Tecnología hostil 

Hacer frente a los desafíos en materia de seguridad, ética y privacidad 

Como señalamos en la edición del año pasado de Looking Glass, el rápido avance de la tecnología ha ido acompañado de impactos   manifestándose de múltiples maneras, incluyendo sesgos en IA, tecnología adictiva y ciertos medios sintéticos. Este año nos estamos centrando en las amenazas a la seguridad y la privacidad de los consumidores, porque vemos que esas amenazas -y la respuesta posterior- aumentarán en el próximo año.

Equilibrar las regulaciones en evolución, las expectativas cambiantes, la necesidad de acercarse a los consumidores y simplemente hacer lo correcto será fundamental para seguir siendo competitivos y fomentar la lealtad del cliente. La velocidad con la que la regulación está cambiando significa que no siempre será realista mantenerse al día nuestros especialistas en privacidad de datos utilizan un servicio automatizado para mantenerse al día y, operando en 18 países, reciben un correo electrónico que detalla los ajustes casi todos los días.

Lo que, es más, simplemente cumplir con la regulación no siempre solucionará el problema. Estándares como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea (UE) significan que se advierte a los consumidores sobre las implicaciones de privacidad de los sitios web o aplicaciones, y se les invita a "optar" o "aceptar" como una cuestión de rutina sin embargo, pocos afirmarían entender realmente lo que están suscribiendo. La forma en que se desarrollan las cosas significa que, en lugar de medidas reactivas, las empresas deben crear de manera proactiva marcos éticos para guiar el uso de la tecnología y los datos. Estos pueden crear una línea de base firme de respeto y seguridad para sus clientes y minimizar las posibilidades de daño para el consumidor o la sociedad. 

Las señales incluyen

• Debate en torno al concepto de "consentimiento informado". Si bien prácticamente todas las empresas ofrecen ahora a los consumidores la oportunidad de aceptar términos y condiciones con implicaciones para la privacidad, la cuestión de si ese acuerdo es genuino está abierta. El  New York Times señaló que la comprensión de las políticas y términos de privacidad estándar que pueden tener hasta 20,000 palabras de longitud  requiere mucho más tiempo del que el consumidor promedio probablemente tenga. El resultado es que los consumidores a menudo no son conscientes del alcance de los datos recopilados sobre ellos, mientras que las empresas están recopilando más datos que realmente necesitan, o almacenarlos durante más tiempo de lo razonable. En algunos casos, este comportamiento incurre en lo ilegal.

• Una ola extendida de regulación y aplicación de la privacidad. Empresas como Google se enfrentan a acciones punitivas y se ven obligadas a cambiar sus prácticas con la entrada en vigor de la "ley de cookies" de la UE. En los EE. UU., están surgiendo una serie de regulaciones de privacidad de datos a nivel estatal, con la Ley de Privacidad del Consumidor de California (CCPA) y la Ley de Protección de Datos del Consumidor de Virginia (CDPA) que serán seguidas el próximo año por la Ley de Privacidad de Colorado y la Ley de Privacidad del Consumidor de Utah.

• La privacidad se refiere a cambiar el marketing y los modelos de negocio. Empresas como Apple se han posicionado como firmes defensores de la privacidad de los datos, lo que permite a los consumidores declarar un alto al intercambio de información y tomar medidas  para proteger a los usuarios del software espía dirigido. Esto hace que sea más difícil para las empresas rastrear directamente a los usuarios    aproximadamente el 70 80% de los usuarios de Apple han optado por no rastrear las aplicaciones que utilizan, lo que a su vez ha afectado los ingresos de la publicidad que se basaba en esta información.

• Más empresas vuelven a poner el marketing físico en sus estrategias, posiblemente como resultado de tener datos menos específicos sobre los clientes. Amazon, Bass Pro Shops y otros son catálogos físicos de correo directo y publicidad para los clientes, con códigos QR integrados.

• El creciente descubrimiento y comercio de vulnerabilidades de "día cero"  fallas previamente desconocidas en software o sistemas que dejan a las organizaciones abiertas al robo o la manipulación de datos. El mercado para los problemas de día cero se está desarrollando  rápidamente, con la aparición de corredores que diseñan acuerdos entre quienes los identifican y las empresas afectadas (a menudo como Google o Microsoft), gobiernos o, menos felizmente, delincuentes u otros malos actores, todos los cuales a menudo están dispuestos a pagar un alto precio por este conocimiento. Por un lado, es alentador que se estén señalando más de estos problemas; por otro, los riesgos podrían aumentar a medida que todo el mercado se vuelva más lucrativo.

