Cómo Manejar Datos Personales (Sin ser Pirateado)

El IT Pro Panel pregunta cómo puede manejar los datos personales de forma segura

Ya sea que hayas cambiado el acceso a tus datos por la oportunidad de atrapar Pokémon  o hayas encontrado tu correo electrónico y contraseña entre los 500 millones filtrados de Yahoo , es probable que en el mundo actual, la mayoría de los servicios que utilizas contengan al menos parte de tu información personal.

El problema es si puede confiar o no en las empresas para mantener sus datos seguros, tanto de piratas informáticos como de espías del gobierno. Las filtraciones de datos afectan semanalmente a firmas enormes y confiables, mientras que los gobiernos obligan a las organizaciones a ayudarlas a espiar los datos de las personas.

Dropbox, por ejemplo, ha admitido que los piratas informáticos robaron 68 millones de credenciales de inicio de sesión de clientes en 2012, mientras que los proveedores de servicios de Internet pronto pueden comenzar a almacenar su historial de navegación web, si el proyecto de ley de poderes de investigación del gobierno se convierte en ley .

Este es solo el comienzo. Con la llegada del Internet de las cosas (IoT), miles de millones de dispositivos conectados llegarán a nuestros automóviles, hogares y lugares de trabajo.

Si bien tener dispositivos inteligentes hace que la vida cotidiana sea más conveniente, también brinda a los piratas informáticos nuevas oportunidades para ingresar a redes seguras y obtener nuestros datos.

No hay duda de que ceder sus datos personales lo ayuda a obtener servicios mejores y más personalizados y, como líder de TI, sabrá lo valioso que es para su organización recopilar la información de sus clientes. Pero también es vital que conserve su confianza, y la reputación de su empresa, manteniéndola segura.

Nuestro panel de expertos en TI analiza las mejores formas de manejar los datos personales de las personas y también cómo protegerlos de una gama cada vez más peligrosa de amenazas de ciberseguridad.

¿Qué hace que los datos personales sean valiosos para usted?

Pero, ¿cómo determinamos el valor de los datos personales? Un buen lugar para comenzar es observar qué hace que los datos sean útiles.

Gartner ve esto de diferentes maneras, desde examinar el costo de adquirir esa información en primer lugar, hasta qué tan precisa es. Pero podría decirse que una de las mayores medidas del valor de los datos es su puntualidad, que dicta cuán relevante y precisa es.

«El valor de los datos y la protección que se les brinda cambia con el tiempo», dice Paul Saunders, ex CIO de la Universidad de Dundee. «Por ejemplo, los informes financieros de una empresa a la calle el día antes de que se hagan públicos requieren un nivel de protección mucho más alto que el del día siguiente».

Mark Evans, director de TI de la empresa de construcción RLB, por otro lado, cree que la importancia de la puntualidad de los datos depende de para qué los esté utilizando.

«Los datos de los usuarios son el trampolín para la estrategia empresarial», dice Evans. «Desde el lustrabotas que instala su puesto cerca de donde hay la mayor afluencia y los clientes más probables hasta que Amazon sugiere otras» cosas que podrían gustarle «, los datos siempre han impulsado los negocios».

«El seguimiento de las tendencias del mercado a lo largo de los años para anticipar las condiciones futuras del mercado es algo que solo se puede lograr manteniendo datos históricos», señala.

Pero agrega: «Cuando los datos se relacionan con productos o servicios que ya no están a la venta, ese es probablemente el punto en el que debería producirse algún retiro de datos, sin embargo, esto sigue siendo completamente subjetivo, dependiendo completamente de los resultados requeridos».

Lo que es seguro es que los datos incorrectos que son inexactos, demasiado antiguos para cumplir su propósito o incompletos son peores que ningún dato, según Saunders.

«Los CIO deben poder confiar en los datos que recopilan», explica.

Manejo de volúmenes crecientes de datos

Para 2020 existirán casi 21 mil millones de dispositivos conectados, predice Gartner, lo que creará un potencial dolor de cabeza para los CIO que de alguna manera necesitan procesar y almacenar toda esta información.

Evans, de RLB, cree que analizar y mantener volúmenes cada vez más grandes de datos de IoT solo es posible en la nube, y considera que las alternativas en las instalaciones son una opción «poco realista».

«Es obvio para mí que la nube tiene su lugar en el análisis de datos», le dice a IT Pro . «Teniendo en cuenta los problemas de seguridad … la nube proporciona la elasticidad que se necesita cuando se trata de conjuntos de datos en constante aumento».

Mientras tanto, Saunders recomienda un enfoque más específico que le permite establecer objetivos o hacer ciertas preguntas, y luego recopilar solo los datos necesarios para lograr esos objetivos o responder esas preguntas.

«Es importante que una organización aborde el uso de datos desde una perspectiva estratégica», dice. «¿Cuáles son los principales objetivos estratégicos de la organización? ¿Qué problemas comerciales estamos tratando de resolver? ¿Qué datos nos ayudarían a resolver eso? ¿Cómo podemos combinar datos de una variedad de fuentes para obtener información que de otro modo no hubiéramos adquirido?»

¿Necesita un científico de datos?

