Implementar políticas para mantener la seguridad de la información se vuelve fundamental. Cuáles son las recomendaciones de los especialistas. 

Las agencias de viajes, operadores, hoteles y medios de transporte almacenan infinidad de datos sensibles de sus clientes. A la par de la actualización de las medidas de control sobre el manejo de este tipo de información, se vuelve relevante incorporar herramientas que aumenten la seguridad en los procesos.

En este marco, Mensajero dialogó con María Caraballo, Data Strategy Manager en NTT DATA; y con Daniel Monastersky, abogado especializado en delitos informáticos, robo de identidad, reputación online y datos personales. Con ambos profesionales se buscó trazar una guía de recomendaciones para que las empresas del sector aborden la problemática.

"No es lo mismo la seguridad de datos que la ciberseguridad", comenzó aclarando Caraballo. Al respecto, explicó que la segunda se refiere a los ataques externos y la primera está vinculado con el tratamiento de los datos y con los criterios de resguardo que deben tener las empresas y las personas que trabajan en ellas.

Como para graficar este escenario, hay que tener en cuenta que si bien son aspectos distintos, están relacionadas porque el 95 % de los ataques externos se producen por un error humano.

LAS RAMAS QUE CONFORMAN LA SEGURIDAD DE DATOS:

  • Lo técnico: los desarrollos tecnológicos, las plataformas y los servicios vinculados a los datos.
  • Lo legal: lo que marca la normativa jurisdiccional y los criterios jurídicos.
  • Lo cultural: capacitación, concientización del personal de las empresas y quienes traten los datos.
María Caraballo, Data Strategy Manager en NTT DATA;

Otro punto relevante es el tipo de almacenamiento que tenga la empresa, es decir, dónde están ubicados los datos (Excel o nube) y si tiene arquitecturas multinubes, ya que cuanto más interoperabilidad exista entre diferentes arquitecturas mayor será el resguardo que deberá contemplarse.

"Una buena práctica puede ser dividir el acceso a los datos o entender quiénes deben verlo y quiénes no. Siempre es importante contratar servicios con un esquema de seguridad que permita generar un proceso unificado en todas las plataformas", detalló.

Por su parte, Monastersky -que participó de un ciclo de charlas de Madzen- agregó que se pueden establecer políticas de privacidad claras, capacitar al personal, utilizar contraseñas seguras, actualizar sistemas y software, limitar el acceso a los datos, proteger los dispositivos, realizar copias de seguridad y educar a los clientes sobre las políticas de privacidad y seguridad.

LA MIRADA LEGAL SOBRE LA PROTECCIÓN DE DATOS

En Argentina, la 25.326 es la Ley de Protección de los Datos Personales y la autoridad de aplicación es la Agencia de Acceso a la Información Pública, que emitió una resolución que fija cuáles son los criterios mínimos que debe tener todo tratamiento de datos personales, informatizados y no informatizados.

De esta manera, el abogado hizo hincapié en que las empresas que manejan datos sensibles deben cumplir con las leyes y regulaciones aplicables en materia de protección de datos en cada país. "Deben ejecutar evaluaciones periódicas de riesgos, implementar políticas, analizar los nuevos tratamientos de datos, redactar procedimientos de seguridad, establecer controles de acceso, realizar copias de seguridad y gestionar proveedores de servicios", agregó.

Siguiendo con esta línea, Caraballo señaló que la normativa nacional se divide en recolección de datos, control de acceso, de cambio, respaldo y recuperación y gestión de vulnerabilidades. También, indicó, hay un apartado de incidentes de seguridad y destrucción de la información y entornos de desarrollo. "Todas las organizaciones deben tener sistema que establezca que una vez usados los datos, estos se borren", remarcó.

CASOS DE ESTUDIO EN TURISMO

"Si bien muchas empresas del sector turístico han implementado sistemas de seguridad para proteger los datos, no se puede afirmar que todas lo hayan hecho como es debido", aclara Monastersky. A su vez,

Daniel Monastersky, abogado especializado en delitos informáticos, robo de identidad, reputación online y datos personales.
Empresas como Marriott, British Airways e EasyJet han experimentado brechas de datos significativas en el pasado, dejando expuesta la información personal de millones de clientes

Por eso, destacó que es importante que las autoridades impongan multas y sanciones rigurosas para fomentar la seguridad y protección de los datos.

Sin embargo, Caraballo profundizó en que en la actualidad hay otra concientización y ya se aplican multas. Por ejemplo, British Airways tuvo que pagar 183 millones de libras, porque justamente tuvo una brecha de seguridad; o Marriott International que les cobraron 99 millones de libras.

Otro dato que aportó la especialista es que la Unión Europea plantea la extraterritorialidad. En decir, no importa en el país en el que esté, si el pasajero pertenece a UE, deben regir las normas de allí. También incorporó otro dato: "Al usar Google o Mail esa herramienta en la nube o esos datos van a estar alojados en un país. En Argentina la disposición 60 establece cuáles son los países tiene el mismo resguardo normativo y que es a donde podrían generar esa transferencia internacional".

También pasa que el pasajero cuando contrata un viaje lo hace a una firma, pero en la cadena intervienen múltiples proveedores, entonces los clientes tienen derecho a saber quiénes son y qué políticas intervienen. "Porque la empresa a la que se le dio el dato va a ser responsable de cualquier brecha de seguridad que tenga el resto", aclaró.

"Hay un informe de IBM que dice que el costo de las empresas por una vulnerabilidad es de 4 millones de dólares. También dice que si se aplica inteligencia artificial para la verificación de las brechas, disminuye en un millón de dólares la posibilidad de tener esta degeneración de la vulnerabilidad", sumó.

ALGUNAS POSIBLES SOLUCIONES PARA REFORZAR LA SEGURIDAD DE LOS DATOS

Caraballo destacó que hay un montón de denuncias en Defensa al consumidor, pero no hay tantas a nivel de autoridad de aplicación de los datos personales.

"Igual, hay que decir que las multas son muy baratas, por lo cual no estamos a la altura. Por ejemplo, en la Unión Europea está en el Congreso un proyecto de ley para modificar la ley de protección de datos personales, que justamente una de las cosas que busca es la proactividad respecto de la autoridad de aplicación y la posibilidad de aumentar estas multas que tenemos hoy", señaló.

Para cerrar, enumeró las tres acciones importantes que una empresa debe realizar para verificar su seguridad: "Una es buscar alguna empresa que se dedique a la problemática y que te haga una evaluación de la situación actual en términos de seguridad. Ahí se identifica en qué está bien la empresa y a qué tiene que ir. Finalmente, se debe ver cuáles son las mejores herramientas asociadas y la concientización".