fgnopporn - stock.adobe.com
Falta gobernanza en la gestión de las bases de datos en México
IQSEC evalúa las áreas por mejorar en la gestión de los datos biométricos ante la creación de una base de datos nacional en México.
La generación de una base de datos de biométricos, práctica que ya se ha generalizado en el sector financiero en México, revela áreas sin protección que obligan a promover mayores controles de seguridad en el manejo de información biométrica.
Tan solo en el primer trimestre del año, se dio a conocer la venta, en un sitio de la web oscura, de una base de datos de más de 97 mil usuarios bancarios mexicanos, como parte de un total de dos millones de tarjetas de crédito y débito robadas en todo el mundo, algunas con fechas de vencimiento de hasta 2052. Este hecho se sumó a la filtración, informada en febrero, de una base de datos del Buró de Crédito que data de 2016, la cual habría sido eliminada sin el procedimiento correcto.
De acuerdo con las mejores prácticas de la industria, toda institución que recopile información de carácter sensible, como lo son las características biométricas, debe promover su efectiva gobernanza, desde la captación hasta su resguardo, para evitar la filtración, la violación o el mal manejo de las bases de datos.
“La generación de una base de datos biométricos no es algo nuevo en México. De hecho, es una práctica generalizada en el sector financiero desde 2017, a partir de la publicación del Anexo 71, de la Circular Única de Bancos. Sin embargo, se ha encontrado áreas de oportunidad que obligan a promover mayores controles de seguridad en el manejo de información biométrica para evitar poner en riesgo a los usuarios de cualquier servicio”, afirmó Manuel Moreno, director de Habilitación de Ventas de Seguridad de IQSEC.
Falta gobernanza de información en la ciberseguridad
El principal faltante en la seguridad de bases de datos es la gobernanza en la información, tanto al momento de su captación, como en su manejo y resguardo, y en la eliminación de los datos.
“El manejo de información, en sí, trae grandes riesgos que aumentan ante la falta de control, definición de responsabilidades, roles y procesos para gestionar y proteger los datos a lo largo de su ciclo de vida. Más aun tratándose de datos biométricos, considerados sensibles, cuya filtración detonaría consecuencias graves no solo para la organización o la institución encargada de recopilarlos, [sino] también para el usuario mismo”, explicó el experto.
Con las brechas y filtraciones de información, las organizaciones y los usuarios están expuestos a la pérdida de privacidad, la suplantación de identidad, los fraudes y otros delitos. Además, las organizaciones –públicas y privadas– podrían hacerse acreedoras a sanciones legales y financieras.
En 2022, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) reportó una recaudación de $60,078,958 pesos mexicanos (US$ 3,476,530) en concepto de multas por infracciones a la Ley gederal de Protección de datos personales en posesión de particulares (LFPDPPP).
Moreno explicó que el uso de herramientas de gobernanza, riesgo y cumplimiento (GRC) y de administración de identidades (IGA), en conjunto, ayuda a dar certeza razonable de que cada base de datos –en manos de particulares o sujetos obligados– esté segura y disponible para las personas adecuadas, en el momento requerido.
“En consecuencia, en cada recopilación de datos, las organizaciones, tanto públicas como privadas, deberían adherirse a certificaciones y estándares que promuevan su compromiso con las buenas prácticas de gobierno de datos, como lo son las ISO/IEC 30107-3, 27001 y 27701”, refirió el ejecutivo de IQSEC.