• Los mayores riesgos de ataques cibernéticos con la guerra de Rusia contra Ucrania aumentan tanto la guerra cibernética patrocinada por el estado como la guerra cibernética voluntaria. El gobierno de Estados Unidos ha advertido explícitamente que las víctimas de estos ataques podrían incluir negocios "regulares" (y por extensión a sus clientes), así como objetivos militares "legítimos".

Las oportunidades

Mejora de la seguridad para proteger el resultado final. Target incurrió en más de 200 millones de dólares en gastos relacionados con una filtración de números de tarjetas de crédito e información personal. El coste medio de una filtración de datos sigue aumentando, superando los 9 millones de dólares en Estados Unidos, según IBM, lo que subraya la urgencia de desarrollar e invertir en una estrategia de seguridad integral que se base no solo en la tecnología, sino también en la cultura. Del mismo modo, unas normas sólidas y transparentes y las prácticas de datos éticos pueden ayudar a las organizaciones a evitar las fuertes multas que entregan los reguladores, que se multiplicaron por siete a $1,2 mil millones en 2021 solo para el GDPR.

Más allá del dinero, las prácticas sólidas de protección de datos y seguridad ayudan a las empresas a evitar daños duraderos a la marca. Por ejemplo, se puede considerar la reacción en línea a los cambios recientes en las políticas de privacidad de Samsung. Las motivaciones reales se volvieron casi irrelevantes, lo que demuestra que incluso una mera invasión de la privacidad percibida puede tener un impacto negativo en la reputación de la marca. Por otro lado, empresas como Apple y Google Now se están beneficiando al presentarse como campeones de privacidad y seguridad.

Relaciones con los clientes más saludables y abiertas. Hay evidencia emergente de que los consumidores estarán más inclinados a compartir información con empresas que se ven como administradores o ejemplos de buen gobierno de datos. Las investigaciones han señalado que el número de usuarios que optan por el seguimiento de aplicaciones crece desde que Apple tomó esta decisión. Las organizaciones que hacen más para convencer a los consumidores de que respetan la privacidad y están tomando medidas proactivas para proteger los datos de los clientes muy probablemente recibirán más de esos datos para usarlos como base para desarrollar información.

Una postura de "la privacidad primero" puede ayudar a las marcas a ganar negocios contra sus competidores rezagados. La investigación muestra que los consumidores quieren una  fuerte protección de la privacidad y, como resultado, algunas de las marcas más grandes  del mundo están adoptando un enfoque basado en la ética, especialmente en el marketing digital y la publicidad. Asegurarse de que tu negocio se preocupe por la privacidad tanto  como lo hacen sus clientes puede ayudarte a mantenerse por delante de esta tendencia.

Tendencias que mirar

Adoptar

Seguridad descentralizada. A medida que cambia la naturaleza de las amenazas cibernéticas, los métodos anteriores para prevenir ataques fallan de forma rutinaria. Ya no hay un límite o perímetro seguro. El diseño del sistema debe permitir la gestión de riesgos y la aplicación de la seguridad en toda la arquitectura, con un uso cada vez mayor de prácticas de seguridad en profundidad que incorporen protección en múltiples capas para hacerlo más holístico. Estos incluyen el uso de comunicaciones cifradas, regiones segmentadas y autenticación y autorización a un nivel más granular, así como sistemas de detección de intrusos más inteligentes.

Analizar

IA en seguridad. Las capacidades de IA son cada vez más importantes en las aplicaciones de software cotidianas. Las organizaciones deben aprovechar el trabajo en esta área para ayudar a los profesionales de la seguridad a identificar y reaccionar ante las amenazas de seguridad, y predecir los vectores de ataque siempre que sea posible. Si bien no creemos que la automatización sea un reemplazo viable para profesionales de la seguridad bien capacitados, proporciona un conjunto de herramientas que puede automatizar algunos procesos defensivos básicos y permitir que las personas se centren en las amenazas más críticas.

Anticipar

Aumento de la regulación. Aunque hemos marcado algunas de las regulaciones más recientes que surgirán en el espacio de privacidad, las organizaciones deberían estar preparadas para más. En todo el mundo, ya hay un número significativo de leyes de protección de datos en los libros con más por venir. Surgirán desafíos a medida que el cumplimiento se vuelva potencialmente más complejo, especialmente para las empresas que operan en múltiples jurisdicciones. Cuando el RGPD entró en vigor, por ejemplo, muchos sitios de noticias con sede en EE.UU. simplemente bloquearon el acceso de las personas en Europa a sus sitios web porque estaban preocupados por infringir una ley que no entendían.

Consejos para los usuarios

Recordar que cuando se trata de datos, lo que no se hace también es importante. Desde que la tendencia de "big data" inició a las empresas en un camino de guía, muchas empresas recopilan datos casi por defecto y los almacenan durante largos períodos, sin examinar críticamente qué tan necesarios son para el negocio. Los algoritmos actuales de aprendizaje automático también fomentan un grado de acumulación de datos. Pero los datos tienen que ser reconocidos como un pasivo, así como un activo. Los hackers no pueden robar lo que no recopila, y un snafu de seguridad no puede filtrar información del cliente que no está en su base de datos. Se debe pensar de forma selectiva sobre los datos que necesita y las posibles consecuencias si son robados o filtrados, y recuerde, cuantos menos datos de clientes esté tratando, más fácil será de administrar.

Reconocer que la personalización no siempre es necesaria y puede ser contraproducente. La realidad es que los consumidores no necesariamente esperan o incluso quieren una experiencia personalizada de cada marca o producto. La analítica web amigable con la privacidad es una práctica emergente que permite a las marcas aún obtener una "comprobación de pulso" y comprender las tendencias de flujo y consumo de alto nivel para obtener una lectura de la participación del público objetivo. Dadas las tendencias y preocupaciones de privacidad, nuestra recomendación es invertir mucho en la investigación de clientes para comprender los segmentos clave en lugar de los comportamientos individuales, identificando cómo estos interactúan con su marca online y offline para crear flujos y contenido que funcionen para un grupo más amplio, manteniendo la privacidad individual intacta.

Trabar equipos legales y de marketing para crear políticas de privacidad fáciles de entender. Estos no solo ayudarán a involucrar y beneficiar a los consumidores; los equipos internos también pueden utilizar tales políticas como una referencia efectiva para diseñar sus soluciones, políticas de retención de datos y enfoques de cumplimiento. La  Oficina de Seguridad de Información de Berkeley y este documento de investigación proporcionan algunos buenos consejos sobre cómo comenzar.

Permitir que los equipos se centren en la creación de valor mediante la automatización de las pruebas de seguridad, privacidad y cumplimiento. Al crear políticas de seguridad, es importante asegurarse de que puedan ser eficaces como barandillas para los equipos, luego automatizarlas y tratarlas como código siempre que sea posible para que los equipos puedan obtener beneficios inmediatos. Una forma de hacerlo es utilizando dependabot para garantizar las dependencias son herramientas de IA seguras, parcheadas y actualizadas que ayudan a las personas a identificar y responder a los incidentes al centrarse en patrones inusuales.

Hacer de la educación en seguridad una prioridad. Los hackers solo necesitan encontrar una vulnerabilidad para entrar e infligir daño, pero los defensores necesitan asegurar toda su organización  una realidad altamente asimétrica. La seguridad es mucho más efectiva cuando todos en la organización hacen su parte.

Aprender sobre buenas prácticas de seguridad no es fácil, pero crear una estrategia por capas donde los expertos ayuden a mejorar la postura general de seguridad de la organización, y dar a las personas las herramientas para tomar buenas decisiones, dejará a la empresa significativamente más segura. Al extender la educación a los clientes, tomar medidas para ponerlos al día sobre la importancia de la privacidad de los datos y lo que puede salir mal cuando se comparten los datos, las empresas pueden solicitar su ayuda en la batalla.

Crear productos con sólidas prácticas de seguridad y privacidad. Esto requiere un compromiso profundo y gran liderazgo; la seguridad y la privacidad no son solo preocupaciones técnicas, deben verse como un resultado de la cultura de toda la organización. Los líderes deben dejar claro que el equipo no debe considerar estos aspectos "agradables de tener", algo que puede retrasar, o en algún lugar se puede recortar la inversión para ahorrar costos. Los productos deben incorporar una seguridad sólida y respetar la privacidad del usuario desde el primer día.