Llegamos a ustedes gracias a:



Reportajes y análisis

Fundamentos de privacidad y gobernabilidad de datos

[19/03/2010] Todos sentimos inquietud y desconfianza en torno a las conocidas violaciones de seguridad de datos, el creciente fraude en línea y el robo de identidad. La solución no pasa por apagar la computadora y desconectar Internet en la casa o en la oficina, sino por mantenernos informados y vigilantes sobre lo que pasa en nuestras máquinas.

En su Sesión Mensual de Seguridad titulada Fundamentos de Privacidad y Gobernabilidad de datos, Christian Linacre, gerente de Seguridad y Privacidad de Microsoft Latinoamérica, señaló que a medida que los adelantos en las tecnologías de información y comunicación continúan aumentando y acelerando el flujo de información, el ecosistema de la computación se convierte en el blanco de la gente que busca obtener información personal para fines fraudulentos o dañinos.
Linacre explicó lo que la compañía ha venido realizando diversas acciones con el fin de resolver los retos de la privacidad. En enero del 2002, Microsoft cambió de raíz la manera en que diseña y desarrolla su software con el lanzamiento de la iniciativa Computación Confiable, un esfuerzo colaborativo a largo plazo para brindar a toda los usuarios experiencias de computación más seguras, privadas y confiables. Comentó que Windows 7 se diseñó y desarrolló utilizando el Security Development Lifecycle (SDL) (Ciclo de vida de desarrollo de seguridad), que define un riguroso proceso de diseño, codificación, evaluación, revisión y respuesta para los productos de Microsoft que manejan información confidencial o personal, o que se comunican con regularidad a través del Internet.
Acciones y medidas estrictas
Agregó que hasta el día de hoy, Microsoft ha apoyado más de 1300 acciones legales en contra de personas que envían correo no deseado, estafadores que utilizan la práctica del phishing y distribuidores de código dañino. Dichas acciones consisten en ayudar a las agencias policíacas de todo el mundo a llevar a juicio a los delincuentes cibernéticos, así como entablar demandas civiles, precisó.
Linacre también citó la llamada Operación b49, que consiste en una serie de medidas estrictas contra los botnets, gracias a la cual se logró la derrota del botnet Waledac que Microsoft llevó a cabo a finales de febrero, y que fue el resultado de meses de investigación y de la aplicación innovadora de una estrategia legal comprobada y verdadera, detalló Linacre.
Microsoft estima que Waledac tenía la capacidad de enviar más de 1,5 mil millones de correos electrónicos no deseados por día. También se encontró que entre el 3 y el 21 de diciembre del 2009, aproximadamente 651 millones de correos electrónicos no deseados -incluyendo ofertas y páginas falsas relacionadas con farmacias en línea, bienes de imitación, empleos, acciones de bajo precio y más- atribuibles a Waledac, fueron dirigidos tan solo a cuentas de Hotmail.
Y sobre la Gobernabilidad de datos
Linacre describió un mundo caracterizado por la acumulación de datos. Sostuvo que las empresas dependen cada vez más de los datos confidenciales, tales como la propiedad intelectual, la inteligencia de mercado y la información personal de los clientes. Mantener la privacidad y confidencialidad de esos datos, así como cumplir los requerimientos de la creciente lista de obligaciones de cumplimiento relacionadas, son las principales inquietudes de organizaciones gubernamentales y empresas por igual. El flujo rápido y masivo de información a través del Internet ha desempeñado un papel clave en esta transformación, ya que ha permitido el desarrollo de aplicaciones que utilizan análisis inteligente de datos, expansión de ventas y canales de servicios, entre otras herramientas.
¿Y de dónde salieron tantos datos? Según explica Linacre, las empresas y los individuos han acumulado cantidades impresionantes de datos a partir de las diferentes aplicaciones, junto la reducción del costo del almacenamiento. A continuación citó un estudio realizado por la Escuela de Información de la Universidad de California, en Berkeley, según el cual se estimó que la producción total de contenido del mundo en el 2002 requirió cinco exabytes (5 mil millones de gigabytes) de almacenamiento. También estimó que ese volumen estaba creciendo a una tasa anual promedio de 30%. Si esas tendencias continúan, los humanos requerirán 40.8 exabytes de espacio de almacenamiento para datos nuevos en el 2010. Eso equivale a 2.7 gigabytes por cada hombre, mujer y niño en el planeta, precisó.
 
Leyes y regulaciones
Como consecuencia, esta situación ha creado conciencia sobre la necesidad de proteger los datos confidenciales que guardan las empresas en contra del abuso y la difusión o modificación no autorizada. En algunos casos, esas inquietudes han conducido a la aplicación de leyes y regulaciones que varían por industria o país, y a la creación de estándares específicos de la industria. Las empresas, ya sean privadas o públicas, se encuentran frente a retos que en ocasiones pudieran parecer insuperables.
Estos retos son, en primer lugar, la protección de la información para evitar el alto costo financiero y el impacto en la reputación que los incidentes de seguridad pueden ocasionar en una empresa. Según DataLossDB, más de 218 millones de registros con datos personales de individuos se vieron comprometidos en 436 incidentes durante el 2009. También, un estudio sobre las empresas que sufrieron uno o más incidentes de violación de datosdurante el 2008, encontró que el costo promedio en el cual incurrieron las empresas fue de 6,6 millones de dólares(sin incluir costos de litigio a largo plazo y las multas relacionadas). El estudio también encontró que dichas empresas perdieron un promedio de 3,6% de su base de clientes como resultado del incidente. Para las instituciones financieras, la pérdida promedio fue de 6%.
Más retos para las empresas
Otro reto para las empresas es la privacidad de la información. Según Linacre, las inquietudes sobre la privacidad personal, así como el abuso o uso negligente de la tecnología por parte de las empresas, están generando un cambio importante. Los consumidores desean controlar la forma en que se recopila su información personal, con quién se comparte y cómo la utilizan las partes involucradas. Esto representa un cambio drástico en la manera en que muchas empresas solían emplear los datos de los clientes: como algo que era propiedad de la empresa y que, por lo tanto, explotaba como mejor le convenía. Las empresas inteligentes ahora agradecen que los clientes les confíen sus datos personales, y entienden que dicha confianza posee un valor empresarial significativo.
Y un tercer reto es el panorama regulativo complejo.Linacre explicó que los organismos legisladores y las instituciones gubernamentales han optado por regular el procesamiento y la transferencia de la información personal. Estas acciones tienen dos objetivos principales: Incrementar el conocimiento y el uso de mejores prácticas, y promover niveles de autorregulación, para impedir la aplicación de leyes cada vez más estrictas que podrían dañar a las industrias o el comercio en general. Detalló que en la mayoría de los países europeos, el derecho a la privacidad se considera un derecho humano básico. Los países miembros de la Unión Europea están obligados a aplicar leyes que cumplan con la Directiva de Protección de Datos. Muchas otras naciones también han aplicado una legislación de privacidad completa, tal es caso de Australia, Argentina y Canadá.
 
Para finalizar identificó cuatro principios generales que pueden aplicarse en la mayoría de las empresas: respetar las políticas a lo largo del ciclo de vida de los datos confidenciales, minimizar el riesgo del acceso no autorizado o el abuso de los datos confidenciales, minimizar el impacto de la pérdida de datos confidenciales, y documentar los controles aplicables y demostrar su efectividad.
Roxana Rojas, CIO Perú