Michael Brown, vicepresidente de tecnología de Auvik, tiene razón en mi opinión: “En un extremo del espectro, monitorear cada acción de un empleado proporciona una visibilidad profunda y conocimientos potencialmente útiles, pero puede violar la privacidad de un empleado. Por otro lado, si bien la falta de monitoreo protege la privacidad de los datos de los empleados, esta elección podría plantear importantes riesgos de seguridad y productividad para una organización. En la mayoría de los casos, ninguno de los extremos es la solución adecuada, y las empresas deben identificar un compromiso efectivo que tenga en cuenta tanto la visibilidad como la privacidad, permitiendo a las organizaciones monitorear sus entornos y al mismo tiempo garantizar que se respete la privacidad de ciertos datos personales de los empleados”.
La palabra clave en la observación de Brown es «compromiso» y voy a agregar «transparencia». Los empleados que comprendan por qué y cómo se monitorea su compromiso, y cómo ese monitoreo puede convertirse en vigilancia cuando existe una causa probable, comprenderán mejor la necesidad de proteger a la entidad en su conjunto al monitorear a todos los que participan.
La recopilación de datos conlleva la obligación de protegerlos.
El refrán dice que si lo recolectas, debes protegerlo. Todo CISO lo sabe, y cada instancia en la que se recopile información debe contar con un medio para protegerla. Con esta idea en mente, John A. Smith, fundador y CSO de Conversant, propuso algunas ideas que son fácilmente aceptables:
- Cumplir con las regulaciones y requisitos de cumplimiento.
- Comprenda que el cumplimiento no es suficiente.
- Mida sus controles seguros frente a los comportamientos actuales de los actores de amenazas.
- Cambia tus paradigmas.
- Recuerde que la mayoría de las infracciones siguen el mismo patrón de alto nivel.
El comentario de Smith sobre el cambio de paradigmas despertó mi interés y su expansión es digna de ser tomada en cuenta, como una forma diferente de pensar. «Los sistemas generalmente están abiertos por defecto y cerrados por excepción», le dice a CSO. “Debería considerar reforzar los sistemas de forma predeterminada y solo abrir el acceso por excepción. Este cambio de paradigma es particularmente cierto en el contexto de los almacenes de datos, como la gestión de consultas, los registros médicos electrónicos, el descubrimiento electrónico, el HRMS y los sistemas de gestión de documentos”.
“La forma en que se protegen los datos, se gestionan los controles de acceso y se orquesta la identidad son de vital importancia para la seguridad de estos sistemas. La nube y SaaS no son intrínsecamente seguros, porque estos sistemas están en gran medida, de forma predeterminada, expuestos a la Internet pública, y estas aplicaciones generalmente no son examinadas con estricto rigor de seguridad”.
Limitar el acceso a la información también puede alimentar problemas de seguridad
Quizás soy una anomalía, pero cuando voy a un sitio web y quiero leer los documentos técnicos o la investigación de una organización y me piden que proporcione información de identificación para hacerlo, tiendo a cerrar el navegador y seguir adelante. Si realmente estoy interesado y no hay otra forma de obtenerlo, completaré de mala gana el formulario para obtener la descarga. Si tengo una cuenta de correo electrónico genérica basada en la web, a menudo me rechazan y me advierten que esta información es sólo para aquellos con cuentas «comerciales» adecuadas. El marketing parece interponerse entre difundir conocimientos y alimentar un embudo de ventas.