El Top 10 de riesgos de privacidad de OWASP

El Top 10 de riesgos de privacidad de OWASP sirve de guía para acometer una gestión integral de la privacidad de los datos y su securización frente a los delincuentes

A finales de abril, la Agencia Española de Protección de Datos (AEPD) sancionó con 25.000 € a la multinacional de comida rápida KFC por carecer de un delegado de protección de datos y presentar problemas relacionados con la política de privacidad de sus aplicaciones, así como con el consentimiento de los usuarios al tratamiento de los datos. Este caso evidencia que los riesgos de privacidad han adquirido una gran relevancia social, económica y legal y que las empresas deben gestionar los riesgos, tanto técnicos como operacionales, de forma continua y eficaz para evitar sanciones y graves consecuencias económicas y reputacionales.

Por ello, la Open Worldwide Application Security Project (OWASP), un referente global en la elaboración de metodologías en materia de ciberseguridad y la securización del software, cuenta con un Top 10 de riesgos de privacidad, focalizado en las aplicaciones web, pero que resulta extensible a las apps móviles.

La primera versión de este Top 10 de riesgos de privacidad de OWASP se presentó en 2014. Mientras que la versión 2 vio la luz en 2021 y fue complementada el año pasado con la publicación de la versión 2 de contramedidas que pueden poner en marcha las compañías para atajar los 10 riesgos de privacidad más acuciantes.

En este artículo, vamos a diseccionar el Top 10 de riesgos de privacidad de OWASP, así como las acciones qué pueden llevar a cabo las compañías para afrontarlos con éxito. Y, además, vamos a reflexionar sobre por qué es importante que las empresas:

• Incluyan la gestión de los riesgos de privacidad en sus estrategias y políticas de seguridad.
• Apuesten por la protección de la privacidad desde el desarrollo y a lo largo de todo el ciclo de vida de una aplicación.

1. ¿Qué es y qué no es el Top 10 de riesgos de privacidad de OWASP?

La fundación OWASP sostiene que su Top 10 de riesgos de privacidad está pensado para ayudar a los desarrolladores y proveedores de aplicaciones web a implementar la protección de la privacidad desde el diseño, garantizando la privacidad de los datos a lo largo de todo su ciclo de vida. Asimismo, el Top 10 de riesgos de privacidad busca promover la transparencia en este ámbito.

¿Y los usuarios? El Top 10 de riesgos de privacidad de OWASP no está pensado para ser empleado por los usuarios, ni busca concienciarlos para que desarrollen hábitos seguros a la hora de suministrar y gestionar sus datos personales. Muchos organismos públicos cuentan con guías accesibles para orientar a los ciudadanos en esta materia y fomentar prácticas seguras que contribuyan a proteger la privacidad.

1.1. ¿Por qué poner el foco en los riesgos de privacidad de las aplicaciones web?

Por otro lado, debemos señalar que el Top 10 de riesgos de privacidad de OWASP se centra en las aplicaciones web y no en la totalidad de tipos de software. Según OWASP, esto se debe a que las aplicaciones web son capaces de recopilar con suma facilidad datos de los usuarios sin su permiso o suministrándoles una información deficiente sobre el tratamiento de sus datos. Además, las cookies permiten controlar el comportamiento de las personas que interaccionan con una aplicación web, lo que supone un desafío en materia de privacidad.

Dicho lo cual, el proyecto de riesgos de privacidad de OWASP sostiene que este ranking podría aplicarse no solo a las aplicaciones web, sino también a las móviles. Eso sí, en el caso de las apps móviles habría que tener en cuenta, también, otros dos riesgos:

• La pérdida de los dispositivos.
• El uso de datos de localización.

Finalmente, OWASP también entra a analizar por qué es necesario este Top 10 de riesgos de privacidad, si la propia fundación publicó, también en 2021, el Top 10 de vulnerabilidades en aplicaciones web. Los motivos que esgrime OWASP son:

1. El ranking de vulnerabilidades web solo se centra en aspectos técnicos que, además, no afectan principalmente a la privacidad.
2. El Top 10 de riesgos de privacidad tiene en cuenta cuestiones organizacionales: elaboración de perfiles, intercambio de los datos recabados con otras empresas…

De tal forma que ambos tops son complementarios y ayudan a los desarrolladores de aplicaciones web y a las compañías a garantizar la privacidad de los datos y prevenir los incidentes de seguridad.

