Desde su entrada en vigor en 2016, el Reglamento General de Protección de Datos ha obligado a las empresas europeas a adoptar medidas contundentes para proteger sus datos y, más concretamente, la información personal de sus clientes.
Tras haber implementado los recursos necesarios para cumplir con esta normativa, muchas organizaciones destacan hoy en día su conformidad con las exigencias del RGPD, lo que a su vez garantiza la seguridad de los datos de sus clientes y socios.
Pero, ¿están realmente protegidos? Aunque los ciberataques siguen siendo una amenaza constante, las empresas también enfrentan un riesgo jurídico menos conocido. En particular, el uso de una solución de Business Intelligence extranjera podría comprometer sus datos, independientemente de los mecanismos de seguridad implementados.
Riesgos para la seguridad de los datos en una solución de BI
Cuando se trata de la seguridad de los datos, las empresas que utilizan una solución de Business Intelligence se enfrentan a una serie de riesgos.
- Gestión compleja de grandes volúmenes de datos: en la era del Big Data, el Business Intelligence implica la gestión de una gran variedad de datos, con volúmenes cada vez mayores. Y cuantos más datos hay, mayor es el riesgo de vulnerabilidades, fugas o accesos no autorizados.
- Ciberamenazas: como todas las aplicaciones, las herramientas de Business Intelligence están cada vez más expuestas a ataques informáticos y otros actos malintencionados, como el robo de datos y el ransomware.
- Cumplimiento normativo: la introducción de estrictas normativas de protección de datos, como el Reglamento General de Protección de Datos (RGPD) en Europa, expone a las empresas al riesgo de incumplimiento.
- Amenazas internas: Una mayor parte de los incidentes de ciberseguridad en las empresas se originan internamente. Por tanto, los empleados, así como los subcontratistas, proveedores y socios con acceso a información sensible, deben extremar la vigilancia.
- La aparición de nuevas tecnologías: a pesar de su inmenso potencial, tecnologías como la inteligencia artificial, el blockchain y el Internet de las Cosas también plantean dudas sobre la seguridad y la confidencialidad de los datos, al tiempo que ofrecen nuevos ángulos de ataque a los ciberdelincuentes.
- Localización y soberanía de los datos: en un momento en el que la soberanía digital se perfila como una cuestión de primer orden, las empresas también deben abordar de frente la cuestión de la localización de los datos.
Las consecuencias de las violaciones de datos para las empresas que utilizan soluciones de BI
Un robo o una filtración de datos puede tener consecuencias nefastas para su empresa, a distintos niveles.
Una reputación dañada
En primer lugar, una violación de datos puede tener un impacto significativo en la reputación de su organización. Corre el riesgo de exponer datos sensibles que pueden afectar no solo a su empresa, sino también a sus clientes, socios y otras partes interesadas. Esto puede tener un efecto duradero en la confianza del público en su organización, especialmente si el incidente es objeto de un «mal rumor» en los medios de comunicación.
Si no se ha evitado lo peor, es vital comunicarse de forma transparente con los clientes y otras partes afectadas por la filtración de datos personales, para limitar el impacto en su reputación. También hay que tomar medidas enérgicas para limitar el impacto del incidente y evitar que vuelva a ocurrir en el futuro.
Pérdidas financieras significativas
El deterioro de su imagen de marca puede tener consecuencias nefastas para su empresa, provocando la marcha de algunos clientes a la competencia, así como la pérdida de cuota de mercado a largo plazo. El resultado lógico es una reducción de la facturación y los beneficios de la organización.
Además, una filtración de datos personales puede acarrear otras pérdidas financieras, como multas, indemnizaciones o costes de reparación.
Rendimiento degradado
Una violación de la seguridad de los datos también puede obstaculizar o incluso paralizar sus procesos de Business Intelligence, lo que se traduce en una pérdida de rendimiento. En otras palabras, se reduce su capacidad para acceder a los datos, analizarlos y utilizarlos eficazmente. Por no hablar del riesgo de corrupción, alteración o supresión de determinados datos, que puede afectar negativamente a la calidad y fiabilidad de sus datos (y, por tanto, a sus futuros análisis).
Incumplimiento de la normativa
Por último, un problema de seguridad de los datos puede poner de manifiesto el incumplimiento por parte de una organización de la normativa vigente (en este caso, el Reglamento General de Protección de Datos). Las consecuencias legales pueden ser aún más importantes si se procesa información considerada sensible, como datos del sector sanitario.
¿Qué medidas hay que adoptar para proteger los datos en una solución de BI?
Aunque los riesgos asociados al uso de datos de BI son innegables, existen varias formas de que las organizaciones puedan controlarlos mejor. Sin embargo, estas medidas solo tienen una eficacia limitada y no deben considerarse «soluciones milagrosas».
Derechos de acceso y mecanismos de autenticación para proteger la información sensible
Implantar un estricto control de acceso es una forma obvia de mejorar la seguridad de los datos de BI. En la práctica, esto significa determinar quién puede acceder a qué datos y en qué condiciones. Dependiendo de las necesidades y especificidades de la organización, se pueden desplegar diferentes modelos, basados en roles, reglas o atributos. En cualquier caso, el control de acceso permite:
- Limitar los derechos de los usuarios autorizados, que solo pueden acceder a los datos absolutamente necesarios para su trabajo.
- Impedir que los usuarios no autorizados accedan a los datos.
- Controlar en tiempo real la actividad de los usuarios, así como los datos consultados, los ficheros modificados o suprimidos, etc. Esto implica una gestión perfecta de las cuentas de usuario, que deben ser nombradas y personalizadas para que cada acción pueda rastrearse fácilmente.
Además, los derechos de acceso deben estar respaldados por mecanismos de autenticación rigurosos. La aplicación de una política estricta de nombres de usuario y contraseñas es un buen punto de partida. Las contraseñas deben sustituirse periódicamente.
Sin embargo, estas medidas no pueden garantizar un alto nivel de seguridad para una organización, razón por la cual están respaldadas por métodos de cifrado.
Cifrar datos para garantizar la confidencialidad
El cifrado es el proceso de transformar la información en un código que solo puede ser descifrado por quienes posean la clave de descifrado adecuada. Es sin duda uno de los métodos más sencillos para mejorar la seguridad de los datos, limitando el riesgo de robo o acceso no autorizado.
Existen diferentes tipos de cifrado, cuya eficacia depende del contexto de cada organización: simétrico, asimétrico, híbrido, etc. En todos los casos, los datos deben cifrarse no solo cuando están almacenados en las bases de datos (lo que se denomina datos «en reposo»), sino también cuando están en tránsito entre diferentes BD. Además, es esencial gestionar adecuadamente las claves de cifrado y sustituirlas periódicamente.
También debemos mencionar algunas técnicas alternativas:
- Enmascaramiento de datos, que consiste en «ocultar» las letras y números presentes en los datos utilizando caracteres de sustitución. Cuando un usuario autorizado recibe los datos en cuestión, estos vuelven a su forma original.
- Latokenización, que sustituye la información sensible por caracteres aleatorios no reversibles. La correspondencia entre los datos y sus valores de sustitución se almacena en una base de datos segura (en lugar de generarse y descifrarse mediante un algoritmo, como en el caso del cifrado).
Sea cual sea la técnica utilizada, el cifrado de datos es una medida necesaria, pero ni mucho menos suficiente…
Antoine Buat, Director General de DigDash
La ley federal estadounidense «CLOUD Act» permite a las agencias de inteligencia estadounidenses acceder a los datos personales alojados en los servidores informáticos de empresas estadounidenses (aunque estén almacenados en otros países), siempre que cuenten con una orden judicial y la aprobación de un juez federal.
Y lo que es aún más preocupante, la Ley de Vigilancia de la Inteligencia Extranjera (FISA ) permite a las agencias gubernamentales recopilar los datos digitales de no estadounidenses de forma masiva y sin orden judicial. El riesgo de injerencia es por tanto muy real, a pesar de las medidas de seguridad aplicadas… De ahí la necesidad de «deslocalizar» los datos para garantizar su protección.
Alojamiento en Europa, por una empresa francesa: una auténtica garantía de seguridad
¿Sabe dónde se almacenan realmente sus datos? Y, sobre todo, ¿quién puede acceder a ellos?
Cuando consultó la documentación proporcionada por el editor de su solución de Business Intelligence, quizá se tranquilizó al saber que sus datos se almacenaban en un servidor con sede en Europa. Gran error: en realidad, la normativa aplicable a sus datos no depende de la ubicación del centro de datos, sino de la nacionalidad del proveedor de alojamiento.
En otras palabras, un sistema de BI alojado en Europa pero proporcionado por una empresa al otro lado del Atlántico no protege en modo alguno su información contra posibles intrusiones de las agencias de inteligencia estadounidenses. En virtud de la ley FISA o de la ley CLOUD, estas últimas pueden acceder a los datos de los proveedores de servicios estadounidenses, aunque estén almacenados fuera de Estados Unidos.
Antoine Buat, Director General de DigDash
A diferencia de las plataformas estadounidenses, una solución europea de BI no está sujeta a la ley CLOUD ni a la FISA, lo que garantiza la seguridad y confidencialidad de los datos. Además, cumple plenamente el Reglamento General de Protección de Datos (RGPD): una garantía no solo de cumplimiento, sino también de tratamiento y uso responsable de la información personal de los usuarios.
El uso de software de inteligencia empresarial europeo es aún más importante cuando se manejan datos sensibles (ya sean personales o no). Los datos sensibles se definen como información cuya violación podría tener consecuencias perjudiciales para la salud de las personas, la seguridad pública o la protección de la propiedad intelectual.
En estos casos, el alojamiento en la nube ofrecido por el editor debe ofrecer protección contra cualquier interferencia de un tercer país, cumpliendo al mismo tiempo una cualificación europea que garantice un alto nivel de ciberseguridad.
El uso de una herramienta de Business Intelligence conlleva riesgos intrínsecos en materia de protección de datos: ciberataques, incumplimiento de la normativa, soberanía digital, tecnologías emergentes, etc.
Para evitar las repercusiones nefastas de una violación de datos, tanto en términos financieros como de reputación, es esencial aplicar una estrategia de seguridad adecuada, con mecanismos de autenticación o cifrado de la información. Sin olvidar la necesidad de realizar periódicamente copias de seguridad de los datos.
Sin embargo, estas técnicas han demostrado sus límites y no bastan para garantizar la seguridad de los datos de su organización, o los de sus clientes o socios. Del mismo modo, no tiene mucho sentido almacenar sus datos en un centro de datos situado en Europeo si está gestionado por una empresa sujeta a normativas extranjeras (como la FISA o la Ley CLOUD).
En definitiva, elegir un editor europeo, que aloje sus datos en Europa, es la única opción viable para proteger sus datos de BI de posibles injerencias. Para promover una nube europea segura y responsable, DigDash ha desarrollado un servicio europeo de alojamiento en la nube que ofrece un alto nivel de seguridad, accesibilidad y confidencialidad de los datos personales. Certificada ISO 27001, HDS y SecNumCloud, esta nube ofrece todas las garantías necesarias para procesar datos sensibles, en particular información relacionada con la salud.
La protección de sus datos está en el centro de nuestras prioridades: ¡elija un editor europeo para su solución de BI!
