Privacidad de Datos vs. Seguridad de datos

 

La actual pandemia de COVID-19 ha dado paso a un nuevo mundo donde las empresas están viendo un aumento en los ataques cibernéticos dirigidos a encontrar vulnerabilidades en sus sistemas. Independientemente del tamaño, cada empresa es un candidato potencial para los atacantes. Y cuando los sistemas recopilan datos personales de los usuarios, la privacidad de la información se vuelve crucial. Si los datos personales se exponen o caen en las manos equivocadas, las consecuencias podrían dañar la reputación de esa persona y afectar negativamente su situación financiera, así como la de la empresa que recopila los datos. Por lo tanto, nunca es demasiado tarde para adoptar un enfoque proactivo para proteger la información de sus usuarios.

 

De acuerdo con los resultados de la Encuesta Nacional sobre Disponibilidad y Uso de Tecnologías de la Información en los Hogares (ENDUTIH) 2017, más de 75% de cibernautas mexicanos han dejado algún dato personal (de identificación, sensible, patrimonial o biométrico) en sitios virtuales.

 

¿Cómo se ve la privacidad de datos en la Nueva Normalidad? ¿Y qué puede hacer para garantizar la seguridad de la información confidencial? Antes de darle algunas recomendaciones, veamos qué es la privacidad de los datos y cómo se diferencia de la seguridad de los datos.

 

Privacidad de Datos vs. Seguridad de Datos

Los sistemas de privacidad de datos supervisan el manejo adecuado de la información recopilada de los usuarios y cómo compartirlos con terceros, si corresponde o lo permiten las regulaciones. Mientras que la seguridad de los datos protege toda la información contra el acceso no autorizado y la corrupción de datos a lo largo de su ciclo de vida. La privacidad de los datos aprovecha las mismas protecciones que la seguridad de los datos, sin embargo, requiere una mentalidad diferente ya que se centra en proteger la información del individuo, no todos los datos en general. Debe ser más específico sobre qué datos proteger y quién es el interesado. Por ejemplo, puede comenzar preguntando: “¿A quién pertenecen los datos?” Estos aspectos son importantes porque, como empresa, probablemente esté recopilando más datos de los que necesita, y es vital que conozca todos los tipos de datos que sus sistemas están recopilando y cuáles son considerados datos personales y los que no.

 

Además, la perspectiva del atacante es diferente en la privacidad de los datos. Tal vez un atacante está apuntando a su sistema como solo una pieza de un ataque más significativo. En Europa, GDPR impone la implementación de la integración de la privacidad en los sistemas desde su fase de diseño y considera la privacidad como un atributo predeterminado. Un enfoque sistemático para identificar riesgos y mitigar los ataques a la privacidad de datos es utilizar un marco de modelado de hilos como LINDUUN.

 

Desde la perspectiva de Equinix, comparto algunas recomendaciones que puede comenzar a implementar de manera proactiva para mejorar la privacidad de los datos.

 

Cifrado de datos en tránsito y en reposo

Un buen enfoque es pensar primero que los datos que recopilan sus sistemas podrían caer en las manos equivocadas, incluso si tiene un nivel de seguridad adecuado. Nunca se sabe cuándo se pueden exponer los datos de un usuario, por lo que debe dificultar que los atacantes los lean. Puede lograrlo mediante la reparación de amenazas como la identificación o la divulgación de información, lo que puede limitar las consecuencias de que un atacante acceda a sus datos.

 

El cifrado de datos es crucial. Debe proteger los datos en tránsito y en reposo. Por ejemplo, hacer cumplir la autenticación de seguridad de la capa de transporte mutuo (TLS) o usar un protocolo HTTPS para todas las comunicaciones entre sistemas es esencial porque los datos pueden estar viajando en el mundo salvaje de Internet público, especialmente ahora que la mayoría de nosotros estamos trabajando desde casa y estamos utilizando una conexión a internet para transferir datos. Además, puede cifrar datos antes de guardarlos en una base de datos o un disco. Puede haber ocasiones en las que necesite replicar información entre entornos, lo que podría crear vulnerabilidades. Por ejemplo, asegúrese de no tener datos personales confidenciales, como la información de la tarjeta de crédito, dentro de un entorno de desarrollo.

