Efectivamente, amigos, aquí estamos de nuevo con uno de esos temas que a algunos de vosotros os sonarán a turra repetida. Como si no lo hubiéramos tratado varias veces en este blog. Sin embargo, hacía bastante tiempo que no tocábamos la ciberseguridad, y eso tampoco es plan.
Si, vale, de acuerdo, que ahora estamos todos dando la brasa con lo del Día Mundial de la Protección de Datos. Y que a los innumerables artículos que se escriben sobre tan ineludible (no sé si a nuestro pesar) efeméride, se suman otros muchos sobre las insufribles tendencias tecnológicas del nuevo año. Como también comentamos en otra ocasión, es el periodismo recurrente de temporada, no lo podemos parar.
Así pues, no es de extrañar que haya acabado sucediendo una confluencia de esos dos temas recurrentes en una sola nota de prensa, dado que la probabilidad de tal hecho era demasiado alta como para considerarla casualidad. Nos referimos al artículo que os traemos hoy y que podéis leer más abajo, en el que se celebra ese día de la protección de datos con una lista de prioridades de la privacidad informática en 2023.
Se trata de una concurrencia mágica con la que un redactor ha perdido la oportunidad de hacer dos notas de prensa distintas, cada una con una turra “efemeridística” distinta: O es muy vago o merece todos nuestros respetos por aliviar la saturación temática de ese tipo. No puedo imaginar titulares del estilo de: “10 consejos para aprovechar las rebajas de enero mientras sigues otros 10 consejos contra el frío”, o bien: “101 películas que tienes que ver antes de morirte leyendo 101 libros que tampoco debes dejar de leer”.
Sin embargo, y por mucho que nos pese, tenemos que reconocer que todo este cachondeíto tan característico de nuestro estilo bloguero no es óbice para tratar un tema tan serio como la privacidad de datos. Y, por lo tanto, tenemos que reconocer que ni mil efemérides ni mil listas de consejos de seguridad digital serán suficientes para que la gente se mantenga alerta ante un tema tan sensible. También es verdad que la saturación puede llevar a la rutina, y de ahí a la indiferencia casi no hay pasos. La intención de esas listas seguro que es buena, lo que ya no tengo tan claro es que la gente las interiorice después de tantos años leyéndolas (si es que se para a leerlas).
Podríamos pensar en otro tipo de listas sobre ciberseguridad, como las de las contraseñas más utilizadas en aplicaciones y servicios online, y veríamos que muchísima gente sigue tirando de los “1234” y otros saltos al vacío sin red por el estilo. También está lo de aceptar las cookies por defecto con la misma tranquilidad con la que un señor de La Palma decía que había tiempo para comer de sobra mientras los efectos especiales del Monte del Destino del Señor de los Anillos se convertían en reales ante sus ojos. Por lo tanto, está claro que tanta insistencia mediática sobre las ciberamenazas que ponen en peligro nuestra información personal no acaba de dar sus frutos, de sembrar una semilla del “por si acaso” en nuestra cabeza.
Por no ser tan tiquismiquis y poner un toque de positivismo a todo esto, no deja de ser cierto que, si tras tantos años después de que se empezara a decir que la privacidad había perdido el valor que se le daba antaño (y en cualquier caso es así), todavía se escribe tanto al respecto de la misma, será que todavía algo de interés por preservarla tenemos, tal vez más del que esperaban personajes como Mark Zuckerberg hace ya más de dos décadas. Agarrémonos a eso. Y protejamos nuestros datos.
Las diez prioridades para las empresas en privacidad y protección de datos en 2023
El Día Mundial de la Privacidad, que se celebra anualmente el 28 de enero, sirve para recordar la importancia de proteger los datos personales en la era digital actual. A medida que avanza la tecnología y se comparte más información personal online, las personas y las organizaciones deben tomar medidas para salvaguardar sus datos.
Gartner prevé que "en 2023, el 65% de la población mundial tendrá sus datos personales cubiertos por diversas normativas de privacidad, y las empresas necesitan soluciones flexibles que puedan adaptarse a la multitud de legislaciones". Navegar por este complejo entorno puede suponer un reto tanto para los particulares como para las empresas.
Para ayudar a abordar esa complejidad, Commvault explica los 10 temas principales que hay que tener en cuenta a la hora de gestionar la privacidad y la protección de datos.
1/ Estrategia de protección de datos
Las organizaciones deben empezar por crear o actualizar un plan de protección de datos, backup y recuperación de desastres como parte de una estrategia global de protección de datos. Hay muchos aspectos a considerar en un plan de protección de datos fiable, entre ellos el tratamiento de los datos privados de los clientes.
