Privacidad y Confidencialidad
Dos conceptos que son muy próximos, pero muy diferentes… algo así como lo salado y lo dulce; o lo bonito y lo agradable.
Aún así, las consecuencias de analizar la seguridad de los datos en estas dos perspectivas puede reducir significativamente el riesgo de fuga de datos y aumentar la capacidad de recuperación de nuestra organización frente a un ataque (resiliencia).
El concepto de privacidad está más cerca de la prevención, bloquear el acceso al activo y sólo permitir accesos elegibles. Gran parte de las soluciones de seguridad que existen cubren la privacidad de acceso, sea de un usuario, de una aplicación, etc…
El concepto de confidencialidad está más orientado a la mitigación de un riesgo. El usuario tiene acceso a un activo, y mantener la confidencialidad del mismo, es mantener el control sobre la capacidad de copia y transmisión de ese activo de los distintos usuarios.
En los entornos de seguridad documental o seguridad de datos, esta diferencia puede ser extremadamente importante. Tardamos 7 meses en detectar una intrusión (fuente: Ponemon Institute) que potencialmente busca retirar datos de nuestra organización. Si nuestra estrategia de protección abarca únicamente la privacidad, estamos perfectamente a merced de nuestros atacantes en el momento en que rompen nuestras defensas.
Las normativas de seguridad como por ejemplo la ISO27001 o la PCI DSS, refieren frecuentemente estos dos conceptos como básicos para mantener un sistema de seguridad saludable;
Pero mientras la tecnología de prevención ha avanzado muy rápidamente y está bastante extendida; las tecnologías de mantenimiento de confidencialidad de los datos, o sea, las que controlan la copia y trasmisión de los mismos, como los sistemas de DLP o IRM como Sealpath no lo están tanto.
Sin embargo se desarrollaron muy rápidamente desde el inicio de este siglo y poco a poco fruto de la toma de conciencia de los responsables van emancipándose; pero todavía no han adquirido el papel que deberían en las estrategias de protección y mitigación de riesgos de las compañías.
Como decía un amigo, si dejas entrar un ladrón en casa no pasa nada si no le dejas robarte. Si equilibráramos más nuestras inversiones en privacidad y confidencialidad seguramente nos robarían menos datos.
Te invito a que compartas conmigo cómo afrontas los riesgos de acuerdo a estos dos conceptos y cómo los equilibras con éxito.
CEO de Biz The World
joao.matos@biztheworld.com