 

Equinix SmartKey™ es un servicio seguro de administración de claves y criptográfico para datos locales o en la nube. Puede usar este servicio independiente de la nube para almacenar certificados SSL / TLS, secretos y cifrar / descifrar información confidencial utilizando nuestra API, línea de comandos o a través del portal SmartKey.

Comunicación privada entre activos.

 

Otra recomendación es mantener sus comunicaciones privadas lejos de la Internet pública para limitar la superficie de ataque y reducir los riesgos. La interconexión privada entre sus sistemas no es difícil y puede lograrse incluso en la nube pública. Sin embargo, con una topología híbrida, como una infraestructura local que necesita interactuar con un servicio de terceros basado en la nube como Salesforce, ¿cómo mantiene la privacidad de los datos durante esas transacciones?

 

Una solución rápida es utilizar una red privada virtual (VPN), sin embargo, si está utilizando Internet público entre los dos entornos, en algún momento el rendimiento de la red se degrada. Trabajar desde casa ha aumentado el consumo de VPN, lo que puede causar interrupciones y demoras debido al bajo ancho de banda y la alta latencia por la congestión del tráfico. El uso de la interconexión privada entre todos sus sistemas puede aumentar su ancho de banda disponible y disminuir su latencia. Con Equinix Cloud Exchange Fabric, puede establecer conexiones dedicadas directas y seguras mediante la interconexión definida por software a proveedores de la nube pública, como AWS, Azure, Google u Oracle, dentro de los centros de datos Equinix Business Exchange.

 

Y cuando combinas dispositivos virtuales usando los servicios de Network Edge, puede acceder a múltiples proveedores en la nube yendo más allá del centro de datos locales. Network Edge le permite aprovechar dispositivos de red virtuales remotos para conectarse a proveedores líderes en la nube en minutos, sin implementar hardware adicional. La comunicación privada para la privacidad de los datos reduce el riesgo de que los usuarios caigan en las manos equivocadas.

 

Escritorios virtuales para trabajo remoto

El aumento inesperado y reciente en el trabajo remoto ha obligado a muchas compañías a aumentar sus riesgos de seguridad al depender en gran medida de la Internet pública para comunicarse, intercambiar datos y acceder a las aplicaciones. Las empresas confían en qué tan bien se implementan las políticas de seguridad en las computadoras personales y las redes domésticas. Una infraestructura de escritorio virtual (VDI) es un enfoque recomendado para reducir los riesgos de seguridad en el hogar. En lugar de usar computadoras personales para el trabajo de todos sus usuarios, solo se usan para conectarse a una computadora virtual dedicada para fines laborales. Esto les da a las compañías el mismo control sobre sus comunicaciones e intercambio de datos que tienen en sus oficinas corporativas.

 

Algunos ejemplos de soluciones VDI basadas en la nube incluyen: AWS y Amazon Workspaces [i], Microsoft Azure y Windows Virtual Desktops[ii], y para una implementación independiente de la nube, está Citrix[iii]. Una vez que tenga una solución VDI, puede configurar conexiones privadas y seguras a recursos de terceros en la nube pública o una infraestructura local a través de ECX Fabric y/o Network Edge.

 

Adopte un enfoque de seguridad proactivo

No hay duda de que la nueva normalidad incluirá trabajar desde casa o lugares fuera de la oficina de la empresa. Es posible que las empresas no puedan cubrir todas las vulnerabilidades y riesgos, pero es importante incluir la seguridad en todos los aspectos de lo que hace. Los marcos para el modelado de subprocesos específicamente para la privacidad de datos como LINDUUN tienen una buena guía e ideas sobre lo que las empresas deberían considerar hacer para proteger los datos del usuario. En última instancia, debe considerar invertir en cifrado de datos e interconexión privada entre sus sistemas tanto como sea posible.

 

Amet Novillo, Director General, Equinix México

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *