La
vulnerabilidad en las bases de datos tanto en el sector público como en
el privado es algo que nos debe preocupar. En los primeros nueve meses
de 2020, México fue el país más atacado en Latinoamérica, al recibir el
22.57% de 1´319.260 ataques de ransonware(1). Esto significa que datos
bancarios o direcciones particulares de los usuarios pueden ser
utilizadas, incluso posteadas por ciberdelincuentes.
En México existe una Ley Federal y una Ley General en materia de
Protección Datos Personales, incluso el pasado primero de diciembre, la Cámara de Diputados aprobó una reforma en materia de ciberseguridad,
la cual facultará al Consejo de Nacional de Seguridad Pública promover
la cooperación entre instancias de gobierno, instituciones académicas,
organizaciones empresariales y sociedad civil organizada, para el
intercambio de información, mejores prácticas y tecnologías en materia
de seguridad cibernética, con estricto respeto a los derechos humanos.
Sin embargo, aunque estas acciones ayudan, la realidad es que no es
suficiente.
En julio pasado, la Secretaría de la Función Pública emitió una tarjeta informativa,
en la cual alerta acerca de una forma alternativa de acceso a datos,
por medio del buscador Shodan, de las versiones públicas de las
declaraciones patrimoniales y de intereses de funcionarios públicos.
Esto demuestra que la vulnerabilidad se encuentra a todos los niveles y
sectores.
Este no es problema nacional, sino global. En la Unión Europea, en
menos de un año después de que el Reglamento General de Protección de
Datos (GDPR, por sus siglas en inglés) entrara en vigor, Google fue
multado con USD$57M por no cumplirlo. La multa se debió a la violación
por parte de Google de los requisitos de transparencia del reglamento y a
que no había relacionado cada una de sus actividades de procesamiento
de datos con una de las normas legales enumeradas en el GDPR.
Desde mayo de 2018, cualquier empresa que recopile o almacene
información de identificación personal (IIP) de ciudadanos de la UE
-incluidos los vídeos de vigilancia, la información de los titulares de
tarjetas y las actividades rastreadas por un sistema de control de
acceso, y los números de matrícula capturados por un sistema de
reconocimiento automático de matrículas (ALPR)- puede ser considerada
responsable, independientemente del lugar en el que se encuentre la
organización.
Con la aparición de reglamentos similares en todo el mundo, como la
Ley de Privacidad del Consumidor de California, cada vez se presta más
atención a la protección de los datos y la privacidad de las personas.
Las organizaciones de todo el mundo están adoptando mejores soluciones
de datos y privacidad para ayudar a salvaguardar la privacidad de los
clientes, los empleados y los ciudadanos sin sacrificar la seguridad.
Sí, se puede mantener la seguridad y proteger la privacidad
La protección de las personas y los activos, a veces, requiere que se
recopilen datos personales, así como grabaciones de video de quienes
usan los espacios públicos dentro o alrededor de sus instalaciones. Pero
para cumplir con las regulaciones y las expectativas del público, el
acceso a esta información o grabación a menudo debe restringirse.
Genetec, proveedor de tecnología líder en soluciones de seguridad
unificada, operaciones e inteligencia, se asegura de que no tengas que
elegir entre proteger la privacidad y la seguridad física. Su plataforma
de seguridad unificada, Genetec™ Security Center, te
ayuda a definir quién tiene acceso a los datos y grabaciones de video
confidenciales, sin retardar las investigaciones y la respuesta a
incidentes.
“Si estás comprando una solución nueva de seguridad física,
querrás considerar aquellas que tienen la privacidad incorporada desde
el desarrollo de la solución. Cuando tu solución de seguridad física
está diseñada desde cero con la privacidad en mente, no tienes que
elegir entre proteger la privacidad de las personas y la seguridad
física de tu organización”, comentó Alain Bissada, Director Sénior de Genetec México y Canadá.
A continuación, compartimos algunos pasos clave para que te asegures
de que se está respetando la privacidad individual sin comprometer tu
sistema de seguridad:
Toma el control
Cuando se trata de proteger la privacidad individual, es necesario
controlar quién puede acceder a los datos y qué pueden hacer con ellos.
Implementar soluciones que incluyan la autenticación en dos etapas es
vital para mantener fuera a las entidades no deseadas. La autenticación
ayuda a evitar que los hackers se hagan pasar digitalmente por tu
personal de seguridad y luego manipulen o copien tus datos o accedan a
información personal sensible.
Para proteger la privacidad, también es importante limitar lo que se
puede hacer con los datos que los sistemas de seguridad están
recopilando. Mediante la autorización, los administradores de sistemas
pueden especificar los derechos y privilegios de acceso. Esto significa
que pueden definir derechos como limitar el intercambio y la edición de
datos. De esta manera, se puede evitar que la información personal sea
manipulada o caiga en manos equivocadas.
Haz anónimo el vídeo dinámicamente
La recolección de material de vídeo se considera una actividad de
alto riesgo en relación con la privacidad. Después de todo, ¿qué es más
personal o privado que tu propia imagen? Pero puedes capturar y
monitorear el material de video de manera segura sin poner a nadie en
riesgo.
La solución es hacer, dinámicamente, a las personas anónimas en el
campo de visión de una cámara. Al pixelar o desenfocar a las personas en
la pantalla, permitirá al personal de seguridad ver sus movimientos y
acciones, pero sus identidades estarán protegidas. Por supuesto, esto es
sólo una parte del problema.
¿Qué pasa cuando ocurre un incidente? Puede que tengas que dar acceso
a tus imágenes como parte de una investigación. Las imágenes borrosas o
pixeladas podrían impedir que los investigadores comprendieran
plenamente un incidente. Para poder cumplir con el análisis, debe
utilizar herramientas que capturen dos flujos. La primera es anonimizada
y visible por el personal de seguridad. La segunda no se modifica en
modo alguno, sino que sólo es accesible para los usuarios autorizados.
Protege los datos guardados y en transición
En Genetec Inc,
en la industria de la seguridad física y en otros lugares, hemos ido
más allá del enfoque de los firewalls para la protección de datos. Donde
una vez solíamos poner una fuerte línea de defensa y asumir que todo lo
que había detrás era seguro, ahora reconocemos que esto no es
suficiente. Necesitamos proteger todos los datos que se recolectan y
están almacenados dentro de nuestros sistemas en todo momento.
Encriptar los datos es una parte significativa de esta protección.
Cuando encriptamos los datos, tanto grabados como en transición,
evitamos que usuarios no autorizados puedan leerlos.
En su nivel más básico, el proceso implica el uso de un algoritmo
para traducir datos de textos planos o legibles en datos ilegibles o
texto cifrado. Para deshacer el proceso se necesita la correspondiente
clave de descifrado. En última instancia, en el caso de que una entidad
no autorizada acceda a tus datos, la información seguirá siendo
ilegible, lo que la hará esencialmente inútil.
1 Instituto Federal de Telecomunicaciones (IFT) |