sdecoret - stock.adobe.com

Tener sistemas de privacidad no adecuados tiene un alto costo

La legislación sobre protección de datos que está surgiendo a nivel global ofrece un marco regulatorio que muchas empresas aún no están preparadas para cumplir, especialmente en la industria de seguridad física, señala Genetec.

La vulnerabilidad en las bases de datos tanto en el sector público, como en el privado es algo que nos debe preocupar. En los primeros nueve meses de 2020, México fue el país más atacado en Latinoamérica, al recibir el 22,57 % de 1.319.260 ataques de ransomware, de acuerdo con cifras del Instituto Federal de Telecomunicaciones (IFT). Esto significa que datos bancarios o direcciones particulares de los usuarios pueden ser utilizadas o incluso posteadas por ciberdelincuentes.

En México, existe una Ley Federal y una Ley General en materia de protección de datos personales; incluso, el pasado primero de diciembre, la Cámara de Diputados aprobó una reforma en materia de ciberseguridad, la cual facultará al Consejo de Nacional de Seguridad Pública promover la cooperación entre instancias de gobierno, instituciones académicas, organizaciones empresariales y sociedad civil organizada para el intercambio de información, mejores prácticas y tecnologías en materia de seguridad cibernética, con estricto respeto a los derechos humanos. Sin embargo, aunque estas acciones ayudan, dice Genetec, no son suficientes.

En julio pasado, la Secretaría de la Función Pública emitió una tarjeta informativa, en la cual alerta acerca de una forma alternativa de acceso a datos, por medio del buscador Shodan, de las versiones públicas de las declaraciones patrimoniales y de intereses de funcionarios públicos. Esto demuestra que la vulnerabilidad se encuentra a todos los niveles y sectores.

Este no es problema nacional, sino global. En la Unión Europea, en menos de un año después de que el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) entrara en vigor, Google fue multado con USD $57 M por no cumplirlo. La multa se debió a la violación por parte de Google de los requisitos de transparencia del reglamento y a que no había relacionado cada una de sus actividades de procesamiento de datos con una de las normas legales enumeradas en el GDPR.

Desde mayo de 2018, cualquier empresa que recopile o almacene información de identificación personal (IIP) de ciudadanos de la UE –incluidos los videos de vigilancia, la información de los titulares de tarjetas y las actividades rastreadas por un sistema de control de acceso, al igual que los números de matrícula capturados por un sistema de reconocimiento automático de matrículas (ALPR)– puede ser considerada responsable, independientemente del lugar en el que se encuentre la organización.

Con la aparición de reglamentos similares en todo el mundo, como la Ley de Privacidad del Consumidor de California, cada vez se presta más atención a la protección de los datos y la privacidad de las personas. Las organizaciones de todo el mundo están adoptando mejores soluciones de datos y privacidad para ayudar a salvaguardar la privacidad de los clientes, los empleados y los ciudadanos sin sacrificar la seguridad.

Sí se puede mantener la seguridad y proteger la privacidad

La protección de las personas y los activos muchas veces requiere que se recopilen datos personales, así como grabaciones de video de quienes usan los espacios públicos dentro o alrededor de sus instalaciones. Para cumplir con las regulaciones y las expectativas del público, el acceso a esta información o grabación a menudo debe restringirse.

“Si estás comprando una solución nueva de seguridad física, querrás considerar aquellas que tienen la privacidad incorporada desde el desarrollo de la solución. Cuando tu solución de seguridad física está diseñada desde cero con la privacidad en mente, no tienes que elegir entre proteger la privacidad de las personas y la seguridad física de tu organización”, comenta Alain Bissada, director sénior de Genetec México y Canadá.

El ejecutivo comparte algunos pasos clave para asegurar que se está respetando la privacidad individual sin comprometer su sistema de seguridad:

1. Tome el control

Cuando se trata de proteger la privacidad individual, es necesario controlar quién puede acceder a los datos y qué pueden hacer con ellos. Implementar soluciones que incluyan la autenticación en dos etapas es vital para mantener fuera a las entidades no deseadas. La autenticación ayuda a evitar que los hackers se hagan pasar digitalmente por su personal de seguridad y luego manipulen o copien sus datos, o accedan a información personal sensible.

Para proteger la privacidad también es importante limitar lo que se puede hacer con los datos que los sistemas de seguridad están recopilando. Mediante la autorización, los administradores de sistemas pueden especificar los derechos y privilegios de acceso. Esto significa que pueden definir derechos como limitar el intercambio y la edición de datos. Así, se puede evitar que la información personal sea manipulada o caiga en manos equivocadas.

2. Haga anónimo el video dinámicamente

La recolección de material de video se considera una actividad de alto riesgo en relación con la privacidad. Después de todo, ¿qué es más personal o privado que su propia imagen? Pero puede capturar y monitorear el material de video de manera segura sin poner a nadie en riesgo.

La solución es hacer dinámicamente anónimas a las personas en el campo de visión de una cámara. Al pixelar o desenfocar a las personas en la pantalla, permitirá al personal de seguridad ver sus movimientos y acciones, pero sus identidades estarán protegidas. Por supuesto, esto es solo una parte del problema.

¿Qué pasa cuando ocurre un incidente? Puede que tenga que dar acceso a sus imágenes como parte de una investigación. Las imágenes borrosas o pixeladas podrían impedir que los investigadores comprendieran plenamente un incidente. Para poder cumplir con el análisis, debe utilizar herramientas que capturen dos flujos. La primera es anonimizada y visible por el personal de seguridad. La segunda no se modifica en modo alguno, sino que solo es accesible para los usuarios autorizados.

3. Proteja los datos guardados y en transición

En la industria de la seguridad física y de la ciberseguridad, se ha ido más allá del enfoque de los firewalls para la protección de datos. Donde una vez se solía poner una fuerte línea de defensa y asumir que todo lo que había detrás era seguro, ahora reconocemos que esto no es suficiente. Necesitamos proteger todos los datos que se recolectan y están almacenados dentro de nuestros sistemas en todo momento. Encriptar los datos es una parte significativa de esta protección. Al encriptar los datos, tanto grabados como en transición, se evita que usuarios no autorizados puedan leerlos.

En su nivel más básico, el proceso implica el uso de un algoritmo para traducir datos de textos planos o legibles en datos ilegibles o texto cifrado. Para deshacer el proceso se necesita la correspondiente clave de descifrado. En última instancia, en el caso de que una entidad no autorizada acceda a sus datos, la información seguirá siendo ilegible, lo que la hará esencialmente inútil.

Investigue más sobre Auditoría y cumplimiento