Clasificamos las tecnologías que se pueden usar para imponerl la privacidad en dos categorías principales:
1. Tecnologías para evitar o reducir en la medida de lo
posible la divulgación de datos personales.
2. Tecnologías para controlar los datos personales cuando se procesan.
Estas dos categorías corresponden a dos tipos ded derechosde privacidad y la estrategia se subdivide en dos tácticasc complementariaspara individuos: primero, reducir alm máximola divulgación de sus datos personales (principio de minimización; luego, controlar e identificar el procesamiento de los datospersonales. El considerando del Reglamento general europeod de protección de datos (acordado por el Parlamento Europeo, elConsejo y la Comisión en diciembre de 2015) define la minimización de datos como el requisito de que los datos sean
"adecuados, relevantes y limitados a lo necesario en relación conlos fines para los cuales son procesados”.
Derivado de esto además, exigen que "los datos personales sólo se procesen si el propósito del proceso no puede cumplirse por otros medios". Y en la legislación mexicana, lo plasma en el principio de proporcionalidad, consagrado en el artículo 45 del Reglamento de la Ley Federal de Protecciónde Datos Personales en Posesión de Particulares
“sólo podrán ser objeto de tratamiento los datos personales que resulten necesarios, adecuados y relevantes en relación con las finalidadespara las que se hayan obtenido.”
Por otro lado, nos encontramos con un reto que las organizaciones deben de empezar a afrontar, que es la trazabilidad del dato personal es decir, el artículo 48 del Reglamento (Principio de Responsabilidad, hace mención que
“se debe establecer medidas para la trazabilidad de los datos personales, es decir, acciones medidas y procedimientos técnicos que permiten rastrear a los datos personales durante su tratamiento.”
Las VPN ́s, se han vuelto un vector de ataque ; existen estudios de carácter internacionalque solo un tercio de las compañías mundiales saben cuántos proveedores acceden a sus sistemas, se afirma que
"la red de la compañía promedio es visitada por 89 proveedores diferentes cada semana".
El Informe (FireEye Company, 2016), recomienda:
“No ledé acceso a su proveedor de servicios subcontratados por VPN, de sitio a sitio. Deles acceso solo a la aplicación o dispositivo que necesiten. Haga que utilicen la autenticación de múltiples factores. Ahora considere que se han bajado más de 3,7 mil millones de registros desde 2013, según lo informado por el Índice de nivel de incumplimiento, de esa forma se podría decir que las VPN, especialmente los que están protegidos con solo un nombre de usuario y contraseña, no son seguros".
Las defensas tradicionales no son suficientes, luego entonces, ¿por qué seguimos usando los mismos controles de seguridad? ¿por qué si existen estudios y pruebas fehacientes de que las VPN ́s o las seguridadtradicional ya resulta insuficiente, no evolucionamos?
Un intento de solución es: "No otorgar acceso a toda la red, sino sólo a los recursos especificados (servidor, dispositivo o aplicación) nnecesarios El área de Tecnologías de la Información sabe que el usuario autorizado real se está autenticando y no un pirata informático que tomó uno de los varios mil millones de nombres de usuario / contraseñas legítimas robadas".
Para comprender con más detalle que es una VPN recomiendo mirar el siguiente video:
https://youtu.be/YxClNGecftE
https://www.fireeye.com/
https://go.forrester.com/
No hay comentarios.:
Publicar un comentario