Transparencia en el manejo de datos: esencial para empresas y gobiernos
El consejero senior de Symantec en políticas de ciberseguridad e identidad, Jeff Greene, analizó el panorama de seguridad y privacidad de los datos.
Tras las escandalosas y preocupantes revelaciones de Edward Snowden, la cuestión de cómo manejan las empresas los datos personales de sus clientes, y las acciones de organismos gubernamentales como la Agencia Nacional de Seguridad (NSA) de Estados Unidos en contra de la privacidad de los mismos, son temas constantes de preocupación para empresas y usuarios en general.
Jeff Greene, Consejero Senior de Políticas de Ciberseguridad e Identidad de Symantec Corp., habló con SearchDataCenter en Español sobre la seguridad y privacidad de los datos, y nos ofreció algunas luces sobre cómo los gobiernos y las empresas están manejando estas cuestiones.
¿Cuáles son los principales desafíos que enfrentan las empresas hoy en día en la gestión de la seguridad de sus datos? ¿Tiene recomendaciones para ellos?
Greene: El entorno de amenazas en constante evolución es un reto que impulsa todo lo demás. Nuestro último Informe de Amenazas a la Seguridad en Internet (ISTR) destacó varias áreas clave, que incluyen: un dramático aumento del 91% en ataques dirigidos; criminales que ahora se enfocan en ataques a empresas más pequeñas; un aumento significativo de vulnerabilidades de día cero; el crecimiento explosivo del “ransomware” y otros tipos de malware que bloquea su computadora; y las crecientes amenazas a dispositivos móviles. Los cibercriminales están constantemente cambiando sus tácticas, y los defensores deben estar vigilantes para mantenerse a la vanguardia. Invertir tiempo y recursos por adelantado siempre vale la pena; fuertes esquemas de protección y empleados educados pueden frustrar la mayoría de los ataques, y numerosos estudios –incluyendo uno hecho por el Instituto Ponemon– han demostrado que las organizaciones que planean por adelantado sufren menos pérdidas financieras y son capaces de recuperarse de las brechas mucho más rápidamente.
Teniendo en cuenta lo que sucedió con Snowden y los programas de vigilancia de la NSA, nos gustaría saber en qué medida a una empresa se le requiere –o se siente comprometida a– proporcionar información de sus clientes/empleados/usuarios al gobierno federal de los EE.UU.?
Greene: No podemos hablar con otras empresas, salvo para decir que las empresas de todo el mundo están obligadas por las leyes de los países en los que hacen negocios. Symantec tuvo conocimiento de los programas a los cuales haces referencia a través de los informes de los medios públicos; no teníamos conocimiento previo sobre ellos. En Symantec, tenemos mucho cuidado de cumplir con las leyes de todos los países de todo el mundo donde trabajamos, y tenemos garantías legales y organizativas para garantizar que cumplimos tanto con las leyes y con nuestras políticas internas. No compartimos información de los clientes con los gobiernos bajo ninguna circunstancia, a menos que hayamos determinado que la solicitud está conforme con la ley, y es consistente con nuestra política de privacidad y los acuerdos aplicables con los clientes. Nuestras políticas de privacidad están disponibles en nuestro sitio web.
¿Qué recomendaciones deben seguir las empresas para cumplir con los requisitos federales, mientras protegen la privacidad de los datos de sus usuarios?
Greene: Como he mencionado en la pregunta anterior, las empresas están obligadas a cumplir con las leyes de los países en los que realizan sus operaciones. Publicamos nuestras políticas de privacidad para que los clientes puedan entender cómo protegemos sus datos, y tenemos un proceso sólido para asegurarnos de que cumplimos con ellos. Creemos que ofrecer a nuestros clientes esta información les da poder para tomar decisiones informadas.
¿Qué opina de iniciativas –como la del gobierno brasileño– para desarrollar su propia red de seguridad para evitar el espionaje internacional? ¿Está de acuerdo con que este es un paso que todos los países deben hacer para delimitar las “fronteras virtuales” que no existen actualmente?
Greene: Muchos gobiernos en todo el mundo, incluyendo Brasil, están buscando nuevas maneras de proteger su información y sus sistemas de tecnología de las comunicaciones (TIC), así como la privacidad de sus ciudadanos. La experiencia y la evidencia histórica demuestra que todos los métodos de comunicación –no importa cómo son transmitidos– son potencialmente vulnerables. Como tal,la seguridad no está garantizada solo por el medio que transporta el mensaje, sino, de manera más importante, por la seguridad que se utiliza para proteger los datos en sí. El uso de tecnologías de cifrado fuerte para los datos en reposo y en tránsito, y una fuerte seguridad de punto final y autenticación en ambos lados de la vía de comunicación, son condiciones previas necesarias para los sistemas de TIC seguros.
Como usted señala, no existen "fronteras virtuales" en la actualidad, y la economía global se ha beneficiado en gran medida del flujo continuo de información a través de las fronteras. Los flujos de datos globales son esenciales para las empresas brasileñas que operan en el extranjero, así como para las empresas multinacionales que operan en Brasil. La restricción de estos flujos puede elevar los costos, inhibir la innovación y repercutir en la seguridad para los consumidores, las empresas y los gobiernos, sobre todo si los productos y servicios de tecnología alternativa son limitados o no están disponibles. Symantec ha defendido durante mucho tiempo el flujo libre y abierto de datos a través de las fronteras para permitir el comercio, el comercio electrónico, la innovación y otras actividades económicas. Es esencial que los gobiernos de todo el mundo equilibren estos factores al considerar políticas que podrían restringir los flujos de datos o crear "fronteras virtuales”.
En cuanto al gobierno, especialmente en México: ¿Qué desafíos se enfrentan en la gestión de la información personal de sus ciudadanos? ¿Cómo equilibrar la cuestión de la privacidad de los datos personales?
Greene: Los desafíos son realmente los mismos en todo el mundo; los gobiernos tienen la obligación de garantizar la seguridad de su gente, mientras al mismo tiempo respetan su privacidad. Esto significa desplegar una gran seguridad en los sistemas y redes del gobierno para mantener los datos sensibles a salvo de los delincuentes. Los gobiernos deben ser transparentes con sus ciudadanos acerca de cómo van a recabar, compartir y almacenar sus datos. Crear un diálogo más abierto sobre este tema ayudará a los ciudadanos a tomar decisiones informadas sobre sus datos y ayudará a los gobiernos a restaurar la confianza del público [en ellos]. Al mismo tiempo, los usuarios y las organizaciones deben proteger sus sistemas y seguir las mejores prácticas de seguridad para reducir los riesgos.