• Tweet

La Comisión Europea ha publicado propuestas para un cambio en la ley que podría forzar a las compañías de telecomunicaciones a notificar a reguladores y clientes de sobre todos los problemas de seguridad en datos incluyendo, por ejemplo, extravío de equipos portátiles y el robo de cintas de respaldo. Una ley similar pero más lejana de alcanzarse en California ha resultado en diluvio de notificaciones de vulneración de datos por compañías como Time Warner y Bank of America. Puede que no pase mucho antes de que Europa siga el juego, con regulaciones y manejadores de negocios impactando a más y más compañías.

El robo de identidad no es solo un problema en la Internet; este puede pasar de muchas maneras visibles. Amenazas y pérdidas de cintas de respaldo significa que grandes volúmenes de información personal como son, nombres personales, fechas de nacimiento o números de seguridad nacional son expuestos a abusos potenciales en cualquier momento futuro. Las compañías necesitan hacer más para protegerse a sí mismas y a sus clientes contra pérdidas de datos personales para evitar algún daño a la reputación de la corporación al ser expuestos bajo ésta legislación propuesta.

De acuerdo con Rich Mogull, Vicepresidente de Investigación de Gartner, las maneras claves para que las compañías resguarden los datos personales son:

• Implementar el monitoreo y filtrado de contenido (CMF por sus siglas en inglés).
• Cifrar las cintas de respaldos y (posiblemente) el almacenamiento masivo.
• Asegurar las estaciones de trabajo, restringir los equipos caseros y bloquear almacenamiento portátil.
• Cifrar la información contenida en equipos portátiles.
• Implementar un monitoreo de la actividad en las bases de datos.

La Revisión del Marco Regulatorio de Estados Unidos para redes y servicios de comunicaciones electrónicas propone que todos los proveedores de “redes ó servicios de comunicaciones electrónicas” sean forzados a notificar a los reguladores y a sus clientes de cualquier vulnerabilidad de seguridad que pudiera resultar en que los datos personales de los clientes estén disponibles para otros.

La directiva de Estados Unidos actual no ha ordenado a los proveedores de redes a notificar a sus clientes de vulnerabilidades de seguridad, únicamente de riesgos de seguridad. La ley del Reino Unido sigue la Directiva de cerca a través del artículo Regulaciones para la Privacidad y Comunicaciones Electrónicas del 2003. El Articulo dice: “Donde permanece un riesgo significativo para la seguridad del servicio publico de comunicaciones electrónicas, el proveedor del servicio debe mantener informados a sus subscriptores sobre (a) la naturaleza de éste riesgo; (b) cualquier medida apropiada que el subscriptor pueda tomar para salvaguardarse contra el riesgo, y (c) los costos probables que tome al suscriptor implicado tomar dichas medidas.”

Los cambios de seguridad son parte de una consulta más amplia en Estados Unidos. Si la nueva ley se aplica como se propone, proveedores de redes de comunicaciones electrónicas y servicios deberán considerar costos completos en caso de vulnerabilidades de seguridad en datos que involucren información personal.

En California, donde fue la primera en pasar un aviso de ley vulnerabilidades de seguridad, los reportes de infracciones sobre identidad personal se han elevado y son extensamente menos reportados en la arena pública. Treinta y tres estados de los Estados Unidos dan seguimiento a esta situación y una serie de amenazas y perdidas de cintas de respaldo, equipos portátiles y discos duros han expuesto los datos de millones de gentes a perdida potencial y malos usos. Muchas de las pérdidas reportadas podrían haber sido ocultadas sin una ley de notificación.

Rob Gretton, Director de Desarrollo de Negocios de DISUK comentó: “Esta legislación es un paso en la dirección correcta como algo que se concede a los individuos y les proporciona mayor información. Sin embargo, no avanza lo suficientemente rápido y se acerca a un vacío de “si los datos son expuestos, como aseguramos que no puedan ser mal utilizados”

“Como la propuesta esta detenida, esta forzaría a las compañías a discutir cuando información o identidades personales estén en riesgo, permitiendo a los individuos el ser informados y tomar acciones. Desafortunadamente, esta permite a los negocios continuar depositando la responsabilidad en los individuos para rectificar los problemas causados por ellos, los propietarios de la fuente de los datos expuestos. Para no ir tan lejos, grandes compañías han podido encoger sus hombros y decir lo siento, dejando a una persona reclamar su identidad ó su historial crediticio, lo cual puede tomar años y ser un proceso doloroso. Tiene que haber cierto elemento de responsabilidad para la exposición de datos. Se necesita fomentar un sentido de la ética en la responsabilidad corporativa.