El nuevo paradigma de la privacidad: ética, seguridad y Zero Trust en la era digital

Los canales digitales ya forman parte del día a día de los ciudadanos, como también lo son los actos de rellenar las casillas de datos personales y la del consentimiento expreso para su tratamiento. Una normalidad que sin embargo no disipa la preocupación y demanda por parte de los usuarios de una mayor información, privacidad y garantía de seguridad en el uso de sus datos. La regulación europea respondió a esta realidad con el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), que supuso un punto de inflexión en materia de privacidad y que continúa implicando retos en su adaptación para las compañías. Y al que se suma la necesidad de desarrollar sistemas que protejan de forma adecuada -y tengan la capacidad de respuesta requerida- ante los temidos ciberataques, cada vez más frecuentes y sofisticados.

“En una era digital en la que cada vez hay más hiperconexiones y comunicación entre datos, la importancia que debe tener la privacidad y que los ciudadanos gobernemos nuestros propios datos es crucial y, perder derechos en esta línea, puede poner a las empresas en situaciones de riesgos”, advierte Javier Aznar García, socio de Ciberseguridad y Privacidad de KPMG en España.

En una era digital en la que cada vez hay más hiperconexiones y comunicación entre datos, la importancia que debe tener la privacidad y que los ciudadanos gobernemos nuestros propios datos es crucial y, perder derechos en esta línea, puede poner a las empresas en situaciones de riesgos
Javier Aznar García
Socio de Ciberseguridad y Privacidad de KPMG en España

Ante un entorno digital en el que los datos personales son sin duda un activo preciado para las compañías, pero ante el que era necesario garantizar la protección y la privacidad a los usuarios, la Unión Europea movió ficha con una normativa que generó un antes y un después en el tratamiento de los datos. De un enfoque basado en el mero cumplimiento, el GDPR exige a las compañías una actitud y responsabilidad proactivas, por los que deben prever los riesgos asociados al tratamiento y conservación de datos personales, desarrollando una estrategia en consecuencia.

Como consecuencia de esta anticipación de la regulación europea a la previsible evolución de los entornos digitales, unido a una mayor proactividad empresarial a la hora de adoptar estos nuevos cambios, se está produciendo un avance significativo en materia de seguridad de la información y el tratamiento de los datos, según reconoce Ana de la Higuera, manager de Ciberseguridad de KPMG en España.

La ética digital, una mirada de futuro

De hecho, este mayor acceso a entornos hiperconectados, junto a la conciencia de las empresas en su papel y responsabilidad a la hora de garantizar la seguridad de los datos de los usuarios, llevará a un cambio de mentalidad, o como lo denomina Javier Aznar, socio de Privacidad y Ciberseguridad de KPMG en España, ‘un sello’ que marcará la diferencia.  “Las empresas deben trabajar en ser responsables, transparentes y éticas en sus tratamientos de los datos, no únicamente cumplir con las diferentes regulaciones, sino ir un paso más allá. Será un sello de calidad y confianza que los clientes (actuales y futuros) van a valorar sin ninguna duda”, afirma.

Las empresas deben trabajar en ser responsables, transparentes y éticas en sus tratamientos de los datos, no únicamente cumplir con las diferentes regulaciones, sino ir un paso más allá. Será un sello de calidad y confianza que los clientes (actuales y futuros) van a valorar sin ninguna duda
Javier Aznar García
Socio de Ciberseguridad y Privacidad de KPMG en España

Sobre esta mentalidad nace el concepto de ética digital, que hace referencia a la transparencia, el control y la responsabilidad proactiva sobre el tratamiento de los datos, ya sean de carácter personal o procedentes de los servicios que las empresas ofrecen. En este sentido, la ética digital responde a una mayor implicación y preocupación por parte de la ciudadanía, lo que conllevará a una mayor fluidez de información y demanda de transparencia sobre estas cuestiones.

