe saber dónde residen los datos de cada individuo. Abordar los derechos del titular de los datos requiere conocer la identidad de los datos.
5. Determinar la residencia y la soberanía de los datos
La aplicabilidad de muchas normativas de protección de datos depende de la residencia de las personas. En particular, la aplicabilidad del RGPD depende de la residencia de la persona en la UE, pero ahora también en Rusia, China y otros países. Esto significa que, si procesa datos de residentes de estos países, está sujeto a sus normativas de protección de datos. ¿Cómo puede saber qué sistemas de datos almacenan los datos de cada residente? De nuevo, necesita conocer la identidad de los datos.
Las herramientas de protección de datos existentes deben adaptarse a estos nuevos requisitos para poder abordar las necesidades de privacidad. En la práctica, esto requiere crear un inventario de datos personales de sus clientes que indique dónde se almacenan los datos personales de cada individuo. La buena noticia es que contar con este tipo de inventario no solo puede mejorar la privacidad y la seguridad, sino que también puede ayudarle a monetizarlos.
Las herramientas de protección de datos existentes deben adaptarse a estos nuevos requisitos para poder abordar las necesidades de privacidad. En la práctica, esto requiere crear un inventario de datos personales de sus clientes que indique dónde se almacenan los datos personales de cada individuo. La buena noticia es que contar con este tipo de inventario no solo puede mejorar la privacidad y la seguridad, sino que también puede ayudarle a monetizarlos.
Autor
