Durante la última década, cientos de millones de datos personales que contienen información personal se han perdido o han sido robados a través de violaciones de datos en empresas, agencias gubernamentales y otras organizaciones. Las violaciones de seguridad resultan en datos robados que acaban en manos de ciber delincuentes o un robo de identidad.
En consecuencia, se han aprobado leyes, normas o regulaciones del sector o la industria que exigen a organizaciones aplicación y mantenimiento de las mejores prácticas de seguridad para proteger adecuadamente la información confidencial que recopilan y utilizan.
Los requerimientos regulatorios y definiciones con relación a los cumplimientos pueden variar dependiendo de la jurisdicción. Se dividen en cuatro categorías:
- Leyes de protección de datos/privacidad
- Leyes que regulan transacciones electrónicas
- Leyes de delitos cibernéticos y
- Leyes de protección al consumidor.
Adicionalmente, los abogados tienen responsabilidades profesionales y éticas para tomar todas las medidas necesarias para salvaguardar la información confidencial relacionada con los clientes. ABA Model Rule, se refiere a la protección segura de datos en Reglas 1.1, 1.4 y 1.6 y recientemente han emitido tres opiniones de ética formal 477R ” Protección de la comunicación de la información protegida del cliente” (mayo de 2017); Opinión formal 483 “Obligaciones de los abogados después de una violación de datos electrónicos o un ataque cibernético” (octubre de 2018) y Opinión Formal ABA 498, “Práctica Virtual” (febrero de 2021).
Estas reglas requieren que los abogados, cuando usen tecnología, 1) empleen medidas competentes y razonables para salvaguardar la confidencialidad de la información relacionada con los clientes, 2) se comuniquen con los clientes sobre el uso de la tecnología y obtengan el consentimiento informado de los clientes cuando corresponda, y 3) hagan la correcta supervisión en uso de tecnología y protección de datos de clientes en su relación con otros profesionales, empleados o proveedores.
Políticas y programa de seguridad incluyen protecciones administrativas y físicas, así como protecciones técnicas. Pero, sobre todo, el personal completo debe conocer y estar debidamente entrenado para usar sistemas de información de manera adecuada.
Para una mayor resiliencia en ciberseguridad, se necesita abordar el tema desde la perspectiva estratégica, incorporando la seguridad de información dentro de los riesgos de continuidad del negocio. Las Normas ISO 27000 proporcionan recomendaciones para el uso de políticas y estructuras organizacionales para reducir el riesgo. El marco o la estructura del Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO), señala el rol del gobierno corporativo y su influencia a la cultura destacando la importancia del liderazgo, valores fundamentales y desarrollo y capacitación de talento humano, entre otros. El claro compromiso de los lideres en la gestión de riesgo, incluyendo el de seguridad informática, es esencial para el éxito. Pero, la seguridad es la responsabilidad de todos, no solo de los lideres, ni de área de informática.
Desafíos recientes muestran la necesidad de incorporar más sofisticadas protecciones técnicas. Innovación y las nuevas tecnologías pueden ayudar a mejorar la protección de datos y ciberseguridad.
El desarrollo de la Inteligencia Artificial comenzó en la década de 1950, siendo usado el nombre como tal, por primera vez en 1956. Distintas formas de Inteligencia artificial pueden ayudar a identificar, interpretar las actividades inusuales y automatizar mejor curso de acción necesarios para la defensa, detección y respuesta. Más utilizadas son los algoritmos y el aprendizaje automático. Un tipo especial de aprendizaje automático son los llamados algoritmos de “aprendizaje profundo”.
Debido a la disponibilidad de Big Data y el desarrollo de algoritmos de “aprendizaje profundo”, han permitido el progreso exponencial de los últimos años, mejorando las capacidades de los sistemas de IA para ver, escuchar, leer y analizar a gran escala. Eso a su vez ha permitido desarrollo de nuevas aplicaciones. La autenticación multifactorial que incluye elementos biométricos como reconocimiento de voz, imágenes o la geometría facial han ido mejorando confianza de los usuarios en seguridad de sus datos. Las tecnologías Blockchain proporciona mayor seguridad en transacciones críticas entre las partes, mediante el uso de una red de sistemas distribuida por Internet para registrarlas.
Sin embargo, existen varios desafíos para incorporar nuevas tecnologías en los programas de ciberseguridad, entre ellos los más relevantes son la mano de obra especializada y los costos asociados. Por lo que se recomienda utilizar los proveedores especializados en esa materia. Otra opción es utilizar los servicios relacionados con las operaciones, basados en las nubes, siempre que ofrecen certificación de seguridad formal con un informe SOC 2 (centro de operaciones de seguridad).
Aceptar y adaptar las organizaciones a la transformación digital va a ser fundamental para mejorar los programas de ciberseguridad, aunque ningún programa será 100% efectivo, sin embargo, puede reducir significativamente el volumen y el impacto de los ataques.
Angelina Angelov
Gerente de Oficina y Cumplimiento
*** Russin Vecchi & Heredia Bonetti ofrece esta publicación solo como información general y la misma no debe considerarse asesoría legal para casos específicos.
