El Informe Global de Internet para 2016

Internet Society ha publicado recientemente su Informe Global de Internet para 2016, y el tema principal al que dedica este reporte es la infracción de datos, la fuga de información y el robo o acceso no autorizado a archivos y bases de datos. Esta realidad, lamentablemente, está continuamente minando, con razón, la confianza en Internet de miles de usuarios, y es una fuente de incremento de los costos de cualquier empresa que se dedica al comercio electrónico. Se presenta acá un resumen del contenido de este Informe.

Según un dicho popular en el ambiente de la seguridad informática: “Existen dos tipos de empresas: las que han sido atacadas y comprometidas y las que aun no saben que lo han sido”. Es una forma humorística de reflejar una realidad que es cada vez más común, y que tiene serias implicaciones en varios niveles y en todos los ámbitos.

De acuerdo a la Oficina del Comisionado de Información (ICO) del Reino Unido, la definición de Infracción de datos es: “Una infracción a la seguridad que ocasiona la destrucción, pérdida, alteración, divulgación no autorizada o acceso de manera accidental o ilícita a datos personales transmitidos, almacenados o procesados de algún modo en relación con la prestación de un servicio público de comunicaciones electrónicas”.

Como parte de la introducción, el autor establece que “Con este informe, Internet Society busca incrementar el conocimiento sobre las infracciones de datos y sobre nuestra responsabilidad colectiva en lo que respecta a la protección del ecosistema de datos. Ofrecemos recomendaciones para reducir tanto la cantidad como los efectos de las infracciones de datos”.

El círculo de la seguridad

El informe presenta una serie de casos de estudio que, además de hacer evidente la magnitud del problema, respalda el análisis que se ofrece respecto a los costos directos e indirectos de estas acciones, la inconsciencia que existe en la mayoría de ocasiones y el daño a la confianza de los usuarios de Internet.

Por ejemplo, el reporte habla de los casos en que a Target le robaron los números de tarjetas de crédito de 40 millones de clientes y los ofrecieron a la venta en línea; a Ashley Madison le quitaron los registros de las aventuras personales de 37 millones de usuarios casados y los publicaron en línea; y a la Oficina de Gestión de Personal (OPM) de Estados Unidos le robaron los registros de 21.5 millones de ex empleados, empleados y posibles empleados.

Para comenzar a contrarrestar estos efectos negativos, el informe presenta cinco recomendaciones, que pueden ser representadas en conjunto en el “Círculo de la seguridad”:

  1. Colocar a los usuarios en el centro de las soluciones; e incluir tanto a usuarios como a organizaciones al evaluar los costos de las infracciones de datos.
  2. Aumentar la transparencia a través de la divulgación y la notificación de las infracciones de datos.
  3. La seguridad de los datos debe ser una prioridad. Deben ponerse a disposición mejores herramientas y enfoques. Cuando se trata de seguridad, las organizaciones deben ajustarse a normas basadas en las prácticas recomendadas.
  4. Las organizaciones deben ser responsables de sus infracciones. Se deben establecer de antemano reglas generales respecto a la asignación de obligaciones y reparaciones en caso de infracción de datos.
  5. Aumentar los incentivos a la inversión en seguridad catalizando un mercado para la evaluación confiable e independiente de las medidas de protección de los datos.
Fuente: Informe Global de Internet para 2016 – ISOC

Recomendaciones y principios

Es importante para todas las organizaciones y personas comprender que la seguridad informática es una responsabilidad y una tarea que debemos enfrentar y tomar en serio todos, ya sea con nuestra propia información y, con mayor razón, cuando estamos encargados de la información de otros. Los principios operativos en los que se fundamentan estas recomendaciones son dos:

Administración de los datos. Las organizaciones deben verse a sí mismas como custodias de los datos de sus usuarios, y protegerlos no sólo como una necesidad empresarial sino también en nombre de los propios individuos. Las organizaciones deben adoptar un enfoque ético para el manejo de los datos y comprender que pueden prosperar haciendo el bien: proteger a los usuarios debe ser una meta por mérito propio, que además protege a la organización.

Responsabilidad colectiva. En Internet, todos están conectados. Una infracción puede conducir a otra (en otras palabras, “su infracción podría ser la mía”). Las organizaciones tienen la responsabilidad de proteger los datos que están en su poder. También comparten la responsabilidad colectiva de proteger el ecosistema de datos como un todo con otros actores, incluidos proveedores, empleados, gobiernos, entre otros.

En resumen:

  • Los datos personales son preciosos y preciados. ¡Protéjanlos!
  • Recopilen únicamente los datos que sean absolutamente necesarios y cifren los que conserven.
  • Restrinjan el acceso a los datos a quienes necesitan conocerlos.
  • Señalen el nivel de seguridad que proporcionan.
  • Destruyan los datos cuando ya no se utilicen.
  • Sean más transparentes respecto a los incidentes de infracción de datos.
  • Estén alerta a las infracciones; prepárense, notifiquen y actúen de inmediato.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *