viernes, 29 de enero de 2021

El alto costo de tener la privacidad equivocada

 




La vulnerabilidad en las bases de datos tanto en el sector público como en el privado es algo que nos debe preocupar. En los primeros nueve meses de 2020, México fue el país más atacado en Latinoamérica, al recibir el 22.57% de 1´319.260 ataques de ransonware(1). Esto significa que datos bancarios o direcciones particulares de los usuarios pueden ser utilizadas, incluso posteadas por ciberdelincuentes.

En México existe una Ley Federal y una Ley General en materia de Protección Datos Personales, incluso el pasado primero de diciembre, la Cámara de Diputados aprobó una reforma en materia de ciberseguridad, la cual facultará al Consejo de Nacional de Seguridad Pública promover la cooperación entre instancias de gobierno, instituciones académicas, organizaciones empresariales y sociedad civil organizada, para el intercambio de información, mejores prácticas y tecnologías en materia de seguridad cibernética, con estricto respeto a los derechos humanos. Sin embargo, aunque estas acciones ayudan, la realidad es que no es suficiente.

En julio pasado, la Secretaría de la Función Pública emitió una tarjeta informativa, en la cual alerta acerca de una forma alternativa de acceso a datos, por medio del buscador Shodan, de las versiones públicas de las declaraciones patrimoniales y de intereses de funcionarios públicos. Esto demuestra que la vulnerabilidad se encuentra a todos los niveles y sectores.

Este no es problema nacional, sino global. En la Unión Europea, en menos de un año después de que el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) entrara en vigor, Google fue multado con USD$57M por no cumplirlo. La multa se debió a la violación por parte de Google de los requisitos de transparencia del reglamento y a que no había relacionado cada una de sus actividades de procesamiento de datos con una de las normas legales enumeradas en el GDPR.

Desde mayo de 2018, cualquier empresa que recopile o almacene información de identificación personal (IIP) de ciudadanos de la UE -incluidos los vídeos de vigilancia, la información de los titulares de tarjetas y las actividades rastreadas por un sistema de control de acceso, y los números de matrícula capturados por un sistema de reconocimiento automático de matrículas (ALPR)- puede ser considerada responsable, independientemente del lugar en el que se encuentre la organización.

Con la aparición de reglamentos similares en todo el mundo, como la Ley de Privacidad del Consumidor de California, cada vez se presta más atención a la protección de los datos y la privacidad de las personas. Las organizaciones de todo el mundo están adoptando mejores soluciones de datos y privacidad para ayudar a salvaguardar la privacidad de los clientes, los empleados y los ciudadanos sin sacrificar la seguridad.

Sí, se puede mantener la seguridad y proteger la privacidad

La protección de las personas y los activos, a veces, requiere que se recopilen datos personales, así como grabaciones de video de quienes usan los espacios públicos dentro o alrededor de sus instalaciones. Pero para cumplir con las regulaciones y las expectativas del público, el acceso a esta información o grabación a menudo debe restringirse. Genetec, proveedor de tecnología líder en soluciones de seguridad unificada, operaciones e inteligencia, se asegura de que no tengas que elegir entre proteger la privacidad y la seguridad física. Su plataforma de seguridad unificada, Genetec™ Security Center,  te ayuda a definir quién tiene acceso a los datos y grabaciones de video confidenciales, sin retardar las investigaciones y la respuesta a incidentes

“Si estás comprando una solución nueva de seguridad física, querrás considerar aquellas que tienen la privacidad incorporada desde el desarrollo de la solución. Cuando tu solución de seguridad física está diseñada desde cero con la privacidad en mente, no tienes que elegir entre proteger la privacidad de las personas y la seguridad física de tu organización”, comentó Alain Bissada, Director Sénior de Genetec México y Canadá.


A continuación, compartimos algunos pasos clave para que te asegures de que se está respetando la privacidad individual sin comprometer tu sistema de seguridad:

Toma el control

Cuando se trata de proteger la privacidad individual, es necesario controlar quién puede acceder a los datos y qué pueden hacer con ellos. Implementar soluciones que incluyan la autenticación en dos etapas es vital para mantener fuera a las entidades no deseadas. La autenticación ayuda a evitar que los hackers se hagan pasar digitalmente por tu personal de seguridad y luego manipulen o copien tus datos o accedan a información personal sensible.

Para proteger la privacidad, también es importante limitar lo que se puede hacer con los datos que los sistemas de seguridad están recopilando. Mediante la autorización, los administradores de sistemas pueden especificar los derechos y privilegios de acceso. Esto significa que pueden definir derechos como limitar el intercambio y la edición de datos. De esta manera, se puede evitar que la información personal sea manipulada o caiga en manos equivocadas.

Haz anónimo el vídeo dinámicamente

La recolección de material de vídeo se considera una actividad de alto riesgo en relación con la privacidad. Después de todo, ¿qué es más personal o privado que tu propia imagen? Pero puedes capturar y monitorear el material de video de manera segura sin poner a nadie en riesgo.

La solución es hacer, dinámicamente, a las personas anónimas en el campo de visión de una cámara. Al pixelar o desenfocar a las personas en la pantalla, permitirá al personal de seguridad ver sus movimientos y acciones, pero sus identidades estarán protegidas. Por supuesto, esto es sólo una parte del problema.

¿Qué pasa cuando ocurre un incidente? Puede que tengas que dar acceso a tus imágenes como parte de una investigación. Las imágenes borrosas o pixeladas podrían impedir que los investigadores comprendieran plenamente un incidente. Para poder cumplir con el análisis, debe utilizar herramientas que capturen dos flujos. La primera es anonimizada y visible por el personal de seguridad. La segunda no se modifica en modo alguno, sino que sólo es accesible para los usuarios autorizados.

Protege los datos guardados y en transición

En Genetec Inc, en la industria de la seguridad física y en otros lugares, hemos ido más allá del enfoque de los firewalls para la protección de datos. Donde una vez solíamos poner una fuerte línea de defensa y asumir que todo lo que había detrás era seguro, ahora reconocemos que esto no es suficiente. Necesitamos proteger todos los datos que se recolectan y están almacenados dentro de nuestros sistemas en todo momento.

Encriptar los datos es una parte significativa de esta protección. Cuando encriptamos los datos, tanto grabados como en transición, evitamos que usuarios no autorizados puedan leerlos.

En su nivel más básico, el proceso implica el uso de un algoritmo para traducir datos de textos planos o legibles en datos ilegibles o texto cifrado. Para deshacer el proceso se necesita la correspondiente clave de descifrado. En última instancia, en el caso de que una entidad no autorizada acceda a tus datos, la información seguirá siendo ilegible, lo que la hará esencialmente inútil.

1 Instituto Federal de Telecomunicaciones (IFT)

No hay comentarios:

Publicar un comentario