Desde que entró en vigor el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, más de 60 jurisdicciones alrededor del mundo han aplicado o propuesto regulaciones postmodernas de privacidad y protección de datos. Más recientemente en EUA, la Ley de Privacidad del Consumidor de California (CCPA) entró en vigor el primero de enero de este año.
De acuerdo con Gartner, en el 2023, el 65 % de la población mundial tendrá su información personal resguardada bajo regulaciones de privacidad modernas, un aumento de 10 % respecto al presente año.
La autoridad mexicana de protección de datos (conocida como “INAI”) es probablemente la autoridad de protección de datos más activa en América Latina, ya que, entre enero de 2012 y junio de 2017, impuso sanciones a las empresas que operan en México en 147 casos, por un monto de aproximadamente $16.7 millones de dólares.
Si bien las leyes mexicanas ofrecen flexibilidad y la posibilidad de autorregulación, es probable que México adopte, hasta cierto punto, disposiciones de protección de datos personales y seguridad comparables a las regulaciones europeas.
6 mejores prácticas para la privacidad y protección de datos
Hoy, los datos personales se encuentran en nuestros smartphones, en nuestros asistentes personales del hogar y distribuidos en las bases de datos privadas y públicas en los centros de datos y en la nube. Por lo tanto, la estrategia de seguridad de una compañía para proteger los datos tanto en tránsito como estáticos necesita también estar distribuida. Una estrategia de seguridad distribuida que también contemple la nube puede mejorar la capacidad de su compañía para proteger sus propios datos y los de los clientes, así como evitar problemas con las regulaciones
A continuación se muestran seis mejores prácticas que puede aplicar como parte de su estrategia de seguridad en general para las infraestructuras de TI híbridas:
1- Conozca sus fronteras de seguridad: ¿Sabe dónde termina la frontera de seguridad de su compañía y dónde empieza la de sus proveedores de servicios en la nube? El primer paso para una estrategia de seguridad distribuida integral es conocer las políticas y obligaciones de protección de datos de su compañía y las de su proveedor de nube. Trazar un mapa completo del panorama de seguridad de su compañía y de su proveedor de nube le puede ayudar a llenar los vacíos que podrían conducir a posibles amenazas.
2 – Implemente estratificación de datos: Puesto que no todos los datos se protegen de la misma manera, utilice una arquitectura de datos estratificada. Esto le permite definir niveles de control específicos para diferentes tipos de información con base en las políticas de seguridad de su compañía. La estratificación automática de los datos permite trasladar los datos entre diferentes niveles de almacenamiento para asegurar que los datos apropiados residan en la tecnología de almacenamiento adecuada con base en esas políticas. Por ejemplo, puede almacenar los datos PII localmente o en una nube privada donde tenga más control, acceso y visibilidad. Asimismo, debe “enmascarar” o filtrar los datos PII cuando los traslade a un ambiente donde tenga menor control.
3 – Centralice los controles de acceso de los usuarios: Proteja la identidad y acceso a los datos y aplicaciones a través de tokens OAuth centralizados para autorización. Los sistemas de identidad y control de acceso unificados pueden aplicar diferentes permisos de acceso en los sistemas locales y en la nube. Las compuertas de API también pueden simplificar la gestión de tokens de acceso de usuarios para las aplicaciones móviles empresariales y de consumo.
4 – Adopte controles de seguridad integrales y consistentes: Implemente políticas de seguridad consistentes para todas las aplicaciones y sus datos en múltiples niveles de datos, desde los dispositivos móviles y los servidores periféricos hasta los servidores de respaldo. Con controles de seguridad consistentes, puede aplicar sus políticas de seguridad de forma eficiente. Cuando se simplifica la aplicación de las políticas de seguridad, disminuye el riesgo de que los empleados las eludan. La implementación de controles consistentes también le permite supervisar las aplicaciones y las actividades de los usuarios en todas las plataformas para mitigar inmediatamente cualquier infracción.
5 – Utilice una protección de datos adecuada para la continuidad del negocio: Capture imágenes de sus computadoras y datos para las soluciones de respaldo y recuperación, disponibilidad y recuperación ante desastres. Guarde esas imágenes dentro de cajas fuertes en su centro de datos o en la nube. Para una protección eficaz contra los ataques de ransomware:
- Realice pruebas de recuperación a un momento dado por medio de herramientas y algoritmos probados
- Asegúrese de que las claves y los datos de respaldo cifrados no se guarden en el mismo ambiente.
- Desarrollé un plan de contingencia para determinar cuándo debe desconectar y trasladar las aplicaciones, la recuperación y la tolerancia a fallas a un ambiente de recuperación ante desastres.
6 – Aplique una seguridad adecuada para la gestión de registros: Los registros de seguridad generalmente contienen información confidencial, por lo que debe protegerlos de forma adecuada. Asegúrese de los registros estén cifrados y defina un lapso para eliminar los registros que hayan caducado. Aplique un “ciclo de vida” para que se eliminen después de un lapso adecuado.
Por: Steve Sasse, Director Estratégico de Equinix para América Latina y el Caribe.