Getty Images

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Seguridad de la información, más allá de la tecnología

Considerando que en 2019 las multas por brechas de seguridad en las empresas alcanzaron los $424 millones de pesos, tener bajo resguardo la informacion no es un juego; se requieren soluciones holiticas y trabajo de todas las areas de las organizaciones.

El manejo de los datos de terceras personas por parte de las empresas y el sector gobierno es un tema sensible en la industria de TI, pues todas las organizaciones están obligadas a protegerlos y evitar filtraciones.

La seguridad de la información desde el punto de vista jurídico, de acuerdo con el abogado Joel Gómez Treviño, presidente fundador de la Academia Mexicana de Derecho Informático, A.C, “es lo que permite proteger esos datos, buscando mantener tres atributos: disponibilidad, confidencialidad e integridad de los mismos.”

Para ello, las empresas realizan procesos de encriptación, uso de tokens y gestión de claves de seguridad, para proteger y hacerse responsable de los datos que se tienen dentro de la organización, ya que “en caso de verse vulnerada esa integridad, la empresa o gobierno afectado deberá responder”, comenta Javier Luna, director de ingeniería de Optimiti Network. “Para prevenir esto, la parte juridica y la ciberseguridad deben trabajar de la mano para conveger en un ambiente holistico”, agregó Luna.

No atender estas recomendaciones podría dar pie a ataques cibernéticos con costosos resultados. Consideremos que, de acuerdo con cifras de la consulta Accenture, solamente la pérdida de datos representa un 43% de los costos de los ataques.

También existe una gran confusión entre las empresas y gobiernos pues consideran que privacidad de la información y seguridad son sinónimos. Edilson Cantadore, gerente sénior de Ingeniería de Ventas en SonicWall Latinoamerica, explica que aunque ambos conceptos “van caminando juntos son completamente diferentes; cuando las empresas encriptan la información no significa seguridad, solamente garantiza su privacidad; por lo que muchas organizaciones al tener esta confusión solamente aplican la criptografía, mientras que integrar seguridad en los datos es buscar técnicas que garanticen que la información no solamente sea privada, sino que esté protegida”, dijo Cantadore.

Sin embargo, salvaguardar la información en las organizaciones se ha vuelto complicado, esto debido a que muchas empresas aun están en vías de transformación digital y se encuentran a medio proceso de ello. Muchas organizaciones desconocen totalmente los riesgos de los servicios de nube mal implementados, Javier Luna cuestiona “¿Cuántas compañías están conscientes de las aplicaciones de las que hacen uso? En América Latina las compañías llegan a usar entre 800 a 900 aplicaciones, de esas solamente 2% son manejadas por el área de TI, del restante 98% se desconoce su manejo e implicaciones, por lo que se crea una falsa sensación de seguridad. Por ello, es necesario crear políticas de seguridad acorde a las áreas y al uso que se le da a la información en cada dispositivo”, aconseja Luna.

Respaldos legales

En México, hay más diez legislaciones que obligan a empresas y organismos gubernamentales a tener seguridad en la información; la más conocida es la Ley Federal de Protección de Datos en Poder de Particulares (LFPDPP), pero todas las industrias y sectores públicos tienen la obligación de proteger los datos de otros en su poder. “Cuando todos escuchamos seguridad de la información pensamos en esta ley, pero la ley de datos solamente protege los datos de carácter personal, pero hay otros datos que no son de carácter personal y que también merecen protección”, dijo Joel Gómez.

El abogado puso por ejemplo la ley Reglamentaria del Artículo 5º Constitucional, relativo al Ejercicio de profesiones en la Ciudad de México, la cual protege el secreto profesional; otros ejemplos son la la Ley Federal de Propiedad Intelectual que protege el secreto industrial y la Ley General de Transparencia que resguarda la información confidencial”, menciona el doctor Gómez Treviño.

Así pues, en México estas son algunas leyes que protegen esta información:

  • La ley Reglamentaria del Artículo 5º Constitucional relativo al Ejercicio de profesiones en la Ciudad de México: Secreto profesional de carrera de todos los profesionistas.
  • Ley de Propiedad Industrial: Secreto industrial.
  • Código Penal Federal: Secreto o comunicación reservada que pueda terminar por afectar el debido proceso penal.
  • Ley Federal de Protección de Datos Personales en Posesión de Particulares, Ley Federal de Protección de Datos Personales en Posesión en PSO: misma que protege la información personal y/o sensible.
  • Ley General de Transparencia: protege toda aquella información considerada como confidencial.
  • Ley Federal del Trabajo: Protege todos los secretos de fabricación, comerciales y técnicos que puedan ser mal usados por ex empleados o empleados y que representen peligro para la operación o negocio.
  • Norma Oficial Mexicana-004-SSA3-2012 Expediente Clínico Electrónico: Establece los criterios científicos, éticos, tecnológicos y administrativos obligatorios en la elaboración, integración, uso, manejo, archivo, conservación, propiedad, titularidad y confidencialidad del expediente clínico.
  • Ley Federal de Protección al Consumidor NMX-COE-001-SCFI-2018 Comercio Electrónico: Publicada el 30 de abril de 2019, protege a todas aquellas personas que adquieran servicios o productos a través de medios electrónicos como son las tiendas online ante la incertidumbre e inseguridad jurídica en la que pueden hallarse al momento de tener relaciones comerciales a través de medios electrónicos.
  • Ley de Instituciones de Crédito Circular Única Bancaria Ley Fintech y sus anexos: Protege el secreto bancario y fiduciario, así como información confidencial en posesión de bancos e instituciones crediticias.
  • Estrategia Digital Nacional MAAGTICSI Ley de Seguridad Nacional: Esta protege la información de seguridad nacional y la de información gubernamental de carácter confidencial.

