Opinión

La protección de datos, la asignatura pendiente en las organizaciones

Como usuarios, clientes y/o trabajadores debemos ser más exigentes a la hora de decidir compartir nuestra información, apunta Manuel Moreno.

Manuel Moreno

jue 24 noviembre 2022 06:03 AM

La protección de datos, la asignatura pendiente en las organizaciones — En el “mercado negro” se ofertan decenas de bases de datos que valen entre 1 y 60 dólares, dependiendo la información, que puede ser desde una suscripción a algún servicio hasta una tarjeta de crédito sustraída, señala Manuel Moreno. (iStock)

(Expansión) - En la última década el término ciberseguridad ha cobrado relevancia al interior de cualquier plática empresarial, sin importar el sector o el rubro al que se dediquen, ya que ha dejado de ser una especialidad, exclusivamente, tecnológica, para ser una estrategia fundamental de fortalecimiento del negocio, a través de las garantías razonables de continuidad, seguridad de la información y protección de los datos que otorga, ante un contexto de vulnerabilidad cibernética.

De hecho, la consultora Gartner ha adelantado como una de las principales predicciones para 2023 que las regulaciones gubernamentales que exigen a las organizaciones la protección de la privacidad del consumidor cubrirán a 5,000 millones de ciudadanos y más del 70% del PIB mundial, en comparación con los 3,000 millones de personas que tenían acceso a esos derechos, en 2021.

Esto refleja la necesidad imperante de que la iniciativa privada conozca e implemente las normas y/o estándares en materia de privacidad y seguridad de la información, las cuales contribuyen a mantener y aumentar las fuentes de ingresos empresariales, al otorgarles la ventaja competitiva de mantener a salvo el activo más importante del negocio: los datos tanto internos como externos, incluyendo clientes y terceros involucrados en la cadena de suministro.

Por supuesto, la primera reglamentación a conocer por la iniciativa privada debe ser la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), que desde 2012, pretende salvaguardar los denominados derechos ARCO: Acceso, Rectificación, Corrección y Oposición, para que las personas tengamos el poder de controlar nuestros datos personales aún, cuando estos estén en posesión de cualquier persona física o empresa particular como aseguradoras, bancos, tiendas departamentales, telefónicas, hospitales, laboratorios, universidades, entre otras.

Y eso es solo un listado conocido de posibles poseedores de nuestra información, faltaría nombrar a los que de manera aparentemente legal obtienen nuestra geolocalización y los que de manera ilegal obtienen listas de credenciales ofertadas en la Dark Web.

Lee más

Opinión

Delincuentes sacan ventaja de la escasez de talento en ciberseguridad

Todo ello a pesar de que los Artículos 19 y 29 de la LFPDPPP reflejan, claramente, la obligatoriedad de las empresas de mantener medidas de seguridad técnica que permitan proteger los datos personales contra cualquier daño, pérdida, alteración, destrucción o uso, acceso o tratamiento no autorizado y, en caso de ser omiso, las sanciones son explícitas en el capítulo X, a partir del Artículo 63.

Incluso, en el primer semestre de 2022, el INAI impuso multas por un monto total de 18 millones 107,000 pesos por el mal tratamiento de datos personales, pero el monto aún parece mínimo frente a las ganancias millonarias que obtienen los actores oportunistas al acecho de información que les abra la puerta a otros delitos.

Esto pasa en México, aún considerando que, según CISCO, en 2021 el empresariado mexicano invirtió, en promedio, 2.3 millones de dólares en proyectos orientados a la privacidad y la protección de datos personales. Ojalá este año, este número creciera al 100% poniendo en el centro de la transformación digital una estrategia de ciberseguridad, basada en la protección de información.

A nivel mundial existen otras normas aplicables dependiendo del desarrollo del negocio, el más conocido por su aplicación internacional es el Reglamento General de Protección de Datos (GDPR por sus siglas en inglés) de la Unión Europea, en el cual, además, están basados muchos de los estándares de protección de datos como lo es el ISO 27001 o Sistema de Gestión de la Seguridad de la Información (SGSI), un marco de políticas y procedimientos que incluye todos los controles legales, físicos y técnicos que forman parte de los procesos de gestión de riesgos de información de una empresa.

Lee más

Opinión

La evolución de las ciberamenazas por encima de la ley

Ese tipo de certificaciones, alineadas a leyes regionales y mundiales, les permite a las organizaciones acceder a clientes con altas exigencias en relación con la seguridad de la información, además de que les otorga competitividad. Ello tomando como base que ante la explotación de una brecha de ciberseguridad (situación a la cual estamos expuestos todos) los datos en su posesión estarán protegidos. No obstante, diferentes hechos nos han demostrado que esto es algo que pocas empresas han podido lograr, aun cuando su discurso se enfoca en solo reconocer el ataque y negar que sus datos fueron vulnerados.

Lo cierto es que en el “mercado negro” se ofertan decenas de bases de datos que valen entre 1 y 60 dólares, dependiendo la información, que puede ser desde una suscripción a algún servicio hasta una tarjeta de crédito sustraída.

Ante este panorama, como usuarios, clientes y/o trabajadores debemos ser más exigentes a la hora de decidir compartir nuestra información, a fin de impulsar a que cada vez más las organizaciones valoren la importancia de incluir entre sus políticas la protección, el tratamiento y la transparencia del uso de datos, de los que somos dueños.

Nota del editor: Manuel Alexandro Moreno Liy es Director de Habilitación de Ventas de Seguridad en IQSEC. Síguelo en LinkedIn . Las opiniones publicadas en esta columna corresponden exclusivamente al autor.

Consulta más información sobre este y otros temas en el canal Opinión