Seguridad en América | Post

CDMX, 3 de agosto del 2020.- Con el fin de mantener su dinámica de actualización para los profesionales de ciberseguridad, Infosecurity Mexico llevó a cabo el webinar titulado “Libera tus iniciativas de datos con una estrategia de privacidad”, a cargo de Stephanie Percástegui, Marketing & Business Development Manager, de Excelerate Systems, y de Javier Abascal, Data Privacy Engineer, de Privitar, encabezados por Juan Manuel Rodríguez, director del evento que tendrá su versión virtual del 22 al 24 de septiembre de este año.

Para iniciar, Stephanie Percástegui definió a la seguridad como toda práctica que se lleva a cabo para reducir el riesgo de que ocurra una fuga de datos, para lo cual, se debe utilizar tecnología que contribuya a la protección de la información sensible contra ingresos no autorizados, mediante un control de acceso, cortafuegos o firewalls, y comprobando que la solicitud de consulta a estos datos esté autenticado y previamente autorizado. Todo esto sucede en tanto los datos permanezcan almacenados.

“Por su parte, la privacidad consiste en eliminar o disminuir la consecuencia de una fuga de datos, para prevenir que los usuarios infieran información sobre las personas que tenemos en nuestras bases de datos por lo que, para ello, tenemos que proteger los identificadores primarios y generalizar los cuasi identificadores. Por eso podemos afirmar que la privacidad y la seguridad son complementarias; deben trabajar en conjunto” agregó la representante de Excelerate Systems.

Stephanie hizo ver que, si bien existe la figura del usuario autorizado que puede acceder a fuentes de datos sensibles a través de distintos tipos y niveles de seguridad, también hay usuarios no autorizados, interesados en acceder a los datos porque quieren causar daño, robar información para venderla, pedir un rescate o tener una ventaja competitiva. “Los no autorizados ya saben que derribar las barreras de acceso ya no tiene sentido, porque casi siempre son muy eficientes y es difícil penetrarlas. A cambio, recurren a la ingeniería social, buscando robar contraseñas, estafar vía correo electrónico, o aplicar fishing, y por ello, se ha detectado la tendencia de que la mayoría de las brechas de seguridad son causadas por un usuario, que con o sin intención causa una fuga de información”.

Por otro lado, Stephanie explicó qué son los identificadores directos y los cuasi identificadores, comentando que los primeros son las variables que de manera unívoca identifican a un individuo. “Un identificador directo es mi nombre o mi correo electrónico, el número de la tarjeta de crédito, el RFC o la CURP. Los cuasi identificadores, por sí mismos, no identifican a un individuo, pero combinados sí lo logran. Por ejemplo, el género, la edad, el cargo, el código postal son cuasi identificadores porque no soy la única persona que cumple con estos atributos. Combinándolos puedo proteger mi identidad”.

Así, los identificadores directos son únicos y, por eso, son ideales para identificar a un individuo en un conjunto de datos. De esta forma, un conjunto de datos tiene sentido y se puede agrupar de manera lógica; son las variables que se usan en los sistemas para hacer seguimiento histórico sobre los individuos. Los cuasi identificadores que son los atributos que los identificadores directos van a tener; añaden valor a los análisis. Estos datos ayudan a encontrar patrones y son útiles para la analítica.

“Los datos son un activo muy importante para las organizaciones, pero hay que balancear tres de sus aspectos: la utilidad, la velocidad de acceso a los mismos y su privacidad. Si nos fijamos solo en utilidad y velocidad, vamos a dejar fuera la privacidad, lo que puede acarrear consecuencias monetarias, daño a la marca y a la confianza. Si nos enfocamos solo en utilidad y privacidad, vamos a terminar por bloquear el acceso, lo que puede afectar la migración a la nube y la analítica avanzada y compartir datos. Tenemos que diseñar un esquema que optimice su gestión”, indicó Stephanie.

Ante tal panorama, Javier Abascal sugirió la implementación de tres pilares: Administrar las políticas de privacidad centralmente y de forma consistente en toda la organización; implementar técnicas para proteger los datos eficazmente y utilizar una amplia gama de técnicas para ejercer privacidad de la información; y crear conjuntos de datos con un propósito limitado. “Para tener una plataforma de privacidad lo que hace falta es proteger los datos, pero que sean usados, liberando el acceso, reduciendo el riesgo y maximizando el valor de los propios datos”.

Como ejemplo de una estrategia exitosa de seguridad, que combina la gestión correcta de los accesos junto con la ejecución correcta de los pilares sugeridos, Abascal mencionó el caso de una institución bancaria líder en México que tenía un gran rezago tecnológico, debido a que en su crecimiento corporativo fue adquiriendo empresas junto con sus sistemas y equipos, lo que generó un volumen y una variedad de datos enorme, “y  se enfrentaba al reto de que ante tal cantidad de información, sus  estándares de seguridad no les permitían obtener todo el potencial a esos datos”.

“Por ello, decidieron usar una plataforma de privacidad para llevar a cabo una gobernanza centralizada, que les iba a permitir escalar y se podía instalar y trabajar tanto en la nube como en la instalación local, es decir de una forma hibrida. De 20 plataformas consolidaron una y así optimizaron sus operaciones, fue una decisión estratégica para satisfacer las necesidades globales del futuro que vamos a encontrar, incluso con cuestiones de jurisdicción y regularización con exigencias globales”, finalizó Abascal, quien recordó que este tipo de prácticas e historias se van a difundir en el próximo Online Infosecurity Summit del 22 al 24 de septiembre vía www.infosecuritymexico.com