Una nuva ola de regulaciones y leyes de protección de datos y privacidad pone a las organizaciones de todo el mundo bajo una mayor presión para comprender y proteger la información sensible. La OEA “reconoce la importancia de promover el desarrollo y la armonización jurídica de esta temática, así como la transparencia en el tratamiento de estos datos, la rendición de cuentas por parte de los controladores y encargados, la seguridad de los datos sensibles, la agilización del comercio nacional e internacional y el empoderamiento de los ciudadanos respecto del tratamiento de sus datos personales”.
En resultados presentados en el reporte "Ciberseguridad: Riesgos, Avances y el Camino a seguir en América Latina y Caribe" preparado por OEA y el BID, indica que 17 de 32 países poseen políticas públicas e iniciativas para mejorar su ciberseguridad. El estudio incluye la evaluación de legislación de protección de datos y capacidad de respuesta a incidentes entre otros aspectos relevantes en los países de la región.
Algunos ejemplos de regulaciones incluyen: a) el Reglamento General de Protección de Datos de la Unión Europea (GDPR por sus siglas en inglés); b) la Ley de Ciberseguridad de China; c) la Enmienda de Privacidad de Australia; d) la Ley de Transacciones y Comunicaciones Electrónicas de Sudáfrica, f) Convenio sobre Cibercrimen del Consejo de Europa (Convenio de Budapest), f) la Ley 8968 de Protección de la Persona Frente al Tratamiento de sus Datos Personales de Costa Rica, g) Ley 81 de Protección de datos personales de Panamá.
Según la última encuesta global de Análisis Forense de Datos 2018 realizada por EY a más de 745 compañías en 19 países, existe poca preparación por parte de las organizaciones para el cumplimiento del GDPR y reducido conocimiento sobre su impacto extraterritorial:
Para cumplir con estas disposiciones y aprobar el escrutinio sin precedentes que traerán estas nuevas regulaciones y leyes, las organizaciones actualizan sus conjuntos de habilidades, tecnologías y flujos de trabajo sobre el tratamiento de los datos.
¿Cómo ayuda la tecnología forense para identificar las brechas en la protección de datos personales?
Hoy en día, existen herramientas forenses para identificar las brechas que sufren las organizaciones y los caminos que pueden cursar para cumplir con las regulaciones locales e internacionales sobre la protección de los datos personales. Estas herramientas forenses permiten prevenir, pero también detectar y monitorear violaciones a las disposiciones. Si una violación a los datos sucede, las herramientas permiten investigar y preparar evidencia para entregar a los reguladores.
Estas herramientas forenses analizan diferentes procesos y controles al interior de las organizaciones, como los siguientes:
- Asignación y administración de los usuarios de la organización.
- Uso de contraseñas y autenticación de los usuarios.
- Mecanismos de protección de la información.
- Seguridad en redes inalámbricas.
- Configuración y reutilización de equipos.
- Seguridad física.
- Manejo de los respaldos de información.
Ataques del exterior
Las organizaciones también deben proteger los datos personales de ataques cibernéticos y de hackers. Similar a los planes de emergencia y evacuación que establecen las empresas, existe una práctica común en el ámbito informático para establecer un plan de respuesta a ataques y a brechas cibernéticas. Un plan de respuesta de este tipo permitirá a la organización ejecutar un proceso de identificación, adquisición y preservación de la evidencia que sufrió el ataque para proceder posteriormente a su análisis forense y su evaluación del impacto.
La aplicación de este plan establece una investigación exhaustiva, que en algunos casos permite recuperar la información sustraída y en otros establecer medidas correctivas y de remediación para que no suceda de nuevo. Finalmente, estos planes de respuesta suelen incluir la participación de abogados para ejecutar las acciones legales que correspondan.
El plan de respuesta permitirá identificar, a través de una variedad de métodos, los datos potencialmente comprometidos:
- Datos comprometidos por encontrarse en los sistemas vulnerados.
- Conexiones de red y filtraciones utilizadas por el atacante.
- Virus y software malicioso colocados que puede utilizar el atacante más adelante.
- Aplicaciones contaminadas.