Las 5 claves para garantizar la privacidad y seguridad de los datos

Este nuevo paradigma para las compañías en torno a la privacidad y protección de los usuarios, sin duda, requerirá de preparación y visión estratégica, así como de acciones y medidas concretas, que deberán partir de un enfoque trasversal que implique al conjunto de las funciones y de sus profesionales. A tal efecto, existen cinco recomendaciones clave para las organizaciones que se establecen a continuación:

  1. Trabajar en enfoques de seguridad y privacidad desde el diseño. Toda inversión realizada en la fase de concepción de proyectos, servicios y desarrollo será menor, tendrá un mayor ROI y ofrecerá mayor madurez, que si por el contrario se aborda en fases posteriores.
  2. Aplicar soluciones tecnológicas como medio para lograr los niveles de protección requeridos. Más allá del mero cumplimiento de la regulación, se deberá poner el foco en la aplicación de medidas técnicas que vertebren dicho cumplimiento.
  3. Trabajar en la automatización de los procesos de gestión, ya sea de los registros de actividades, evaluaciones de impactos, controles para encargados de tratamiento o valoración de medidas en las transferencias internacionales. No hay duda de que es el camino para transitar del modo proyecto al business as usual.
  4. Revisitar los procesos y planes de recuperación antes desastres, orientando el foco a escenarios específicos y a las dependencias con tecnología, complementando este enfoque con la realización de pruebas específicas y playbooks en los diferentes comités involucrados.
  5. Por último, incidir en la formación y concienciación de empleados y equipos, pues resultará vital para la vertebración de una estrategia eficiente y coordinada en el conjunto de las compañías.

Sin duda, las empresas deberán continuar trabajando en anticiparse y trabajar para establecer medidas concretas de seguridad y protección de datos que requerirán la involucración de la organización a todos los niveles. “Incluir en los procesos a las áreas de negocio y trasladar la idea de que la seguridad de la información es una tarea global, soportada por el CISO y sus equipos resulta crucial, incidiendo así en la formación y concienciación de empleados y equipos”, reconoce Javier Aznar, socio de Ciberseguridad y Privacidad de KPMG en España.

La anticipación, el verdadero as de la ciberresiliencia

Aunque existen multitud de recomendaciones para afrontar escenarios de riesgo, la anticipación se erige como la principal defensa de las compañías. “El campo de actuación que tenemos ante incidentes o brechas de seguridad ya es muy reducido per se, sin embargo, la gran parte del trabajo se encuentra en la preparación previa, en cómo las empresas y gobiernos realizan la adecuación de sistemas y la monitorización de los datos”, detalla el socio de Ciberseguridad y Privacidad de KPMG en España.

El campo de actuación que tenemos ante incidentes o brechas de seguridad ya es muy reducido per se, sin embargo, la gran parte del trabajo se encuentra en la preparación previa, en cómo las empresas y gobiernos realizan la adecuación de sistemas y la monitorización de los datos
Javier Aznar García
Socio de Ciberseguridad y Privacidad de KPMG en España

Todo ello con el objetivo de mitigar los datos que los atacantes puedan recibir y que, en caso de que la amenaza se materialice, la situación de control sea favorable para la organización. Asimismo, será también relevante poner el foco en identificar los datos y sistemas más sensibles de la compañía para garantizar su correcta protección. Igualmente, será ineludible trabajar en “el análisis de la criticidad de proveedores y de su clasificación en función de sus servicios y acciones con el objetivo de obtener garantías de ciberseguridad por parte de los mismos”, explica el socio de Ciberseguridad y Privacidad.

El enfoque Zero Trust o la desconfianza por naturaleza

Por otra parte, ante el objetivo de consolidar estrategias sólidas y eficientes de ciberseguridad, cada vez más compañías están posando su atención en el modelo de Zero Trust. “El modelo pretende que no se confíe en nada ni se dé por hecho ningún nivel de protección, construyendo la ciberseguridad en un modelo de confianza cero”, explica Javier Aznar. Este nuevo enfoque alienta hacia una nueva visión en materia de ciberseguridad, al tiempo que asume que los atacantes pueden proceder tanto de la parte interna como externa de la organización. De este modo, se trabaja bajo la premisa de que las organizaciones nunca deberían confiar de forma predeterminada en ningún dispositivo o usuario.

Sin embargo, la adopción de este modelo exige un análisis detallado del punto de partida de la seguridad, para después desarrollar un plan de acción a medio plazo. A tal efecto, “la gestión de identidad de los usuarios será clave para vertebrar su protección, sus permisos, dispositivos y datos” puntualiza Javier Aznar.

En definitiva, cada vez existirá una mayor interacción de los ciudadanos en el entorno digital, lo que requerirá “poner el foco especialmente cuando se están construyendo estos nuevos entornos digitales que, según avance la década, llegarán a ser entornos en el que nos podamos mover tanto como en el físico”, explica el socio de Ciberseguridad y Privacidad de KPMG en España. Por ende, construir y definir las reglas que determinarán este nuevo paradigma será crucial para asegurar una mejor protección y uso de los datos en un entorno cada vez más concienciado con la privacidad y la seguridad sobre el tratamiento de los datos personales.