Han pasado casi ocho años desde que el Reglamento General de Protección de Datos (GDPR – General Data Protection Regulation por sus siglas en inglés) entró en vigor en toda la Unión Europea en mayo de 2015. A pesar de que la protección de la privacidad de las personas está en el foco del GDPR, rara vez se relaciona con la ciberseguridad; sin embargo, la "protección de datos" es claramente clave tanto para el cumplimiento del GDPR como para defender a su organización contra los ciberdelincuentes.
Partiendo de los siete principios del GDPR, a continuación se exponen cuatro consejos para una buena administración de los datos:
1. Controle quién puede acceder a qué
El principio de "legitimidad, imparcialidad y transparencia" significa que los datos que se tienen sobre una persona deben haberse obtenido legalmente, con su consentimiento, y que debe ser transparente la razón por la que se necesitan. Si el motivo cambia, hay que notificárselo al interesado.
Eso puede ser difícil si no sabe a qué datos tienen acceso sus equipos. Por ejemplo, Facebook admitió en noviembre de 2019 que "al menos" 11 desarrolladores de Facebook habían trabajado con información restringida de los usuarios.
Además de saber qué datasets pueden estar expuestos a sus terceros, es una buena idea que el monitoreo de ciberseguridad analice a qué información acceden sus propios equipos, y por qué.
2. Mantenga al mínimo la cantidad de datos que almacena
El almacenamiento de datos o “data hoarding” supone un riesgo evidente para la ciberseguridad. El GDPR permite que los datos se conserven solo mientras sean:
- adecuados;
- relevantes; y
- limitados a lo estrictamente necesario.
En marzo de 2023, un "mega hackeo" afectó a Latitude Financial. Esta empresa australiana gestiona préstamos personales, por lo que la naturaleza de los datos de sus clientes es necesariamente detallada y extremadamente sensible.
La filtración afectó a 17 millones de personas en Nueva Zelanda y Australia, una cifra enorme, ya que Latitude había conservado todos los registros de sus clientes desde 2005. El GDPR no especifica un límite máximo de conservación de datos, pues dice que estos no deben conservarse "más tiempo del necesario". Aun así, 18 años sin duda alguna sobrepasan la fecha de caducidad.
3. Asegúrese de que su equipo reciba capacitación constantemente
El principio de exactitud del GDPR especifica que los datos personales no deben ser "incorrectos o ambiguos en cuanto a cualquier cuestión de hecho".
Desde el punto de vista de la ciberseguridad, la exactitud tiene otro alcance: La mayoría de las organizaciones son vulnerables a las filtraciones de datos simplemente porque la gente comete errores.
El gobierno galés infringió el GDPR más de 300 veces en menos de tres años, pero no porque los atacantes lo hubiesen hecho sistemáticamente. Los fallos incluyeron la publicación accidental de datos personales sensibles en el sitio web de Care Inspectorate Wales, el envío del expediente judicial de otra persona a un preso y el envío por correo electrónico de información personal sensible a la lista incorrecta de usuarios del servicio.
4. Supervise continuamente su superficie de ataque
El GDPR exige "la adopción de medidas de seguridad adecuadas para proteger los datos personales en su custodia", pero la definición de "adecuadas" es deliberadamente vaga para reflejar un mundo de amenazas que cambia constantemente.
OpenAI sufrió una filtración de datos el 20 de marzo que incluía detalles de pago y conversaciones de usuarios. En respuesta, Italia se ha convertido en el primer país occidental en prohibir ChatGPT de OpenAI y su sucesor GPT-4 por motivos de privacidad. Esto debería preocupar a todas las organizaciones con personas que, oficialmente o no, ya utilizan la aplicación de OpenAI para ayudarles en su trabajo.
Su organización debe ser consciente de su red de terceros: ¿qué proveedores tienen acceso a sus datos y a los de sus clientes? Sólo una supervisión continua y automatizada es capaz de identificar las vulnerabilidades existentes y emergentes en su superficie de ataque y en la de sus proveedores de servicios críticos.
¿Cómo podemos ayudar?
En Thomas Murray, tenemos casi 30 años de experiencia proporcionando soluciones de riesgo y seguridad a los sectores más complejos del mundo. Combinamos esto con nuestra galardonada Tecnología de Ciberseguridad para supervisar en tiempo real el riesgo financiero, operativo y cibernético de miles de organizaciones en más de cien mercados.
Hable con nosotros hoy mismo sobre cómo podemos ayudarle a proteger su organización.