La ciberseguridad y la privacidad deben formar un binomio inseparable, porque sin la una no es posible la otra y viceversa. En las siguientes líneas vamos a ver cómo funciona esta relación entre ciberseguridad y privacidad, la importancia de la protección de datos para la ciberseguridad y viceversa, y cómo aplicar medidas técnicas, organizativas y legales que garanticen ambas, es esencial para evitar que organizaciones e individuos se conviertan en víctimas de ciberataques.
En este artículo hablamos de:
La ciberseguridad debe garantizar la privacidad
Las medidas de ciberseguridad existen para proteger la información en el entorno digital y entre esa información a proteger está también la información personal o de carácter confidencial que manejan organizaciones privadas, organismos públicos y también los propios particulares.
Sin esas medidas de ciberseguridad, sería imposible poder garantizar tanto la seguridad en Internet como la privacidad digital. Y, aunque es cierto que no podemos hablar de medidas de seguridad cien por cien infalibles (el riesgo cero nunca existe), sí podemos afirmar que la adopción e implantación de medidas técnicas y organizativas de ciberseguridad contribuyen a mantener privada y confidencial la información (sea esta personal, empresarial, comercial, gubernamental, etc.).
También existen medidas legales, es decir, leyes, normas y reglamentos que obligan a todo tipo de organizaciones a tener en marcha medios y mecanismos que garanticen la ciberseguridad, la seguridad de la información y la privacidad, es decir, recurrir a herramientas y soluciones que protejan la información personal de las personas.
Las medidas de ciberseguridad se convierten en el muro a franquear por los cibercriminales (y otros posibles actores interesados) para poder acceder a la información confidencial que protege, información que puede, en ocasiones, convertirse en la escalera que permita superar ese muro de seguridad. Lo que nos lleva a nuestro siguiente punto.
Pero sin privacidad y protección de datos no hay ciberseguridad
Mucha de esa información confidencial, en concreto la de carácter personal (datos identificativos, contraseñas, metadatos, información familiar, información profesional, huella digital, etc.) tiene el potencial de convertirse, precisamente, en la herramienta que permita a los cibercriminales acceder a las redes internas de empresas y organismos públicos.
No proteger de manera adecuada los datos personales que manejan diferentes tipos de organizaciones, públicas y privadas, tanto en el mundo físico como en el digital, puede suponer el acceso a los mismos y, a través de ellos, a sus titulares, empleando técnicas de ingeniería social para conseguir alcanzar el objetivo final, que en muchas ocasiones no será el individuo en sí, sino la organización en la que trabaja y el acceso a su red interna y la valiosa información confidencial que posee, así como la posibilidad de llevar a cabo ataques que puedan reportarles beneficios económicos (como el ransomware o el chantaje a cambio de no publicar la información robada).
Por lo tanto, cuando no podemos proteger la privacidad, la ciberseguridad de las propias entidades se ve amenazada. Y es que no debemos olvidar aquella máxima de que una cadena es tan fuerte como el más débil de sus eslabones y en ciberseguridad, el eslabón más débil y el vector de ataque más habitual es, precisamente, el usuario.
El factor humano está detrás de la gran mayoría de brechas e incidentes de seguridad y aunque en muchas ocasiones se puede deber a descuidos o al no haber seguido el protocolo de seguridad de la empresa, también es cierto que los ataques de ingeniería social son cada vez más sofisticados y cuidados (especialmente aquellos dirigidos a altos cargos o empleados con un alto nivel de responsabilidad dentro de la organización) y las filtraciones de datos de diferentes plataformas online, empresas de diversa índole, redes sociales, etc., hacen que estos ataques sean más productivos.
Por lo tanto, cuando se vulnera la privacidad, también se pone en riesgo la ciberseguridad.
Cuando se vulnera la protección de datos se pone en riesgo la ciberseguridad
El objetivo principal de la protección de datos es garantizar que no se vulneran derechos y libertades fundamentales de los ciudadanos, que se garantiza su derecho a la privacidad y a la intimidad, que su información personal no se convierte en una moneda de cambio sobre la que no tengan ningún control.
Pero, como hemos visto, proteger esos datos personales, también puede perseguir (y debe hacerlo) otro objetivo, el de garantizar la ciberseguridad de organizaciones e individuos e, incluso, de la propia sociedad (no podemos olvidar que un ciberataque a una estructura o servicio crítico, puede tener graves consecuencias para la población).
