Recientemente, las redes informáticas de empresas y organizaciones de todo el mundo se desconectaron después de que una actualización de un producto de seguridad de TI de Crowdstrike afectara el funcionamiento de sus sistemas. Las aerolíneas tuvieron que volver a emitir tarjetas de embarque en papel, mientras que otras compañías se vieron obligadas a suspender sus servicios hasta que se resolviera el problema. El episodio mostró no sólo la dependencia que tiene nuestra sociedad de la tecnología sino también la importancia del tema de la seguridad y privacidad en internet.
El tema de la ciberseguridad ha ganado protagonismo en los últimos 10 años por tres razones principales: (1) el aumento de los incidentes de fuga de datos; (2) la adopción de políticas de protección de datos por parte de organizaciones y empresas; y (3) la adopción de leyes y regulaciones de protección de datos en varios países, con disposiciones para sanciones para los controladores y operadores de datos personales.
En Brasil, la Ley General de Protección de Datos (LGPD) entró en vigor en agosto de 2020 y, desde entonces, muchas organizaciones han buscado adaptarse a la legislación. El proceso, sin embargo, es gradual y bastante lento.
Una auditoría realizada por el Tribunal de Cuentas de la Federación (TCU) para elaborar un diagnóstico de los controles implementados por los organismos públicos federales para adaptarse a la LGPD mostró que el 17,8% de ellos tenía un nivel de adecuación insignificante, el 58,9% tenía un nivel inicial, el 20,4% % con nivel intermedio y sólo el 11% con nivel mejorado.
Según la encuesta IT Trends Snapshot 2023, de la multinacional consultora tecnológica Logicalis, solo el 36% de las empresas entrevistadas reportaron que adhieren a la LGPD, mientras que el 43% tiene iniciativas concretas, el 16% se encuentran en fase de diseño y revisión de procesos y el 6 % no tienen iniciativas específicas.
Llama la atención este escenario de lentitud en la adaptación de las organizaciones públicas y privadas a la LGPD, pues la Agencia Nacional de Protección de Datos (ANPD) ya se encuentra en pleno funcionamiento para recibir quejas y solicitudes de los titulares de datos que se sientan perjudicados por el tratamiento de su información personal por parte de. organizaciones y empresas.
Según el segundo Informe de Seguimiento del Ciclo (RCM) de la ANPD, referido al primer semestre de 2023, “considerando únicamente las peticiones de titulares que contenían los requisitos mínimos de admisibilidad, los sectores más demandados fueron Telecomunicaciones, con 14 peticiones, seguido por la Plataforma Digital – Electrónica Sector Comercio, con 11 peticiones. Le sigue el sector Educación, con siete peticiones, seguido de los sectores: Entretenimiento; Y, examinando sólo las denuncias “que contenían los requisitos de admisibilidad para ser tramitadas, se constata que se mantiene la preponderancia de solicitudes relacionadas con los sectores Público, Financiero y Agregadores de Datos”.
Escenario desafiante
Si consideramos que los actores del negocio de las organizaciones no admiten pérdidas con sanciones derivadas de leyes y regulaciones causadas por errores y omisiones de los gerentes y otros empleados, ¿cómo podemos mejorar este escenario?
Un punto clave para garantizar la protección de los datos personales es comprender que la organización necesita tener una visión más amplia de este tema y que será muy poco probable que logre la protección de los datos personales si la organización ni siquiera puede proteger sus propios datos corporativos. . Es necesario implementar una política más integral de seguridad de la información y ciberseguridad.
La seguridad de la información tiene como objetivo proteger los valiosos recursos de información de la organización mediante la selección y aplicación de salvaguardas apropiadas que ayuden a lograr el objetivo y la misión empresarial. Normalmente, las violaciones de seguridad de la información permiten la destrucción, pérdida, alteración, divulgación o acceso indebido no deseado a información protegida.
Por tanto, para garantizar la protección de la información en el ciberespacio, la ciberseguridad adopta un conjunto de prácticas para proteger los sistemas de información y las redes de comunicación de datos contra acciones adversas. Su éxito depende generalmente del conjunto de acciones adoptadas para poner en práctica estas salvaguardas. Y la recomendación es, siempre que sea posible, seguir las prescripciones descritas en las normas de los organismos de normalización.
Normas de seguridad
Para orientar a las empresas en el establecimiento, implementación y mantenimiento de un Sistema de Gestión de Seguridad de la Información (SGSI), el Organización Internacional de Normalización (ISO), junto con la Comisión Electrotécnica Internacional (IEC), creó la familia de normas ISO/IEC 27000. Cuando la organización completa la implementación de los controles previstos en las normas de esta familia, puede solicitar la certificación ISO/IEC, que proporciona acreditación de mercado respecto de la adopción de la norma. mejores prácticas de seguridad de la información, ciberseguridad y protección de la privacidad.
