Alex Pesso, Director ACTI en nota El Mercurio
Ante un escenario altamente digitalizado, los principales riesgos de no abordar la protección de la información van desde la exposición de datos sensibles hasta la personificación para efectos comerciales y uso malicioso en transacciones. Solo cinco días faltan para que, al igual que cada 28 de enero, se conmemore a nivel internacional el Día de la Privacidad de la Información también conocido como Día Internacional de la Protección de Datos Personales, fecha en que se busca promover las mejores prácticas y modelos de resguardo de la seguridad de la identidad de las personas.
Ante el fuerte avance de la tecnología y, en paralelo, de las ciberamenazas, un modelo que ha tomado fuerza en el combate de los riesgos propios de la digitalización de datos es la llamada Confianza Cero o Zero Trust, el cual busca que organizaciones y/o personas no confíen de manera predeterminada en nada ni nadie, ya sea que se encuentre dentro o fuera de su red de perímetro. Todo esto con el fin de dar una mayor seguridad al alto flujo de datos e información que circula segundo a segundo por la web o la nube (red de servidores remotos conectados a internet para almacenar, administrar y procesar datos).
Víctor Muscillo, head of lechnology and tratisformation de Oracle Chile, señala que en materia de seguridad de datos personales, el foco se encuentra puesto en la protección de estos ante un amplio espectro de riesgos y amenazas. `Adoptar este tipo de arquitecturas permite prevenir ataques, detectar incidentes, buscar soluciones y generar un análisis en un ciclo continuo. Estos criterios, además, ayudan a decidir en cada capa cómo la infraestructura, los usuarios, los dispositivos y las aplicaciones interactúan con estos datos`, dice.
La tendencia actual a la implementación de este modelo hace énfasis en comenzar con la adopción de un mecanismo robusto de validación de identidad del usuario que accede a la información, a través de métodos como multifactor de autenticación que pueden valerse de biometría o de dispositivos que la persona tiene (su propio teléfono, por ejemplo) como un segundo método para confirmar su identidad más allá de la tradicional combinación de usuario y contraseña.
Adicional a lo anterior, los expertos señalan que la seguridad informática debe ser parte de un proceso continuo en evaluación, donde se ajusten permanentemente las medidas de protección de los antecedentes.
`En la actualidad, con tecnologías de inteligencia artificial podemos automatizar los procesos y tener los resguardos activos en todo momento, controlando cada uno de los componentes de la arquitectura de datos. El sistema operativo autónomo, la base de datos autónoma y el cifrado de datos en tránsito son algunos de los ejemplos donde se aplican estos conceptos, disminuyendo la complejidad, maximizando la seguridad y disponibilizando los datos`, añade Muscillo.
Por su parte, Alex Pesso, director de la Asociación Chilena de Empresas de Tecnologías de la Información (ACTI) y director legal y de asuntos corporativos de Microsoft Chile, comenta que adicionalmente existen ciertas herramientas y recursos para ayudar a los administradores en el resguardo de los antecedentes personales, tales como las solicitudes de derechos de los titulares de la información.
`Estos son requerimientos formales a un responsable del tratamiento de datos para que actúe sobre sus datos personales en sus sistemas. Por ejemplo, obtener copias, solicitar correcciones, restringir el tratamiento de sus datos, eliminar datos y recibir copias en formato electrónico para que puedan ser movidos a otro responsable del tratamiento de datos`, dice. Legislaciones obsoletas.
Para los expertos, además de la prevención y resguardo constante, uno de los mejores antídotos para combatir el cibercrimen es contar con leyes modernas y robustas que vayan en regla con las problemáticas actuales, siendo esto la principal piedra de tope en la imposición legislativa vigente en el país que data de 1993.
El senador Kenneth Pugh, principal impulsor de la agenda de transformación digital del Estado y ciberseguridad, advierte que ante el avance y relevancia que toman día a día los datos, la protección de estos es algo urgente. `Un proyecto que está atrasado es el de la nueva Ley de Datos Personales, que incorpora las recomendaciones del reglamento europeo de datos personales (GDPR)`, dice.
Precisamente, en marzo de 2017 ingresó al Congreso el proyecto de ley que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos. Sin embargo, a la fecha la iniciativa aún está en su primer trámite constitucional.
En opinión de los expertos es necesaria y urgente la adaptación de la normativa a la nueva realidad económica digital basada en los datos, la cual debe cumplir con los principios de privacidad segura y que contemple notificaciones en caso de violación de datos y constantes auditorías de seguridad. `Lo anterior debe ir acompañado de un organismo autónomo, técnico e independiente, con la facultad de imponer multas por la infracción de la ley, además de generar campañas de concientización de las nuevas normativas y de los deberes y derechos que conllevan tanto para las organizaciones como para las personas naturales`, asegura Muscillo.
Para Pesso, la implementación de esta normativa en trámite será desafiante para las empresas de todos los tamaños y también para las entidades estatales: `Habrá nuevas obligaciones que se impondrán y deben crearse los procesos para poder cumplirlas en tiempo y forma. En el fondo, vamos a tener que actualizar nuestro marco normativo que es de los años 90 a una nueva realidad, en que vivimos en medio de una verdadera revolución digital`.
En 2017 ingresó al Congreso el proyecto de ley que regula la protección de datos y crea una agencia especializada. Pero la iniciativa aún está en primer trámite constitucional. La seguridad informática, a juicio de los expertos, debe ser parte de un proceso continuo en evaluación, donde se ajusten permanentemente las medidas de protección de los antecedentes personales.