En general, se considera que la seguridad y la privacidad se contraponen. La implementación de un modelo de seguridad eficaz requiere la capacidad de identificar amenazas potenciales. Sin embargo, hacerlo puede provocar la inspección de datos confidenciales o personales, lo que puede amenazar la privacidad.
En realidad, la única forma de garantizar la privacidad de los datos es aplicando un modelo de seguridad de datos eficaz. Un programa de seguridad bien diseñado, que priorice la privacidad, ofrece importantes ventajas a cualquier organización, al tiempo que minimiza los posibles impactos sobre la privacidad.
La idea de que la seguridad está reñida con la privacidad obedece al hecho de llevar ambos conceptos hasta sus extremos. En este modo de pensar, cualquier acceso potencial a datos confidenciales se considera un atentado a la intimidad y algo que debe evitarse a toda costa. Como resultado, los programas de seguridad ven gravemente obstaculizada su capacidad para identificar y abordar amenazas potenciales.
Por ejemplo, fíjate en el caso del análisis del tráfico de red. La inspección de paquetes es una herramienta muy útil para un programa de ciberseguridad corporativo. Los firewalls son una forma muy común de inspeccionar paquetes, y no disponer de uno se consideraría una vulneración de las medidas de seguridad razonables exigidas por las leyes y los reglamentos de varias jurisdicciones de todo el mundo. Si miramos dentro de la carga malintencionada de un paquete de red, es posible identificar intentos de infección por malware, exfiltración de datos, apropiación de cuentas y otras amenazas.
Sin embargo, desde el punto de vista de la privacidad, la inspección de paquetes puede crear problemas si contienen información de identificación personal (IIP) u otros datos confidenciales. Desde un punto de vista absolutista de la privacidad, parece preferible la encriptación de un extremo a otro sin inspección del paquete.
A primera vista, estas dos perspectivas — proporcionar la seguridad necesaria y mantener la privacidad de los datos personales — parecen incompatibles. Pero las entidades reglamentarias también han dejado claro que proporcionar una seguridad razonable es fundamental para proteger la privacidad de los datos. Basta con echar un vistazo a todas las acciones de conformidad de la normativa sobre privacidad iniciadas contra empresas que han sufrido fallos de seguridad para darse cuenta de ello. Creemos que los responsables de la privacidad y la seguridad de los datos pueden salvar la distancia entre el absolutismo de la seguridad y el de la privacidad, pero para ello se requiere una perspectiva totalmente distinta de la privacidad y la seguridad de los datos.
La gestión de riesgos es un principio básico de los programas de seguridad y privacidad de datos. La unificación de los objetivos de estos dos programas requiere echar un vistazo a los riesgos potenciales para los datos de una organización.
Para cualquier organización que procese datos personales de usuarios, garantizar la seguridad y la privacidad de los datos es de vital importancia. Una de las mayores preocupaciones de las organizaciones relacionadas con un programa de seguridad de datos es la posibilidad de que las soluciones de seguridad puedan ver IIP y otros datos confidenciales como parte de sus funciones. Estas herramientas pueden analizar correos electrónicos, paquetes de red o archivos en busca de indicios de contenido malicioso.
El otro riesgo principal para los datos de empresas y clientes es que un ciberdelincuente pueda acceder a ellos. Por ejemplo, el ransomware moderno roba y filtra datos confidenciales si una empresa no paga el rescate. Aunque se pague el rescate, no hay garantía de que los datos se eliminen y no se filtren.
Evitar ambos riesgos es imposible. Un programa de seguridad eficaz necesita acceso a los datos, y una seguridad ineficaz prácticamente garantiza la fuga de datos.
Cuando las soluciones de seguridad se diseñan teniendo en cuenta la privacidad, hemos comprobado que las organizaciones pueden implementar sistemas de protección de seguridad sólidos al tiempo que protegen los datos personales de sus clientes y usuarios. Y sabemos que cuando las organizaciones realizan un análisis coste-beneficio, los beneficios potenciales de un enfoque de seguridad que dé prioridad a la privacidad son significativos.
Por ejemplo, la capacidad de bloquear el malware antes de que llegue a los sistemas de una organización puede evitar una fuga de datos. Teniendo en cuenta el coste medio de 4,45 millones de dólares en 2023, por no hablar de la reputación de la marca y las repercusiones legales, la prevención incluso de una sola fuga de datos es fundamental para la empresa. Así que no hay duda de la importancia crítica de implementar medidas de seguridad líderes en el sector. Cualquier empresa de seguridad reputada debe ofrecer soluciones que minimicen su acceso a los datos confidenciales y protejan los datos personales a su cargo.
