Ante el incremento de ciberataques en América Latina, la protección de datos personales ha cobrado especial relevancia. Empresas privadas y gubernamentales tienen en su poder millones de datos personales y biométricos de clientes y de la población, que en caso de carecer de la protección y seguridad necesaria, se convierten en objetivo de gran valor para el cibercrimen.
Las bases de datos se encuentran entre los activos más vulnerables ante una amenaza de ciberseguridad. Se estima que la venta de datos de una tarjeta de crédito en la dark web está entre los 6 y 10 euros; documento nacional de identidad con nombre completo, dirección, número de teléfono, e-mail y número de Seguridad Social, oscilan entre los 0,5 y los 10 dólares; mientras que los historiales médicos entre 1 y 30 dólares, y los pasaportes, carnets de conducir o servicios de suscripción apenas superan los 25 dólares.
El manejo de datos personales y biométricos relacionados con la identidad de una persona, requiere del mayor cuidado posible. “De ahí que los países de Latinoamérica deben aprovechar la oportunidad de desarrollar sus leyes de protección de datos mejorando los modernos estándares de protección de datos personales y observando su cumplimiento en beneficio de sus ciudadanos. Países como Brasil, Chile, Argentina, Colombia, México y Perú, han aprobado reformas regulatorias en materia de protección de datos”, dijo Oswaldo Palacios, Senior Account Executive para Akamai.
De acuerdo con el especialista, los robos y filtraciones de bases de datos están a la orden del día, por lo que los responsables del tratamiento de datos personales deben establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
En ese sentido, el directivo resaltó que con el fin de proteger al máximo la información confidencial las empresas deben contar con las herramientas adecuadas para el resguardo de los datos de los usuarios, ya que en caso de haber alguna fuga de información pueden enfrentar consecuencias legales y acciones colectivas por parte de los usuarios. Adicional al daño en la imagen del proveedor de servicios del que se trate.
“Si no se tiene el conocimiento sobre las soluciones de ciberseguridad adecuadas, las bases de datos pueden terminar en la dark web o peor aún en sitios web abiertos”, advirtió Oswaldo Palacios, quien agregó que por tal motivo aconsejan tener herramientas que otorguen visibilidad de extremo a extremo y a nivel proceso para saber quién está accediendo a qué recurso.
A decir del especialista, entre las tecnologías de seguridad prioritarias para la protección de datos, tanto de manera interna como externa, se encuentran aquellas enfocadas en la contención de ataques de negación de servicios, seguridad a nivel perimetral, ambiente, aplicación y proceso que se estén ejecutando en los servidores. De esta manera se tendrá una completa visibilidad de cómo se comunican las aplicaciones entre ellas y con su entorno.
A fin de proteger los datos personales y biométricos de la población, Oswaldo Palacios recomendó a aquellas instituciones públicas como privadas que tienen bajo su poder dicha información seguir los siguientes tres consejos clave para reducir considerablemente el riesgo de filtración de los datos personales y biométricos:
1. Buena higiene. Con demasiada frecuencia, los ciberataques comienzan aprovechando la falta de higiene. Se sugiere hacer un mejor trabajo para encontrar vulnerabilidades no parcheadas en aplicaciones, y mejor administración de contraseñas y cuentas y habilitación de la autenticación de dos factores: muchos ataques provienen de simples ataques de contraseña de fuerza bruta contra aplicaciones de autenticación de un solo factor.
2. Mejor segmentación y microsegmentación. Cuando una empresa incorpora técnicas modernas de segmentación, aunque sea con moderación, su riesgo se reduce enormemente. Es muy importante microsegmentar el ambiente y aplicaciones utilizadas, para evitar que terceros sin autorización puedan acceder a recursos no permitidos.
3. Planes y prácticas de respuesta a incidentes adecuados. Tener un plan estratégico de respuesta a incidentes que incorpore no solo al personal técnico, sino también a las partes comerciales y legales que deben involucrarse. Estas prácticas deben realizarse con simulacros de respuesta a incidentes planificados y ejecutados para establecer puntos ciegos o brechas en la seguridad.
Finalmente, Oswaldo Palacios mencionó que existen herramientas innovadoras de protección de datos personales que ofrecen una completa visibilidad de cómo se comunican los activos del centro de datos a nivel de proceso. Este tipo de soluciones permiten crear reglas de segmentación y microsegmentación basadas en la propia información y necesidades operativas, ayudando a tener un ambiente de confianza cero (Zero Trust) con capacidades avanzadas de detección de amenazas, sin importar en donde se encuentren física o lógicamente los servidores.