2/ Cifrado
El cifrado es una característica crucial de la protección y la privacidad de los datos. Permitir el cifrado de datos en reposo y en tránsito ayuda a evitar el acceso no autorizado a la información personal. Esto es especialmente importante para las organizaciones que manejan grandes cantidades de datos privados, como los hospitales y las instituciones financieras. Los datos ya no residen sólo en los centros de datos corporativos, ya que la mayoría de las organizaciones tienen una o varias nubes públicas con cargas de trabajo y datos almacenados en ellas. Asegurar, con cifrado, durante toda la vida de los datos ayuda a mitigar a los posibles problemas.
3/ Autenticación multipersonal
Más allá de proteger los datos con cifrado, las organizaciones deben salvaguardar sus sistemas de ataques maliciosos. Aprovechar la autenticación multipersonal (MPA) para sus sistemas de protección de datos garantiza que las tareas críticas requieran múltiples consentimientos de usuarios preaprobados. A menudo pasada por alto, ésta es una de las formas más sencillas de evitar la exfiltración o el borrado de datos.
4/ Almacenamiento inmutable
El almacenamiento inmutable permite que los datos, privados o no, se escriban y no puedan modificarse ni borrarse. Los datos que no pueden ser manipulados o alterados garantizan el mantenimiento de la integridad de los datos. Los requisitos de almacenamiento inmutable se están convirtiendo rápidamente en una parte estándar de las normativas de gobernanza de datos como GDPR, HIPAA y otras. Cuando se combina con MPA, puede crear niveles de almacenamiento de datos altamente seguros que se adaptan perfectamente al tratamiento de datos confidenciales y privados.
5/ Soberanía de datos
Las organizaciones deben tener en cuenta la normativa relativa al almacenamiento de datos privados a la hora de desarrollar una estrategia de protección de datos. Esto incluye la ubicación del almacenamiento de datos y el cumplimiento de las normativas relativas a la soberanía de los mismos. Por ejemplo, una carga de trabajo basada en la nube en Europa o que contenga datos de ciudadanos de la UE debe cumplir la normativa de la UE. Cualquier lugar en el que puedan residir datos privados, aunque sea de forma temporal, puede tener que estar en una región específica según los requisitos normativos.
6/ Gestión y descubrimiento de datos
Una gran parte de de los CISO admite que no sabe dónde están sus datos o cómo están protegidos. A medida que la cantidad de datos privados sigue creciendo, el número de normativas se expande exponencialmente, lo que genera confusión. Como resultado, las organizaciones necesitan entender qué datos tienen, dónde están y qué está en riesgo. Ser capaz de priorizar los datos en función de las políticas, prioridades y normativas aplicables en una organización es fundamental para proteger los datos. No se puede proteger lo que no se conoce.
7/ Clasificación de los datos
Saber qué datos existen y dónde residen es sólo una parte de la solución. Las organizaciones deben considerar qué datos son datos privados de clientes, críticos para el negocio, etc. Proteger sólo los datos on-prem puede pasar por alto algunos datos críticos que residen en una solución CRM basada en SaaS, por ejemplo.
8/ Retención
Es primordial saber qué datos existen y su importancia, pero ¿durante cuánto tiempo siguen siendo relevantes? Se trata de una pregunta difícil de responder para la mayoría de las organizaciones. Ser capaz de asignar una vida útil esperada a los datos puede tener un gran impacto en los resultados de una organización. Contar con sistemas para encontrar, clasificar y establecer automáticamente la retención reducirá la probabilidad de que los datos se dispersen, reducirá el tiempo necesario para recuperar los datos no utilizados y reducirá los costes.
9/ Pruebas del plan de recuperación y respuesta a incidentes
Las pruebas del plan de resiliencia, a menudo denominadas "runbook", son un área de la estrategia de protección de datos que a menudo se pasa por alto. Crear o actualizar un plan obsoleto puede ser una tarea desalentadora. Asociarse con proveedores de soluciones o empresas estratégicas de protección de datos con experiencia en la creación de un plan puede reducir significativamente el tiempo necesario para ponerse al día. Cuando se produce un verdadero evento de DR o un ataque de ransomware, los runbooks son el activo clave.
10/ Evaluación de riesgos
Las evaluaciones programadas pueden ayudar a construir la memoria muscular para una sólida protección de datos y una mentalidad de privacidad de datos. La ventaja de trabajar con proveedores de protección y privacidad de datos bien establecidos es que están al día de las últimas amenazas a la seguridad y estrategias de mitigación.