¿Por qué las organizaciones todavía luchan por proteger nuestros datos? Preguntamos a 50 profesionales en primera línea de privacidad

Ahora se recopilan y almacenan en línea más datos personales nuestros que nunca en la historia. El aumento de las filtraciones de datos debería inquietarnos a todos.

A nivel individual, las violaciones de datos pueden comprometer nuestra privacidad, causar daños a nuestras finanzas y salud mental e incluso permitir el robo de identidad.

Para las organizaciones, las repercusiones pueden ser igualmente graves y, a menudo, provocar importantes pérdidas financieras y daños a la marca.

A pesar de la creciente importancia de proteger nuestra información personal, hacerlo sigue planteando desafíos.

Como parte de un estudio integral de las prácticas de notificación de violaciones de datos, entrevistamos a 50 altos funcionarios que trabajan en seguridad y privacidad de la información. Esto es lo que nos contaron sobre los desafíos multifacéticos que enfrentan.

¿Qué dice realmente la ley?

Las violaciones de datos ocurren cada vez que se accede a información personal o se divulga sin autorización, o incluso se pierde por completo. Opto, Medibank y Canva Todos ellos han experimentado incidentes de alto perfil en los últimos años.

Bajo Australia leyes de privacidadlas organizaciones no pueden esconder grandes ataques cibernéticos bajo la alfombra.

Tienen que notificar tanto al regulador (la Oficina del Comisionado de Información de Australia (OAIC)) como a cualquier persona afectada sobre las infracciones que probablemente resulten en «daño grave«.

Pero según los líderes organizacionales que entrevistamos, esto plantea una pregunta complicada. ¿Cómo se define el daño grave?

Las interpretaciones de lo que realmente significa «daño grave» (y la probabilidad de que ocurra) varían significativamente. Esta inconsistencia puede hacer imposible predecir el impacto específico de una violación de datos en un individuo.

Las víctimas de violencia doméstica, por ejemplo, pueden correr un mayor riesgo cuando se expone información personal, lo que genera daños que son difíciles de prever o mitigar.

Hacer cumplir las reglas

A los entrevistados también les preocupaba qué tan bien el regulador podría brindar orientación y hacer cumplir las medidas de protección de datos.

Muchos expresaron su creencia de que la OAIC no cuenta con fondos suficientes y carece de autoridad para imponer y hacer cumplir multas adecuadamente. El consenso fue que el desafío de proteger nuestros datos ahora ha superado el poder y los recursos del regulador.

Como lo expresó un director de seguridad de la información de una empresa que cotiza en bolsa:

«¿De qué sirve tener cámaras y señales de exceso de velocidad si no le pones una multa a nadie?»

La falta de cumplimiento puede socavar el incentivo para que las organizaciones inviertan en una protección de datos sólida.

Sólo la punta del iceberg

Las filtraciones de datos tampoco se denuncian lo suficiente, especialmente en el sector empresarial.

Un consultor senior de ciberseguridad de una importante empresa multinacional nos dijo que existe un fuerte incentivo para que las empresas minimicen o encubran las infracciones para evitar situaciones embarazosas.

Esta cultura significa que muchas infracciones que deberían informarse simplemente no lo son. Un alto funcionario público estimó que sólo alrededor del 10% de las infracciones reportables terminan siendo reveladas.

Sin esta transparencia básica, el regulador y las personas afectadas no pueden tomar las medidas necesarias para protegerse.

Infracciones de terceros

A veces, cuando damos nuestra información personal a una organización, puede terminar en manos de otra que no esperábamos. Esto se debe a que las tareas clave, especialmente la gestión de bases de datos, a menudo se subcontratan a terceros.

La subcontratación de tareas puede ser una opción más eficiente para una organización, pero puede complicar aún más la protección de los datos personales.

Los entrevistados nos dijeron que las infracciones eran más probables cuando se contrataba a proveedores externos, porque limitaba el control que tenían sobre las medidas de seguridad.

Entre julio y diciembre de 2023 en Australia, hubo un aumento de más del 300% en violaciones de datos de terceros en comparación con los seis meses anteriores.

Ha habido algunos ejemplos muy publicitados.

En mayo de este año, muchos clientes de Clubs NSW tuvieron su información personal potencialmente violado a través de un ataque al proveedor de software externo Outabox.

Bunnings sufrió un incumplimiento similar a finales de 2021, mediante un ataque al proveedor de software de programación FlexBooker.

Entendiendo bien los conceptos básicos

Algunas organizaciones todavía están luchando con lo básico. Nuestra investigación encontró que muchas violaciones de datos ocurren porque todavía se utilizan sistemas de datos obsoletos o «heredados».

Estos sistemas son bases de datos antiguas o inactivas que a menudo contienen enormes cantidades de información personal sobre todas las personas que han interactuado anteriormente con ellos.

Las organizaciones tienden a conservar datos personales durante más tiempo del requerido legalmente. Esto puede generar confusión sobre los requisitos de retención de datos, pero también el alto costo y la complejidad de desmantelar de manera segura los sistemas antiguos.

Un director de privacidad de una gran institución de servicios financieros nos dijo:

«En una organización como la nuestra, donde tenemos más de 2000 sistemas heredados […] Los sistemas no se hablan entre sí. No vienen con grandes botones rojos de eliminación».

Otros entrevistados señalaron que las prácticas riesgosas de prueba de datos están muy extendidas.

Los desarrolladores de software y los equipos tecnológicos suelen utilizar «datos de producción» (datos reales de los clientes) para probar nuevos productos. Esto suele ser más rápido y económico que crear conjuntos de datos de prueba.

Sin embargo, esta práctica expone información real del cliente a entornos de prueba inseguros, lo que la hace más vulnerable. Un especialista senior en ciberseguridad nos dijo:

«Lo he visto mucho en todas las industrias. […] Es literalmente información real y viva que ingresa a sistemas que no son reales ni reales y tienen baja seguridad».

¿Qué hay que hacer?

A partir de las opiniones de los profesionales del sector, nuestro estudio destaca cuán compleja se ha vuelto la protección de datos en Australia y cuán rápido está evolucionando el panorama.

Para abordar estas cuestiones será necesario un enfoque múltiple, que incluya directrices legislativas más claras, una mejor aplicación de la ley, una mayor transparencia y prácticas de seguridad sólidas para el uso de proveedores externos.

A medida que el mundo digital continúa evolucionando, también deben hacerlo nuestras estrategias para protegernos a nosotros mismos y a nuestros datos.

Este artículo se republica desde La conversación bajo una licencia Creative Commons. Lea el artículo original.