Como directora de privacidad de Cloudflare, averiguar cómo diseñar e implementar soluciones de seguridad que prioricen la privacidad es una parte fundamental de mi trabajo y de las reuniones con nuestro CISO. Hace varios años, nos convertimos en clientes de Area 1 porque sabíamos que era fundamental utilizar una solución para inspeccionar y proteger de forma preventiva nuestro tráfico de correo electrónico. Como directora de privacidad, mi primera reacción fue preocuparme por permitir que cualquier tecnología analizara el tráfico de correo electrónico en nuestra empresa. Sin embargo, a medida que conocimos mejor cómo funcionaba la solución y los sistemas de protección de la privacidad que utilizaban, vimos que la forma en que Area 1 gestionaba los datos reducía enormemente los riesgos de seguridad al tiempo que maximizaba los beneficios potenciales, y lo hacía priorizando la privacidad. De hecho, nos impresionó tanto el producto que no solo lo utilizamos, sino que adquirimos la empresa y ahora es una parte clave del conjunto de productos Zero Trust de Cloudflare.
La privacidad y la seguridad no tienen por qué estar reñidas. Un programa de seguridad que da prioridad a la privacidad considera los riesgos de implementar soluciones de seguridad y de no hacerlo. Si las ventajas de usar una solución de seguridad, como el análisis del correo electrónico, superan a los riesgos, lo que casi seguro ocurrirá, entonces la organización debe implementar cuidadosamente esta capacidad.
A la hora de evaluar si una herramienta de seguridad es buena para la seguridad y la privacidad de los datos, hay que plantearse algunas preguntas clave:
¿Ofrece beneficios claros? Los riesgos potenciales para la privacidad de una solución de seguridad solo son aceptables si también reduce el riesgo de una fuga de datos.
¿Minimiza el acceso a los datos personales? Una solución de seguridad debe minimizar la cantidad de datos potencialmente confidenciales a los que accede y que procesa.
¿Prioriza la empresa la seguridad? Comprueba cómo ha gestionado la empresa anteriores incidentes de seguridad y cómo ha priorizado la inversión en seguridad.
¿Cumple los requisitos normativos? Comprueba que la empresa tiene certificaciones de privacidad, como ISO 27701 e ISO 27018, que está certificada según el Marco de privacidad de datos UE-EE. UU., y/o que está certificada según el Código de conducta de la nube para la UE. Si una empresa tiene estas certificaciones, además de las certificaciones de seguridad estándar como PCI DSS, ISO 27001 y SOC 2 Tipo II, es un indicio de que vela por la privacidad y la seguridad.
La evaluación de todos estos criterios para las más de 60 herramientas de seguridad que utiliza una organización media puede suponer un esfuerzo considerable. Este es otro argumento importante a favor de la consolidación de la seguridad. Realizar una auditoría exhaustiva sobre un único proveedor con un amplio conjunto de capacidades es más fácil que realizar una evaluación más superficial de varios productos de seguridad.
Cloudflare ha sido durante mucho tiempo un defensor de la seguridad que prioriza la privacidad. Nuestro Centro de confianza detalla los esfuerzos que se han realizado para cumplir o superar los requisitos de privacidad y seguridad de las principales normativas de protección de datos.
El enfoque de Cloudflare en la privacidad también se encuentra en el centro de sus soluciones, que están diseñadas para minimizar el acceso a los datos personales al tiempo que garantizan una seguridad sólida. Un factor clave es el alcance de la red de Cloudflare. Cloudflare protege un 20 % de todos los sitios de Internet, de ahí que una parte sustancial del tráfico de Internet transite a través de sus sistemas y alimente la información sobre amenazas de Cloudflare de una forma que no compromete la privacidad de los usuarios finales de los clientes.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Sigue leyendo sobre el enfoque de Cloudflare en materia de seguridad y privacidad en el resumen de solución: Cloudflare One para la protección de datos.
Emily Hancock - @emilyhancock
Directora de privacidad, Cloudflare
Después de leer este artículo podrás entender:
La relación entre la privacidad y la seguridad de los datos
Cómo evaluar los riesgos de la inversión en seguridad para la privacidad
Qué buscar en un producto de seguridad orientado a la privacidad