Seguridad
Big Data

Los retos normativos de Big Data: deje que los árboles le permitan ver el bosque

Con la llegada de big data, las empresas manejan bases de datos con un tamaño y complejidad sin precedentes. Y con ese tamaño y complejidad llega una infinidad de retos en materia legal y normativa.

Big data

El más importante, la casi inabarcable tarea de cumplir con una sopa de letras de leyes de seguridad de datos, privacidad y regulaciones. Además de las regulaciones locales, nacionales e incluso

internacionales, hay muchas otras guías y estándares potencialmente aplicables.

 

En las industrias de la salud y los servicios financieros existen muchas guías de diversos reguladores, quizás no obligatorias, pero sí altamente recomendables. También existen estándares contractuales, como el de la PCI DDS (Payment Card Industry Data Security Standard), que controla la información del propietario en las transacciones con tarjeta de crédito. Por último, existen estándares de la industria para la seguridad de la información publicada por organizaciones como el CERT (Computer Emergency Response Team) de Carnegie Mellon y las familias de estándares ISO (International Standards Organization).

 

Reconciliar todas esas leyes, regulaciones, estándares y guías puede ser, cuanto menos, un trabajo a tiempo completo y, en el peor de los casos, motivo de multas, penalizaciones, procesos judicialesles y a menudo publicidad muy negativa y pérdida de negocio. En muchos casos, estas obligaciones son vagas y ambiciosas, con pocas guías de cumplimiento específicas. Peor aún, las leyes de jurisdicciones diferentes pueden entrar en conflicto, y a menudo lo hacen. Un país o estado puede requerir medidas de que sean completamente distintas a las de otro país o estado. Por último, la creación y uso de las bases de datos extremadamente grandes que conforman el “big data” es un fenómeno relativamente nuevo que todavía no ha sido completamente probado en los tribunales, en especial en lo que se refiere a la privacidad y la seguridad.

 

Los retos normativos originados por este creciente marasmo de leyes, reglamentos, normas y obligaciones contractuales pueden ser abrumadores. Incluso si no existe información personal en riesgo, las empresas tienen la obligación implementar medidas de seguridad apropiadas para proteger otra información altamente sensible relacionada con, por ejemplo, sus secretos comerciales, esfuerzos de marketing, integraciones partners, etc. Con demasiada frecuencia, las empresas se obsesionan con un solo árbol o rama en el bosque de las leyes, regulaciones, normas y guías y no son capaces de apreciar, o incluso ver, otros árboles cercanos y sus relaciones. Y por cierto, rara vez dan un paso atrás para tener la distancia suficiente como para observar globalmente el bosque normativo.

 

Nosotros hemos filtrado varias leyes de privacidad y seguridad, regulaciones y estándares para identificar tres "hilos" comunes y relativamente sencillos que se ejecutan a través de muchos de ellos. Al entender estos puntos comunes, las empresas pueden entender mejor sus obligaciones generales de seguridad de la información y sus obligaciones de cumplimiento respecto a big data. Con estos conocimientos, las empresas podrán abordar más fácilmente no solo sus obligaciones actuales, sino que tendrán un marco para evaluar las nuevas leyes, reglamentos y normas que puedan surgir en el futuro.

 

Conceptos erróneos comunes

Existe mucha confusión y muchos conceptos erróneos respecto a la seguridad de la información y la normativa de big data. Los dos conceptos erróneos más importantes son que "todo tiene que ver con los datos" y "todo tiene que ver con la confidencialidad". Aunque los datos y la confidencialidad tienen sin duda una importancia crítica, es necesario tener una perspectiva más global. Una empresa debe estar preocupada por sus datos, pero también debe preocuparse por los sistemas en los que se alojan. Además, la confidencialidad es solo una de las tres protecciones clave requeridas para una seguridad completa.

 

Estas tres protecciones se conocen frecuentemente bajo el acrónimo bien conocido de “CIA” (Confidentiality, Integrity, Availability o lo que es lo mismo confidencialidad, integridad disponibilidad). Para que los datos sean auténticamente seguros, se deben satisfacer cada uno de estos tres elementos.

 

La "confidencialidad" es el más obvio de los tres componentes de CIA. Significa que los datos deben estar protegidos contra accesos y divulgaciones no autorizadas.

 

"Integridad" significa que los datos deben ser exactos y no haber sido objeto de modificaciones no autorizadas. La integridad de los datos es probablemente el menos obvio de los elementos necesarios para conseguir una buena seguridad del información. Tenga en cuenta la importancia del elemento integridad dentro del contexto de un sistema de información médica utilizado en un hospital. Si los datos de un paciente no son fiables (por ejemplo, para identificar una alergia, tratamientos médicos recientes, resultados de pruebas sanguíneas, etc.) porque ciertos elementos han sido alterados, toda la base de datos debe ponerse bajo sospecha.

 

Por último, “disponibilidad” significa que los datos deben estar disponibles para su acceso y uso cuando se requieran. No sirve de mucho tener datos confidenciales y de los que se garantiza su integridad, si no están disponibles cuando el usuario los necesita. Piense de nuevo en un sistema de información para la salud. Si los datos de un paciente están inaccesibles por un fallo en el sistema cuando un paciente crítico llega a la sala de urgencias, no sirven de nada. Los hackers entienden perfectamente el impacto sustancial que la falta de disponibilidad puede tener en una empresa, especialmente en el mundo online. Los ataques de denegación de servicio DoS son muy frecuentes. En ellos, los hackers inundan los servicios de una determinada empresa con peticiones falsas con la intención de sobresaturarlos e impedir que los usuarios auténticos puedan acceder y utilizar los sistemas.

