Cada vez que un usuario abre una aplicación en su dispositivo, parece que se le pide que proporcione tanto la información necesaria para interactuar con la aplicación como, con demasiada frecuencia, información adicional que cae en el nicho de lo agradable o del marketing. Que los CISOs participen en las discusiones sobre qué datos son necesarios para que una aplicación funcione es algo que está en juego. Deberían poder opinar sobre cómo se analizan esos datos para determinar cómo deben protegerse para seguir cumpliendo las leyes de privacidad. Además, los CISO tienen un papel que desempeñar para ayudar a los trabajadores a permanecer seguros en línea, así como para proteger su privacidad (y la de la empresa).
Los riesgos de la recopilación excesiva de datos
La sobre-recolección de datos por parte de las empresas es un problema rampante. Los corredores de datos toman lo que usted les da y lo que ellos raspan y empaquetan y venden. Los empleadores están ahora ayudando a los empleados a proteger su PII [información personal identificable], ya que a la empresa le interesa mucho hacerlo.
En cuanto a las medidas que pueden tomar los CISO, se sugiere que se centren en los puntos de cumplimiento de la recopilación de datos y en el etiquetado de los mismos. De este modo, el proceso y el procedimiento evolucionan para que los datos se conserven el tiempo necesario, de modo que si un individuo quiere que se elimine su IIP, sea factible hacerlo. (La privacidad de los datos en la Unión Europea, en forma de Reglamento General de Protección de Datos [GDPR], incluye el "derecho al olvido", que obliga a las empresas a eliminar la información de un individuo si lo solicita).
TikTok, un ejemplo flagrante de recolección excesiva de datos
Un ejemplo de aplicación que hace que uno levante la ceja sería TikTok. Esta red social se presenta como una aplicación benigna utilizada por niños, adolescentes y adultos. Cada interacción de vídeo está catalogada. Los adolescentes se convierten en adultos. Con el paso del tiempo, es probable que este corpus de "datos de la trayectoria vital" se utilice para el análisis predictivo con el fin de trazar la trayectoria futura de los individuos.
Un reciente artículo de Gizmodo analiza un estudio realizado por Internet 2.0, una empresa australiana de ciberseguridad, titulado It's Their Word Against Their Source Code - TikTok Report. Su investigación demostró que la aplicación sí se conecta a China y solicita "un acceso casi completo al contenido del teléfono mientras la aplicación está en uso". Esos datos incluyen el calendario, las listas de contactos y las fotos". Cuando la aplicación está en uso, tiene la capacidad de escanear todo el disco duro, acceder a las listas de contactos, así como ver todas las demás aplicaciones que se han instalado en el dispositivo. Esto era "significativamente más" de lo que una aplicación como TikTok necesita acceder.
TikTok dijo a Gizmodo que la recopilación de datos llevada a cabo está "en línea con las prácticas de la industria. Recogemos la información que los usuarios deciden proporcionarnos y la que ayuda al funcionamiento de la app, a operar de forma segura y a mejorar la experiencia del usuario."
La ADPPA está en el horizonte
A finales de junio de 2022, la Ley de Protección y Privacidad de Datos de Estados Unidos (ADPPA) se presentó en el comité de Energía y Comercio de la Cámara de Representantes y salió del comité el 22 de julio. Aunque no es una panacea, de hecho el estado de California señala que si se aprueba tal y como está redactada debilitará algunas de las medidas adoptadas en California para proteger la privacidad de las personas, es un paso adelante. Teniendo en cuenta que es probable que tarde algún tiempo en tramitarse en el Congreso, no hay necesidad de que los CISOs esperen para abordar algunas de las recomendaciones contenidas en el proyecto de ley, ya que tienen un sentido inminente desde la perspectiva de la protección de datos y la privacidad.
La transformación digital ha creado un método muy disponible de seguimiento de la vigilancia.
El proyecto de ley incluye áreas para incluir el derecho a la eliminación, el derecho de acceso y corrección, la necesidad de que las empresas designen a los responsables de la protección de los datos (los CISO toman nota), y el deber de lealtad. El deber de lealtad, en teoría, requeriría que las organizaciones actuaran en el mejor interés del individuo al procesar los datos y diseñar los servicios, lo que esto significa para la ciberseguridad en el aspecto técnico: autenticación multifactor, gestión de la red, control de acceso, evaluaciones de vulnerabilidad, retención de datos y proceso y procedimientos de respuesta a incidentes.
En resumen, los CISO deben presionar para garantizar que los datos recogidos estén protegidos.
Fuente: CSO
Commenti