Por: Carlos Cordero Pérez.   22 octubre, 2019
Las empresas deben tener las consecuencias de incidentes con datos de sus clientes en su reputación y en sanciones financieras y legales. (Foto Shutterstock / Archivo GN)
Las empresas deben tener las consecuencias de incidentes con datos de sus clientes en su reputación y en sanciones financieras y legales. (Foto Shutterstock / Archivo GN)

La información que su empresa guarda de los clientes es oro para efectos de inteligencia del negocio y la toma de decisiones de productos, servicios e innovación, así que no puede tratarla con descuido. Su firma debe cumplir las normas vigentes en Costa Rica y proteger esos datos de los ciberdelincuentes.

En lo que va del 2019, la Agencia de Protección de Datos de los Habitantes (Prodhab) ha recibido 175 denuncias, todas en trámite.

La mayoría de las 574 denuncias presentadas desde 2014 tiene como finalidad suprimir información de una base de datos, ya sea porque no se cuenta con el consentimiento informado o por la aplicación del derecho al olvido.

“Los dueños de la información son las personas”, advirtió Elizabeth Mora Elizondo, directora nacional de Prodhab. “La ley otorga derechos a estas y atribuye obligaciones a las bases de datos, que deben cumplir so pena de las sanciones”.

Cumplir ley

Toda base de datos existente en el país debe cumplir con la Ley de Protección de la Persona frente al tratamiento de sus datos personales (No. 8968) y su reglamento.

En estas normas se establece que toda persona, física o jurídica, que brinde tratamiento a datos personales deberá contar con el consentimiento informado de cada uno de los titulares de los datos que contenga en su base.

Otra obligación es contar con protocolos mínimos de actuación, así como definir medidas de seguridad de acuerdo al giro de su institución o empresa.

Para Mora es de suma importancia que los encargados de las bases de datos tengan claro el derecho de autodeterminación informativa, que establece el derecho a la privacidad de las personas.

Las empresas también deben contar con protocolos de actuación y medidas de seguridad de la base de datos, lo que incluye definir quiénes tienen acceso a la base de datos, cómo se manipulan esos datos y cuál será su uso, estableciendo la finalidad de la base de datos.

Las normas existentes establecen el derecho a privacidad de las personas. (Foto Gabriela Tellez / Archivo GN)
Las normas existentes establecen el derecho a privacidad de las personas. (Foto Gabriela Tellez / Archivo GN)
Responsabilidad

Antes de pensar en los requerimientos y condiciones técnicas de seguridad, las empresas deben asumir una actitud de responsabilidad y, luego, determinar el proceso de gestión de la información.

Esteban Azofeifa Soto, consultor regional y arquitecto de Prácticas de Ciberseguridad de GBM, recordó que, aparte de la obligación legal, las empresas y entidades puede sufrir en su reputación y finanzas por cualquier filtración de datos.

El proceso de gestión de los datos, basado en riesgos, permite identificar cuáles son los controles técnicos que puede implementar.

“Al basarse en un proceso, se mantiene vigente en función de las nuevas amenazas que atenten con la información de clientes y permite la incorporación del ciclo de mejora continua”, indicó Andrés Casas, socio de Asesoría de Riesgos de Deloitte.

Fallas comunes

Buena parte de los problemas con la gestión de la información se origina en prácticas, medidas y acciones deficientes en las empresas y entidades.

El problema empieza con el desconocimiento de cuáles son los datos que se tienen, dónde están almacenados y para qué se utilizan. Asimismo, se desconoce qué información de los clientes debe ser desechada cuando no se requiera.

A eso se le agregan varias fallas administrativas. La más común está relacionada con la gestión de accesos, donde hay funcionarios o colaboradores que tienen acceso a datos que no deberían. Se incluye aquí a exfuncionarios o excolaboradores cuyos permisos siguen vigentes.

En buena parte de los casos no hay control de quiénes son los administradores.

La otra gran falla tiene que ver con la actualización de los sistemas. Si los recursos tecnológicos están actualizados, se mitigan varias vulnerabilidades que pueden estar presentes por problemas de diseño.

La responsabilidad de las empresas incluye la protección de los datos frente a ataques de ciberdelincuentes. (Foto archivo GN)
La responsabilidad de las empresas incluye la protección de los datos frente a ataques de ciberdelincuentes. (Foto archivo GN)
Medidas

Las empresas deben adoptar una serie de medidas, empezando por definir el tipo de información que consideran sensible, clasificarla en distintos niveles de criticidad y determinar quiénes son los responsables de su gestión y protección.

De seguido se deben definir políticas de manejo de los datos sensibles y los controles que se requieren para mantener la confidencialidad, integridad y disponibilidad de la información: accesos (granular y basado en roles), manejo de información (creación, modificación y eliminación), y para identificar acciones no autorizadas o sospechosas.

Las medidas técnicas contemplan el cifrado de datos en reposo y en tránsito, autenticación de las aplicaciones corporativas, prevención de fuga de datos desde los dispositivos de los colaboradores y gerentes, alertas y monitoreo de comportamiento de usuarios.

Todas estas acciones deben acompañarse de una cultura de seguridad donde los colaboradores y asociados del negocio tengan claros los riesgos y las medidas.

Azofeifa, de GBM, recalcó que es indispensable construir un proceso continuo de monitoreo para poder mantener una protección de datos adecuada, según los requerimientos del negocio.

Rol de clientes

Las empresas juegan un rol fundamental en la protección de datos, pero son los clientes quienes deben ser más estrictos con ellas cuando les confíen su información.

Elizabeth Mora, de Prodhab, advirtió que, de las denuncias que se han presentado desde 2014, solo 60 fueron declaradas a favor del denunciante, ya que el denunciante no aporta pruebas contundentes de los hechos que denuncia o no aporta una dirección física para notificar al denunciante.

“Hacemos un llamado a toda la población para que se cumpla con estos dos aspectos indispensables”, recalcó Mora.

La necesidad de que la población esté más alerta se debe a que en las compañías y entidades falta entender el riesgo que corren con los descuidos en el manejo de la información y los múltiples portillos que se dejan a disposición de los ciberdelincuentes.

Joaquín Martínez, gerente de Fortinet en Costa Rica, recomendó incluir en la estrategia de protección de datos la seguridad de las redes inalámbricas, de los dispositivos de usuarios y de otros equipos conectados, especialmente con Internet de las cosas.

Martínez resaltó que se debe poner más atención al uso de las contraseñas, equipos no autorizados, conexiones remotas, seguridad de correos electrónicos (por estafas y engaños tipo phishing que pueden incluirse en ellos) y en redes sociales, muy utilizadas para recopilar información y distribuir virus u otro tipo de software malicioso.

Se espera que los mismos reguladores y órganos gubernamentales presenten políticas públicas más efectivas para apoyar e incentivar un ambiente más propicio para la protección de los usuarios.

Sanciones
Las empresas o entidades que incumplan la ley y el reglamento de protección de datos podrían ser sancionadas:
La Ley N.º 8968 señala faltas leves, graves y gravísimas, las cuales pueden generar una multa económica de entre 5 y 30 salarios base del cargo de auxiliar judicial 1: entre ¢480.000 y ¢15 millones, aproximadamente.
Para las faltas gravísimas, la agencia incluso puede ordenar la suspensión de la base hasta por seis meses.
Fuente: Prodhab