Protección de datos frente a políticas inconsistentes

Publicado el 19 febrero 2023 por Ferranmunoz @ferran_munoz

Este sábado 28 de enero fue el Día de la Privacidad de Datos en Europa, Estados Unidos y decenas de países más, incluidos Canadá e Israel. La oportunidad de reflexionar sobre la situación actual, pero también sobre el futuro de la normativa reguladora de la protección de datos. Actualmente, las tendencias y prioridades políticas inconsistentes en el área de la ciberseguridad amenazan con nublar las iniciativas para mejorar la protección de datos.

Estas iniciativas tomadas con el objetivo de proteger los datos no faltan. Con buenas intenciones, brindan una respuesta lógica a los informes diarios de violaciones de datos y otras exposiciones ilícitas de datos.

Los defensores de la protección de datos y los legisladores son cada vez más conscientes de la necesidad de armonizar los requisitos de ciberseguridad dentro de las leyes de protección de datos.

Sin embargo, persisten las propuestas para localizar los datos, lo que amenaza con socavar los intentos de mejorar la protección de datos en general y la resiliencia cibernética en particular.

Los requisitos comunes de ciberseguridad allanan el camino para la privacidad

Más allá de la confusión causada por la proliferación de obligaciones de protección de datos incorporadas por directivas como el Reglamento General de Protección de Datos (GDPR) en Europa, la Ley de Privacidad del Consumidor de California (CCPA) en California, la Ley de Protección de Datos Personales (APPI) en Japón, las enmiendas a la Ley de Privacidad de Australia y un creciente cuerpo de legislación de privacidad en los Estados Unidos. Unidos, los desarrollos son positivos para las entidades que deseen establecer un programa global.

Estas diferentes regulaciones en realidad comparten requisitos de seguridad. primero comunasestipulando la implementación de medidas de protección “adecuadas” o “razonables” frente a este riesgo.

Durante años, se reconoció que estos requisitos estaban diseñados para garantizar que las empresas no ven el cumplimiento de la normativa de protección de datos como una situación fijamás, de lo contrariocomo un conjunto de métodos para mejorar la protección de datos frente a amenazas y tecnologías en constante cambio.

A medida que comienza 2023, disfrutamos de una mayor visibilidad y un consenso más amplio sobre lo que es «correcto» o «razonable».

Las prácticas y tecnologías comunes de ciberseguridad se pueden encontrar en el informe State of the Art publicado por la Agencia Europea de Ciberseguridad (ENISA), en la Orden Ejecutiva Presidencial (EO) sobre la mejora de la ciberseguridad de los Estados Unidos y en las últimas pautas publicadas por el New Departamento de Servicios Financieros del Estado de York. Estas mejores prácticas cubren las siguientes tecnologías: Detección y respuesta de puntos finales (EDR), Monitoreo de la web oscura, Administración de registros de conexión, Búsqueda de amenazas y Protección de identidad de confianza cero. Además, parece que después de la declaración de la Comisión Federal de Comercio (FTC) con respecto a la brecha de seguridad de Log4Shell, parchear vulnerabilidades conocidas se ha elevado a una prioridad de cumplimiento.

Este reconocimiento común de ciertas prácticas de ciberseguridad significa que los profesionales ahora muestran una mayor confianza en los estándares básicos en caso de aplicación regulatoria o litigio.

Las tendencias políticas confusas pueden socavar las mejores prácticas de ciberseguridad

simultáneamente, pero en contraste con el mayor deseo de cumplir con los requisitos de seguridad definido por las leyes de protección de datos, las nuevas propuestas de localización de datos amenazan con desafiar las prioridades.

Las tendencias actuales en ciberseguridad muestran claramente que las intrusiones cibernéticas continúan representando una gran amenaza para la privacidad. En esencia, los requisitos de seguridad y las prácticas aceptadas están destinados a evitar el acceso no autorizado a los datos.

Sin embargo, muchas propuestas presentadas en todo el mundo buscan negar el acceso de otra manera permitido — por ejemplo, la gestión de una red más allá de una jurisdicción —, limitando En realidad los medios a disposición de los defensores para protegerse contra el acceso no autorizado.