Cuando las organizaciones vulneran la protección de datos, cuando no cumplen con las obligaciones que leyes como el RGPD y la LOPDGDD contemplan, ponen en riesgo también la ciberseguridad. Si una empresa no encripta la base de datos de sus clientes y sufre un ciberataque y una exfiltración de datos, la información personal de sus clientes queda al descubierto, y, quizás, no sean más que direcciones de email y nombre de usuario o, quizás, sean direcciones de email, más una contraseña y un nombre de usuario.
La relación entre brecha de seguridad y protección de datos es clara y a través de las medidas para garantizar la segunda, se pueden evitar las peores consecuencias de la primera, consecuencias que pueden tomar la forma de los siguientes riesgos para usuarios y organizaciones.
Riesgos para los usuarios
Cuando se vulnera la protección de datos, los usuarios pueden enfrentar diferentes riesgos, como por ejemplo:
- Sufrir más ataques de phishing, vishing o smishing
- Sufrir suplantación de identidad
- Perder el control de sus cuentas de usuario
- Estar expuestos a estafas y fraudes digitales
- Sufrir pérdidas económicas (bien por ser víctimas de robos a través de sus apps de banca o por ser víctimas de estafas)
- Sufrir posibles discriminaciones
- Sufrir extorsión o chantajes a cambio de no publicar información personal
Riesgos para las organizaciones
En cuanto a las organizaciones, el principal riesgo que enfrentan derivado de la vulneración de la protección de datos, son ciberataques dirigidos a puestos directivos y responsables de departamento, así como a empleados de niveles inferiores, que, como decíamos más arriba, a través de ataques de ingeniería social dirigidos a ellos, pueden convertirse en el punto de entrada de cibercriminales a la red interna de la organización.
Una vez ganado acceso a esa red interna, los cibercriminales podrán perseguir sus objetivos finales, que pueden ir desde un ataque de ransomware, un chantaje para evitar la exfiltración de información confidencial, el robo de esa información para venderla al mejor postor, hasta llevar a cabo un robo de dinero, por citar algunos de ellos.
Una organización puede tener implementadas las soluciones de ciberseguridad más robustas y proteger los datos de todos sus empleados, pero eso no evitará que parte de la información personal de esos mismos empleados esté en manos de otra empresa, cuyas medidas sean menos seguras o no sea tan celosa de la seguridad y de cumplir sus obligaciones en materia de protección de datos.
Medidas de seguridad para garantizar protección de datos y ciberseguridad
Cualquier organización o entidad, cualquier persona, debe usar herramientas de ciberseguridad y privacidad que aseguren y garanticen tanto una como la otra.
Lo cierto es que existen múltiples herramientas, medidas y estrategias que nos pueden ayudar a reforzar y mejorar la protección de datos y ciberseguridad de nuestra empresa o negocio, pero todas ellas deben cumplir con dos requisitos básicos: ser adecuadas y eficientes y que ayuden a cumplir con la normativa de protección de datos.
Así, por un lado, se deben adoptar medidas de ciberseguridad adecuadas y robustas, como son las soluciones de seguridad de las que ya hemos hablado en este blog; antivirus, firewall, sistemas de seguridad endpoint, SOC, DLP, sistemas de detección de intrusiones actualización de software, hardware y firmware, elaboración de protocolos de ciberseguridad, uso de VPN para el trabajo remoto, control de acceso basado en roles, etc.
Y, por otro lado, se deben cumplir con las obligaciones establecidas en la normativa de protección de datos, adoptando medidas de seguridad que garanticen la privacidad desde el diseño y por defecto, es decir, que antes de realizar ningún tratamiento de datos personales, debemos tener ya implementadas las medidas de seguridad técnica y organizativas que minimizarán las posibilidades de una brecha de seguridad o de una filtración de esos datos o de un mal uso de los mismos.
Medidas como cifrado de bases de datos, acceso limitado a los datos personales que maneja la entidad, minimización en los datos recabados, establecimiento de plazos de supresión de datos, protocolo de protección de datos, acuerdos de confidencialidad, etc.
En definitiva, protección de datos, ciberseguridad y privacidad siempre deben ir de la mano, porque no pueden entenderse una sin las otras; las medidas de ciberseguridad deben proteger la privacidad, pero a su vez, la protección de la privacidad debe reforzar la ciberseguridad.