Y al ser tal cantidad de datos que se deben proteger adecuadamente, las penalidades por sufrir una brecha de seguridad también son variadas. “En México estamos avanzados en materia de protección y privacidad de datos, y hemos visto multas a compañas que no han cumplido con ello muy grandes, solamente en 2019 éstas fueron por $424 millones de pesos”, advierte comparte Javier Luna de Optimiti Network.

¿Cómo están trabajando las empresas en la protección de los datos?

Por otra parte, compañías como Jüsto, un supermercado 100% en línea, sin tiendas físicas, entiende la importancia de tomarse en serio la seguridad de la información. “En términos de protección de datos de nuestros usuarios y desde el punto de tecnología, nos aseguramos de seguir y cumplir los lineamientos y mejores prácticas que dicta Amazon Web Services (AWS) para la infraestructura; en todos los casos, los recursos necesarios están debidamente protegidos y con niveles y formas de acceso restringidos”, menciona Ricardo Weder, fundador y CEO de la empresa.

Los retos a los que se enfrenta Jüsto son, posiblemente en gran medida, los mismos que en general encontramos para todos los eCommerce con la misma exposición global, menciona su CEO: “mantenernos actualizados con las medidas de seguridad y procesos que implementamos; garantizar que la forma en la que manejamos los datos expone sólo lo necesario; buscar en forma proactiva situaciones que nos permitan encontrar defectos o problemas para luego mejorarlos, y ser consistentes a través del tiempo en esta búsqueda para evitar quedar expuestos o bien obsoletos en materia de soluciones empleadas.”

Si se conocen las consecuencias de filtraciones de datos, ¿qué sigue?

Ricardo Weder menciona que se deben tener ciertas prácticas. “Nosotros tomamos responsabilidad por el uso de los servicios que brinda AWS; mantener configuraciones de seguridad estrictas en los accesos; ajustarnos a las prácticas de manejo de identidad y acceso (IAM en AWS); seguir a detalle las prácticas y recomendaciones de seguridad al utilizar servicios de base de datos y almacenamiento de AWS; encriptación de datos sensibles”, dijo.

Tambien el factor humano es de suma importancia, quizá “es el punto más importante, ya que siempre estos eventos (brechas de seguridad y robo de información) empiezan con una falla de usuario; las personas están más preocupadas por la tecnología”, menciona Edilson Cantadore de SonicWall, y esto hace que, en muchos casos, no estén tan preparadas para la protección de datos, en especial las pequeñas y medianas empresas (PyMEs), pues estás prefieren accesos rápidos antes que realmente implementar soluciones holísticas y no solamente tecnológicas.

Ricardo Weder menciona que se debe trabajar en buscar puntos puntos débiles o vulnerabilidades desde el ángulo de tecnología, y aplicar las mejores prácticas que ayuden a tener un entorno lo más seguro posible, pero en paralelo, “es importante trabajar con los procesos no directamente relacionados a tecnología (digamos, offline) ya que desde ese lado llegan también problemas y situaciones que atentan contra la seguridad. Como ejemplos, listados de usuarios que se envían en forma descuidada vía email, archivos que se comparten, se imprimen y quedan olvidados. De esta forma, la fortaleza radica no solo en una configuración robusta desde lo técnico, sino también en tomar los cuidados necesarios en todos los procesos que se aplican y se relacionan a la manipulación en general de los datos”, explica Weder.

Se deben implementar “sistemas de gestión de datos, no porque te oblige una ley,” nos dice Joel Gómez, y prosigue, “te va mejor en todos los sentidos; tener políticas de seguridad es una tarea que se le deja a TI, pero en realidad debe ser conjunta, integrar un comité de seguridad de la información híbrido que esté conformado por representantes de las áreas de sistemas, legal, recursos humanos, etc.”

Como parte de esta integración se debe contar con el respaldo en materia legal para el manejo y cuidado de la información de los usuarios, y debe ser una norma básica y parte de los procesos internos, cada uno y todos los pasos que se den deben estar respaldados y verificados con los departementos legales.

Por ejemplo, en  Jüsto, “en términos de datos personales, nos preocupamos por estar a la altura y cumplir debidamente con los estándares nacionales e internacionales que rigen sobre la manipulación y cuidado de los mismos en cada paso. No contar con respaldo legal simplemente no es una opción para Jüsto, y elegimos siempre estar a la altura de lo que se espera de nosotros”, finaliza Ricardo Weder.

Investigue más sobre Auditoría de seguridad y el cumplimiento de normas

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

Close