 

La importancia de CIA no puede subestimarse. No es solo un concepto muy usado en los tratados de seguridad de la información. Los legisladores han incorporado recientemente ese mismo idioma a ciertas leyes y normas de seguridad de la información y la privacidad. Las empresas que no consigan alcanzar CIA respecto a sus datos, se pueden encontrar con que están violando esas leyes.

 

Finalmente, otro error de concepto sobre las leyes de privacidad y seguridad de la información es que requieren la perfección (es decir, cualquier brecha, independientemente de lo diligente que haya sido la empresa para solucionarla, originará responsabilidades legales). Esto no es cierto. Las leyes y regulaciones en este área están dirigidas a que las empresas hagan lo razonable y apropiado. Si la empresa consigue cumplir un determinado estándar y aun así se produce una brecha, por lo general no tendrá un problema de cumplimiento. El semáforo de la responsabilidad legal se mantendrá en verde si la empresa ha tratado cuidadosamente de abordar la seguridad de sus datos.

 

Cómo encontrar las amenazas más comunes en las regulaciones

La cantidad y variedad de leyes, reglamentos y otras normas que rigen el manejo de la información sensible puede ser desalentador, si no abrumador. El problema aumenta exponencialmente con la presencia de bases de datos extremadamente grandes, bases de datos que pueden contener datos individuos que residan en docenas de jurisdicciones en cualquier parte del mundo. En algunos casos puede ser casi imposible, incluso para una empresa grande y sofisticada, identificar todos los requerimientos aplicables, reconciliar las inconsistencias y por último implementar un programa de cumplimiento normativo.

 

En esta sección, el objetivo no es discutir sobre leyes específicas, regulaciones o estándares, sino identificar tres hilos comunes que discurren por muchos de ellos. Al comprender estos hilos comunes, las empresas podrán comprender más fácilmente sus obligaciones normativas básicas y obtener al menos un atisbo de la selva regulatoria.

 

Como ya hemos mencionado, se deben considerar tres hilos comunes. Estos hilos no solo transcurren por leyes y regulaciones, sino también por estándares contractuales como PCI DSS e, incluso, estándares comunes en la industria para la seguridad de la información publicadas por organismos como el CERT de Carnegie Mellon y las familias de estándares de la ISO. Incorporando estos hilos comunes en el diseño e implementación de cualquier estrategia de seguridad de la información aumentará de forma considerable la capacidad de una empresa para satisfacer las leyes, regulaciones y otros requerimientos aplicables.

 

Confidencialidad, Integridad y Disponibilidad ("CIA")

Como ya hemos tratado, el bien establecido concepto fundacional de CIA que puede encontrarse en cualquier manual sobre seguridad de la información ahora puede codificarse en muchas leyes y regulaciones. Las tres partes de este concepto hacen frente a los objetivos más fundamentales de la seguridad de la información: los datos/información deben mantenerse confidenciales, deben protegerse frente a modificaciones no autorizadas y deben estar disponibles para su uso cuando sea necesario. La pérdida de cualquiera de estas tres protecciones podría materialmente tener un impacto sobre la normativa y el valor de la información.

 

Actuar de manera “razonable".

El concepto de actuar de manera "razonable" se utiliza en muchas leyes federales y estatales de los Estados Unidos, Australia y muchos otros países. El concepto relacionado de actuar así para tomar las medidas “apropiadas” o “necesarias” se utiliza en la Unión Europea y muchas otras zonas.

Juntas, forman el corazón de casi cada ley de privacidad de datos y seguridad de la información. Una empresa debe actuar de manera razonable o hacer lo que sea necesario o apropiado para proteger sus datos. Note que esto no obliga a alcanzar la perfección. Más bien, como veremos más adelante, la empresa debe tener en cuenta el riesgo que se presenta y hacer lo que sea razonable o necesario para mitigar ese riesgo. Si ocurre una brecha, siempre que la empresa haya establecido este requisito básico, no se encontrará inmediatamente bajo la amenaza de una violación de las leyes o regulaciones aplicables.

 

Escalar las medidas de seguridad.

Un concepto que está estrechamente relacionado coactuar de manera razonable o hacer lo que sea apropiado, es la idea de escalar las medidas de seguridad para reflejar la naturaleza de las amenazas y la sensibilidad de los datos. Esto significa que una empresa no necesita gastar todo su presupuesto de seguridad para afrontar una amenaza de bajo riesgo.

Pero, si el riesgo es sustancial, particularmente a la luz del volumen y/o sensibilidad de los datos, el nivel de esfuerzo y gasto que la empresa debe hacer para afrontar ese riesgo debe incrementarse. Una base de datos que contenga solo nombres y direcciones físicas puede no necesitar tanta seguridad como otra con nombres, direcciones y números de la seguridad social.

 

Conclusiones

Aunque las leyes relacionadas con la seguridad de la información y la privacidad, regulaciones y otros estándares es cada día mayor, las empresas deberían tratar de apreciar las amenazas más comunes tratando de corregirlas. En este artículo se presentan tres de las amenazas más comunes e importantes. No se exige la perfección en la comprensión de las leyes actuales, sino mantener el debido cuidado, el sentido común y la ampliación de medidas a fin de reflejar la sensibilidad de los datos que puedan estar en situación de riesgo. De esta manera las empresas pueden dar un gran paso adelante para conseguir el debido cumplimiento normativo. Y se puede utilizar el mismo esquema para comprender y evaluar las leyes, reglamentos y normas que se apliquen en el futuro.  



Contenido Patrocinado

Fernando Rubio Román, CTO de Microsoft España. TECNOLOGÍA
Forma parte de nuestra comunidad

 

¿Te interesan nuestras conferencias?

 

 
Cobertura de nuestros encuentros
 
 
 
 
Lee aquí nuestra revista de canal

DealerWorld Digital