El sector de la ciberseguridad debe encontrar soluciones para la seguridad de los datos de terceros

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Las organizaciones deben responsabilizarse más de la seguridad de los terceros proveedores que acceden a sus datos, según los expertos que intervinieron en una sesión de webinar, organizada por Atakama.

Moderando el debate, Brian Herr, CISO de campo de Mainline Information Systems, destacó en primer lugar cómo las organizaciones dependen cada vez más de terceros, lo que significa que un número cada vez mayor de entidades tiene acceso a su información confidencial. “Las organizaciones están poniendo más datos fuera de su control”, explicó, y añadió que “el panorama normativo y legal está tratando de vigilar esto y está cambiando la forma de hacer negocios.”

La legislación del GDPR de la UE se considera generalmente como la pionera de las normas de protección de datos, con otros países como los EE.UU. comenzando a seguir el ejemplo en términos de sus propias regulaciones. Ahora están surgiendo algunas aclaraciones en relación con el acceso a los datos de terceros desde el GDPR, que probablemente tendrán implicaciones en todo el mundo. Patrick Burt, ex regulador de Nueva York/abogado de privacidad de Philip Nizer, señaló que “cada vez se presta más atención a los terceros”. En virtud del RGPD, las organizaciones tienen la clara responsabilidad de someterse a evaluaciones de riesgo y otras comprobaciones cuando ceden datos a un tercero.

Burt señaló que en una serie de casos recientes en los que la Oficina del Comisionado de Información (ICO) del Reino Unido impuso multas, entre ellos contra BA, Marriott y Ticketmaster, se argumentó que los terceros eran responsables, “pero en cada caso, la ICO determinó que era su responsabilidad, no estaban responsabilizando a esos terceros en absoluto”, explicó Burt. Esto se debió, en última instancia, a que no llevaron a cabo la diligencia debida.

Dimitri Nemirovsky, cofundador y director de operaciones de Atakama, coincidió en afirmar que las organizaciones siguen teniendo en última instancia el control de lo que ocurre con sus datos. En un entorno cada vez más digitalizado, “no creo que se pueda existir hoy en día sin utilizar a un tercero de una forma u otra”, subrayó. En este contexto, es fundamental que las empresas encuentren el enfoque adecuado para garantizar la integridad de los datos que se confían a estos terceros. Nemirovsky dijo que “es realmente importante que se investiguen las herramientas que se utilizan y que se haga de tal manera que se mantenga el rendimiento que se espera de la plantilla”.

Según Nemirovsky, la gestión de la distribución de las claves de cifrado es especialmente importante para conseguirlo. “Se reduce a un problema de gestión de identidades y accesos”, comentó. Y es que, si las credenciales de un usuario autorizado se ven comprometidas, todos los datos serán descifrados para el atacante.

El compromiso de las cuentas es, por tanto, el mayor problema de seguridad cuando se trata de terceros, ya que pueden producirse infracciones incluso después de haber realizado las evaluaciones de riesgo adecuadas. “Esto se va a convertir en un gran problema que la industria va a tener que resolver”, dijo Herr. “En última instancia, se reduce a entender y conseguir que el cifrado esté lo más cerca posible del uso de los datos, de manera que cualquier cosa en el medio no importe realmente”.

Con información de: Info Security Magazine.