Quizás una mejor pregunta para hacer es, ¿realmente existen? La gestión de datos es un trabajo complicado y técnico, pero crucial para los ingresos de la mayoría de las empresas, ya que el análisis de datos se convierte en parte integral de sus estrategias. En consecuencia, Evans de RLB dice que los científicos de datos que pueden «caminar por el camino» son cada vez más difíciles de encontrar, e IDC predice que la escasez de habilidades tecnológicas se extenderá a los científicos de datos y expertos en gestión de datos para 2020.

«Cualquier conjunto de habilidades que tenga un valor de escasez generará CV que deben más a ‘Alicia en el país de las maravillas’ que a la realidad», agrega Evans.

«El problema es que las personas que contratan analistas de datos a menudo no comparten una lengua vernácula y separar el trigo de la paja es extremadamente difícil».

Quizás un mejor enfoque sea facilitar la comprensión de los datos y ampliar el acceso a los usuarios finales habituales. IDC cree que sí; predice que durante los próximos cuatro años, el gasto en herramientas de visualización de datos de autoservicio será dos veces y media más alto que el gasto en otras herramientas de TI.

Saunders está de acuerdo y dice: «Los científicos de datos talentosos son pocos y distantes entre sí, por lo que los CIO deben buscar aprovechar el talento de toda la organización y proporcionar herramientas amigables para los negocios y un acceso más fácil a los datos para permitir a los equipos que no son de TI en el análisis y uso de la información. »

Sin embargo, el ex CIO del Consejo del Condado de Hampshire y presidente de BCS, Jos Creese, se muestra escéptico ante esta tendencia creciente.

«La investigación que habla de la ‘democratización del análisis de datos’ sin considerar los riesgos es simplemente ingenua», afirma. «Necesitamos implementar protección y control a medida que nos volvemos cada vez más transparentes para los gobiernos, las corporaciones y cualquier otra persona interesada en saber más sobre nosotros».

Los riesgos de tener información personal

Si los datos personales son valiosos para su organización, también lo son para los piratas informáticos. Aquellos que logran entrar en sus sistemas y hacerse con los datos que se supone que deben mantener seguros pueden venderlos en la web oscura al mejor postor.

O podrían explotar su valor para usted.Los ataques de ransomware, en los que los piratas informáticos bloquean a los usuarios de redes informáticas enteras hasta que se paga un rescate (generalmente en Bitcoin), se están volviendo más frecuentes: Intel Security reconoce que los ataques de ransomware han aumentado en un 3.000% desde que fueron visto por primera vez en 2012.

Saunders advierte que a medida que más y más dispositivos de IoT crean más y más datos, también crean más problemas. «A medida que las fuentes de datos crecen de estructuradas a no estructuradas y el IoT [se hace más grande], las amenazas potenciales de los datos crecen junto con el valor potencial», dice. En resumen, con la recompensa viene el riesgo.

Una de las amenazas que debe tener en cuenta es la identificación con rompecabezas, según Creese.

«El riesgo real radica en la conexión entre diferentes conjuntos de datos sobre nosotros», dice. «La capacidad de correlacionar datos será inmensa y nuestros dispositivos ya no son los productos, nosotros lo somos».

La filtración de tal nivel de detalle de un cliente sería catastrófico, especialmente después de que el Reglamento General de Protección de Datos (GDPR) de la UE entre en vigor en mayo de 2018 (después del Brexit, se espera que el Reino Unido adopte reglas similares a las del GDPR).

Esto introducirá una multa máxima del 4% de la facturación anual de una empresa, o hasta 20 millones, por violaciones de datos.

Cómo proteger los datos personales

Estas leyes de protección de datos más estrictas significan que es más importante que nunca proteger los datos de los clientes.

Creese dice: «El RGPD cambiará significativamente la ley de protección de datos de la UE. Este ya no es un tema que concierna exclusivamente a los profesionales de TI y los abogados. Los CIO y los especialistas en información deben asegurarse de que todos los líderes empresariales de los sectores público y privado comprendan los riesgos comerciales y las responsabilidades y tomar medidas efectivas para proteger a sus clientes, proveedores y sus propios intereses comerciales «.

Con eso en mente, ¿cómo se puede fortalecer la seguridad de su organización para que los hackers no puedan ingresar?

Tanto Evans de RLB como el ex CIO de Dundee, Saunders, creen que se trata de tener políticas y marcos sólidos que rijan exactamente cómo se manejan los datos.

«Tener políticas sólidas, bien vigiladas y publicitadas sobre el uso de datos y sanciones ampliamente conocidas e implementadas para cualquiera que infrinja las políticas», dice Evans. «Utilice las herramientas disponibles para proteger los datos y vigilar … utilizar los datos de forma responsable y no jugar» rápido y suelto «con información valiosa, que puede hacer o deshacer la organización».

Según BCS , la buena gobernanza cubre garantizar que exista responsabilidad por el uso de datos desde la junta hasta la persona responsable de la política, brindar a los clientes visibilidad de los datos que tiene sobre ellos, garantizar que tenga el consentimiento del cliente para conservar estos datos y ser abierto sobre para qué lo estás usando. Pero la conclusión es que debe dedicar tiempo a asegurarse de que sus políticas de uso de datos estén actualizadas (especialmente con el GDPR) y proporcionar un conjunto claro de pautas para su organización sobre quién puede acceder a qué datos y qué pueden hacer con ellos. .

Saunders agrega: «Los CIO necesitan construir marcos técnicos y de gobierno que fomenten el uso de una amplia variedad de fuentes de datos de manera segura».