La privacidad es un derecho esencial en nuestras vidas, así como en las organizaciones y empresas. Por otro parte, el uso de la tecnología se ha acelerado durante el COVID-19, y los programas maliciosos, como el phishing, spyware, bots y ransomware, han seguido esta evolución. Y como antecedente final, sabemos que la protección de la información crítica es vital, dada la cantidad de múltiples vías de acceso a ella y repositorios variados; por lo tanto, la labor que debemos desempeñar para asegurar dicha información es aún más amplia.
Actualmente, la nube pública está experimentando un auge que parece imparable. La escalabilidad bajo demanda, los bajos costos iniciales, el almacenamiento y las aplicaciones ofrecen a los usuarios alta disponibilidad, facilidad para compartir y acceso garantizado fuera de sus redes, lo que aumenta la productividad. Sin embargo, también genera una amplia brecha de seguridad en la información.
En este contexto, se han creado entidades internacionales que nos brindan directrices sobre cómo proteger nuestra información, así como políticas que regulan la protección de datos en muchos países. Por ejemplo, la Ley de Protección de Datos obliga a las empresas a responsabilizarse de la información que reciben de usuarios internos y externos.
A través de políticas y soluciones tecnológicas para manejar la información crítica, se puede mejorar la protección.
En 2023, ya existen varios países de la región que han establecido sus propias leyes para hacer obligatoria la protección de datos, entre ellos, Ecuador, Colombia, Argentina, Perú, Uruguay; la mayoría de los cuales se han visto influenciados por la directiva expuesta por la Unión Europea años atrás, el Reglamento Europeo de Protección de Datos.
Si analizamos más a fondo esta Ley de Protección de Datos, podemos decir que está fundamentada en cuatro factores en función del ciclo de vida de los datos, que son:
1. Estandarización y construcción. - identificación de la necesidad de uso y las finalidades del tratamiento; casos de aplicación; el diseño; y, modelamiento y construcción de la arquitectura de datos.
2. Protección de la Información. - homologación de los procesos; estandarización de la clasificación de los datos; la aprobación del diseño, modelamiento y arquitectura de datos, servicios y sistemas; así como, del acceso a los servicios de dicho sistema o de las autorizaciones de consumo masivo conforme a las resoluciones que para dicha finalidad emite la Dirección Nacional de Registro de Datos Públicos.
3. Interconexión y seguridad. - construcción; publicación; interconexión entre los actores del servicio; el control de acceso; la gestión del diseño, modelamiento y arquitectura de datos, servicios y sistemas; el acceso a los servicios de dicho sistema o las autorizaciones de consumo masivo; así como, el tratamiento, interconexión, intercambio o interoperabilidad de la información, incorporando criterio integral de seguridad en cada proceso.
4. Mejora continua. - Comprende el proceso sistemático y permanente de identificación de actividades susceptibles de mejora, la implementación de acciones al respecto, su evaluación y control y el consecuente proceso de corrección y perfeccionamiento en el diseño, modelamiento y arquitectura de datos, servicios y sistemas.
A partir de esto, se pueden desarrollar y revisar los puntos a considerar por una empresa en relación con cada numeral de las leyes de protección de datos. No obstante, es importante tener en cuenta que cada ley tiene características adicionales y modificatorias que la hacen más específica. Este análisis solo pretende dar una visión general sobre la nueva era de la protección de la información.
En el ámbito tecnológico, la mayoría de la información se maneja a través de medios digitales, lo que implica que la protección de la información recae en los sistemas que se ponen a disposición de los usuarios.
Por esta razón, cada empresa debería contar con un reglamento interno que garantice el cumplimiento de las leyes de protección de datos. Las políticas de tecnología deben estar basadas en este reglamento, por ejemplo, en cuanto a cómo compartir información, conocer los usuarios que manejan información crítica, determinar los medios de comunicación más seguros e inseguros, establecer sistemas de alta disponibilidad para disponer la información a quien corresponda, encriptación de la información para protegerse de posibles ataques e intentos de robo, respaldos de la información, prevención de fuga de información, planes de recuperación ante desastres y mejora continua.
En conclusión, es fundamental tener un plan estratégico de implementación para protegernos de los intentos de robo de información y ataques cibernéticos cada vez más sofisticados y abundantes; y cumplir con las leyes de privacidad y protección de datos personales. Es importante actuar pronto en ambos sentidos.
Si desea conocer más sobre este tema o requiere asesoría profesional escríbenos a info@telavog.net.