Los ejemplos recientes incluyen ciertas disposiciones del proyecto de ley de protección de datos personales digitales presentado en India, el punto de referencia francés SecNumCloud para la calificación de los proveedores de servicios de computación en la nube, una primera versión del decreto presidencial italiano que implementa la Directiva europea NIS 1.0 sobre la resiliencia de datos críticos. , determinadas interpretaciones de las transferencias internacionales de datos personales tras la sentencia Schrems II, así como otras normas que promueven la soberanía de los datos con el fin de recopilar información domiciliaria o con fines de política industrial.

Si bien los debates siguen siendo animados, la realidad es clara: la obligación de localización de datos limitaría el uso de buenas prácticas de ciberseguridad que reúnen consenso en todo el mundo. Para hacer esto, los defensores necesitan plataformas SaaS, datos de seguridad agregados, visibilidad unificada en todas las organizaciones, administración de registros centralizada, capacidad para rastrear movimientos laterales, así como servicios operativos las 24 horas, los 7 días de la semana, que invariablemente requieren flujos de datos.

Irónicamente, los actores de amenazas no siguen las reglaspor lo tanto, los defensores que carecen de capacidades analíticas y herramientas de caza de amenazas a escala planetaria debe enfrentarse a los atacantes que naturalmente buscan exfiltrar datos sin importar las fronterasasí como moverse lateralmente dentro de una red global.

En otras palabras, Los requisitos de localización de datos podrían alentar a las empresas a protegerse contra los riesgos hipotéticos de procedimientos legales aplicables en el extranjero en lugar de cumplir con los requisitos de su país. estipulando el uso de tecnologías apropiadas para proteger sus datos contra violaciones.

Afortunadamente, se han producido algunos avances positivos, incluida la Declaración de la OCDE sobre el acceso del gobierno a los datos personales en poder de entidades del sector privado, que aborda muchas de las preocupaciones planteadas por los defensores de la ubicación de datos.

Los desafíos de la ciberseguridad dan un nuevo significado a los requisitos de privacidad actuales

Si bien los equipos de seguridad y privacidad trabajan de la mano para cumplir con estándares modernos de protección de datos que sean «razonables» y «apropiados» para el riesgo, y que los legisladores evalúen el interés del problema que constituye la localización de los datos, es importante subrayar cuánto evolucionaron las amenazas actuales. La extorsión por fuga de datos es una gran amenaza para la privacidad y la seguridad. Desde un punto de vista táctico, los ataques modernos son ahora impulsado por la identidad y se basan en la explotación de identificadores legítimos.

Ante los desafíos de los ataques modernos y las técnicas utilizadas, las empresas deben preguntarse si herramientas de seguridad que despliegan en su red están “adaptados” al riesgosi ellos son compatibles requisitos legales aplicables, y si reflejan buenas prácticas comunas

De manera similar, estos estándares pueden informar las discusiones sobre si ciertas propuestas pueden conducir o no a mejores resultados de seguridad cibernética.

Aprovechando el Día de la Protección de Datos, es importante pensar en lo que implica la protección integral de datos y la importancia de la ciberseguridad, ya sea en términos de cumplimiento o protección de la privacidad. privacidad y derechos humanos.

Las violaciones de datos representan una amenaza significativa para la privacidad. Es por eso que los legisladores y las agencias gubernamentales pueden mejorar la protección de la privacidad defendiendo la transparencia, pero también fomentando la adopción de las mejores prácticas destinadas a proteger los datos contra el riesgo de infracciones.

Es este enfoque el que debería aplicarse con prioridad a la protección de la privacidad, en lugar de medidas aparentemente arbitrarias como la localización de datos. Hoy en día, las infraestructuras de TI modernas, la ciberseguridad y los programas de privacidad se basan en flujos de datos globales. La implementación de marcos que brinden seguridad y garantía a las transferencias de datos es un elemento importante de la protección integral de datos.
____________________________

Par dibujó bagleyVicepresidente y Asesor de Políticas de Privacidad y Cibernética en multitudhuelga

Lea también:

Según CrowdStrike, las ciberamenazas siempre son más peligrosas

Ciberseguridad: buenas prácticas de defensa frente a la proliferación de amenazas en 2023

Proteja su negocio contra la creciente amenaza del ransomware

El gran retorno del cibercrimen del estado-nación

[