Toda organización necesita una política de protección de la información. El inicio de un programa está determinado por la implementación de una política. Esta política crea la actitud de una organización hacia la información y anuncia interna y externamente que la información es un activo y propiedad de la organización que debe protegerse del acceso no autorizado, la modificación, la divulgación y la destrucción.
Pero, aunque es fundamental, no basta con establecer una política. Es necesario organizar los procesos y la conducta de los empleados para asegurar el cumplimiento de la legislación y estándares definidos por la organización, cumplimiento.
Considerando que el eslabón más débil de la seguridad son las personas, la cumplimiento También es responsable del proceso de transformación de la mentalidad y el actuar de los empleados en este nuevo contexto de seguridad que pretende la organización. Es importante definir procedimientos y líneas de acción capaces de implementar la práctica de protección de la información. Y es fundamental realizar auditorías periódicas para validar el cumplimiento por parte de la organización de los estándares adoptados.
Profesionales cualificados
Este nuevo escenario de integración entre seguridad de la información, ciberseguridad, protección de la privacidad y cumplimiento requiere la formación de profesionales calificados con conocimientos avanzados de leyes, regulaciones y estándares y buenas prácticas de seguridad. Son responsables de regir las actividades de gestión de seguridad de la información, gestión de riesgos, gestión de manejo de incidentes, gestión de continuidad del negocio y gestión de privacidad.
Parte de esta actividad implica interactuar con diferentes sectores de la organización, como seguridad física, seguridad de TI, gobernanza y legal. Por este motivo, es de fundamental importancia comprender la responsabilidad de cada uno de estos sectores en el contexto de la seguridad de la información para poder liderar y organizar políticas adecuadas a los intereses de la organización.
Entre las habilidades deseadas para este profesional podemos destacar la capacidad de:
- Identificar los desafíos de seguridad de la información, ciberseguridad y protección de la privacidad inherentes al proceso de transformación digital de las organizaciones;
- Comprender la seguridad del sistema de manera integral considerando aspectos esenciales como políticas de seguridad, control de acceso, autenticación, monitoreo, pruebas, documentación y recuperación;
- Actuar en la protección de datos personales, privacidad y concientización sobre la seguridad en el contexto organizacional y en la vida personal;
- Trabajar en la planificación estratégica, gestión de riesgos, gobierno y políticas corporativas de acuerdo con la ética, leyes, normas y estándares y buenas prácticas de seguridad;
- Trabajar en la planificación del manejo de incidentes y la gestión de la continuidad del negocio de acuerdo con normas y estándares y buenas prácticas de seguridad;
- Comprender los impactos de la ciberseguridad en la sociedad global, considerando amenazas, leyes, ética y políticas en la protección de la seguridad corporativa, los secretos de estado y la privacidad individual.
La encuesta IT Trends Snapshot 2023 de Logicalis ya demuestra un escenario crítico actual de escasez de profesionales de TI, en el que “el 94% de los ejecutivos indicaron que enfrentan desafíos en la búsqueda de profesionales calificados y el 83% cree que este problema será persistente en el futuro”. corto/medio plazo”.
Y un estudio sobre la disponibilidad de fuerza laboral en ciberseguridad, realizado por el Consorcio Internacional de Certificación de Seguridad de Sistemas de Información (ISC2), en 2023, observó una escasez de aproximadamente 232 mil profesionales en el área de ciberseguridad en Brasil. Un escenario que es aún peor ahora con la necesidad de profesionales cualificados para trabajar con la dirección y cumplimiento seguridad de la información, ciberseguridad y protección de la privacidad.
Corresponde a las instituciones educativas reaccionar, capacitar y capacitar a estos profesionales que son actores claves en la transformación digital, la protección de la información y la ciberseguridad, la protección de la privacidad y la certificación de la conformidad de los procesos que mueven a las organizaciones. Si la respuesta a esta falta de profesionales no ocurre en los próximos años en Brasil, corremos el riesgo de perder puestos de trabajo debido a la globalización del trabajo. Y esto será una gran pérdida para nuestra sociedad.
Anderson Oliveira da Silva no consulta, trabaja, posee acciones ni recibe financiamiento de ninguna empresa u organización que pueda beneficiarse de la publicación de este artículo y no ha revelado vínculos relevantes más allá de su posición académica.
