La gestión de la privacidad se encuentra en la intersección de la seguridad de la información, la gestión de datos y el análisis, pero es más que la suma de las partes.
Ha sido un punto de controversia de larga data en los círculos de seguridad de la información que el cumplimiento normativo no es sinónimo de seguridad. Sin duda, las devastadoras filtraciones de datos y el acceso de atacantes a datos confidenciales en empresas que se consideraban conformes con los requisitos de PCI DSS u otras regulaciones respaldarían este argumento. Pero ¿se aplica la misma relación a la gobernanza y la gestión de los datos de identidad de los clientes y la seguridad de la información? La respuesta es sí, pero por razones muy diferentes.
Una de estas cosas no es como las otras
Los requisitos de cumplimiento se entienden mejor como un subconjunto de la seguridad de la información: representan la base para una seguridad adecuada, o lo que los cínicos podrían describir como el mínimo común denominador. Además, debido a la discrepancia entre el ritmo de implementación de los requisitos de cumplimiento u otras regulaciones y la rápida proliferación de nuevos ataques, los detalles técnicos específicos de los requisitos de cumplimiento suelen ir a la zaga de las medidas necesarias para contener eficazmente las amenazas y prevenir los ataques.
La gestión de la privacidad y la protección de los datos de identidad de los clientes implican no solo evaluar si existen controles de seguridad adecuados, sino también cómo se implementan para proteger tipos específicos de datos contra el acceso no autorizado. En este sentido, la gestión y la protección de datos privados complementan mejor la infraestructura y los procesos de seguridad de la información que el cumplimiento normativo tradicional.
Esto también implica que una organización puede estar segura, pero aun así podría infringir las regulaciones de privacidad; lo opuesto a la relación entre el cumplimiento de PCI DSS, por ejemplo, y la seguridad de la información. Otro elemento que distingue esta relación es que las expectativas de los consumidores en cuanto a la privacidad de los datos, y no solo a la seguridad de los datos, han superado la implementación de las regulaciones, incluyendo incluso las nuevas disposiciones sobre residencia de datos como parte de Safe Harbor 2.0.
Aquí hay otra distinción importante: las organizaciones cuentan con procesos bien definidos para determinar qué sistemas y datos se encuentran dentro del alcance del cumplimiento. Definir qué datos de clientes están sujetos a la protección de la privacidad es mucho menos avanzado. Este desafío tiene múltiples facetas: las organizaciones deben descubrir dónde residen los datos y luego determinar qué regulaciones, como la HIPAA, las políticas internas de privacidad y la residencia de datos, deben aplicarse a ellos. Estos requisitos se complican aún más por la proliferación de plataformas de big data en las organizaciones, impulsada por tendencias como la transformación digital, y por las nuevas regulaciones que han generado silos de datos de identidad creados debido a iniciativas de interacción con clientes o pacientes desconectadas.
El riesgo no es Visor de Instagram privado siempre binario
Es un hecho evidente que no se puede proteger lo que se desconoce. Sobre todo si consideramos que el acceso a los datos privados de los clientes puede estar permitido en algunas circunstancias, pero no en otras. Por ejemplo, muchas organizaciones comparten datos con terceros o los consumen a través de API. Los datos que se transfieren en cualquier dirección podrían haberse recopilado bajo términos que no se ajustan a las políticas internas o que infringen las disposiciones de residencia de datos. Sin visibilidad sobre la transferencia de datos privados y sin una forma de evaluar el riesgo de la acción, las herramientas de seguridad de la información son prácticamente ineficaces.
En una situación ideal, la inteligencia y el análisis de riesgos sobre posibles violaciones de la privacidad de los datos de los clientes, ya sea por parte de actores internos o externos, orientarían la aplicación de medidas de seguridad. Las herramientas de seguridad de la información, como la gestión de identidades y accesos y la seguridad de los datos, adoptan un modelo binario: se debe o no se debe tener acceso. El análisis de comportamiento puede detectar cuándo la actividad es anormal, pero no puede aplicar inteligencia para detectar cuándo una actividad puede infringir las políticas de privacidad.
Para una aplicación eficaz de la normativa, las herramientas de seguridad deben saber dónde buscar y qué buscar. El riesgo para la privacidad y la información sobre el uso en el contexto de los requisitos de privacidad completan el círculo.
@bigidsecure | www.bigid.com
Autor