2. Securizar los datos, cumplir con la normativa y proteger a tu empresa

Una de las claves de la digitalización es que permite a las empresas recabar, procesar y emplear una cantidad ingente de datos que, en la era analógica, estaban fuera de su alcance. Sobre el potencial de los datos se ha escrito largo y tendido en lo que va de siglo. En un mercado cada vez más competitivo, su relevancia es capital a la hora de entender y analizar los deseos, necesidades y características de los consumidores.

Sin embargo, el procesamiento y almacenamiento de los datos que llevan a cabo las aplicaciones web deben cumplir con unos estándares de seguridad para garantizar la privacidad de la información y proteger los intereses legítimos de las empresas y los ciudadanos.

2.1. El RGPD y la seguridad de los datos

Tal es así que la protección de datos ha pasado a ocupar un lugar prominente en el debate público actual. La aprobación del Reglamento General de Protección de Datos (RGPD) en el seno de la Unión Europea y de las leyes nacionales que lo han desarrollado, como la Ley Orgánica de Protección de Datos Personales española han trasladado al ámbito legal la creciente preocupación por la privacidad en la esfera digital.

Estas normativas incluyen requisitos en materia de protección y tratamiento de los datos que recaban las empresas, por ejemplo, a través de sus aplicaciones webs.

De hecho, el RGPD, además de regular el tratamiento de los datos y articular nuevas figuras como el responsable y el encargado del tratamiento, establece la protección de datos desde el diseño y por defecto (artículo 25) y cuenta con una sección centrada en la «Seguridad de los datos personales» (artículos 32—34).

Así, el artículo 32 del RGPD estipula que el responsable y el encargado del tratamiento deberán poner en marcha las medidas técnicas y organizativas necesarias para garantizar un nivel de seguridad adecuado de los datos. En este artículo se incluyen medidas como:

• La seudonimización y el cifrado de datos personales.
• La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de tratamiento.
• La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidentes de seguridad.
• La verificación y evaluación continuas de la eficacia de las medidas para garantizar la seguridad del tratamiento.

Mientras que los artículos 33 y 34 establecen la notificación de las violaciones de seguridad de los datos personales a las autoridades y a los interesados.

El RGPD incluye la posibilidad de que se produzcan sanciones administrativas y multas y la legislación española las concreta.

2.2. ¿Por qué debe tu empresa afrontar los riesgos de privacidad?

Más allá de las obligaciones legales, absolutamente cruciales, los riesgos de privacidad traen consigo implicaciones económicas y reputacionales que una empresa no puede obviar.

Las consecuencias de un incidente de seguridad que afecte a la privacidad de la información pueden ser:

• Reputacionales. La imagen de la compañía afectada por un incidente de seguridad de la información puede quedar seriamente dañada, tanto en el mercado como en la opinión pública. El menoscabo de la marca puede afectar seriamente al modelo de negocio.
• Económicas. Un incidente de seguridad que conlleve el secuestro o borrado de datos puede paralizar las operaciones de una compañía, con las consecuentes pérdidas económicas que ello implica. Además, la empresa puede perder inversores, como consecuencia de la crisis reputacional. Y, ante todo, poner en marcha múltiples acciones para rediseñar las aplicaciones o soluciones afectadas e implementar mecanismos que garanticen la seguridad de la información. Abordar la cuestión de la privacidad desde el diseño puede ahorrar un desembolso económico notable en el futuro.
• Legales. Como señalamos antes, el marco normativo europeo y español es cada vez más exigente en materia de privacidad y se contemplan sanciones cuantiosas y medidas coercitivas para que las compañías garantan la protección de los datos. Además, el menoscabo de la privacidad de los datos personales puede dar origen a reclamaciones de indemnizaciones por parte de las personas que se hayan visto afectadas.

3. Los 10 riesgos de privacidad más preocupantes por su impacto y frecuencia

¿Cómo ha decidido el grupo de expertos qué riesgos de privacidad debían entrar en el top 10 y cuáles no? Se ha empleado un método centrado en evaluar dos parámetros esenciales:

• La frecuencia con la que se producen 20 tipos de violaciones de privacidad en las webs de las organizaciones.
• El impacto de un incidente de seguridad que afecte a la privacidad de los datos, desde dos perspectivas diferentes: la de la compañía y la del usuario afectado:
  • Compañía:
    • Impacto en la reputación de la empresa y en el valor de su marca
    • Pérdida financiera
  • Afectado:
    • Posición social y reputación
    • Bienestar financiero
    • Libertad personal

En función de estos análisis, los expertos procedieron a listar los 10 riesgos de privacidad a los que deben prestar atención las organizaciones, ya sea por la frecuencia con la que se manifiestan en forma de incidentes de seguridad, ya sea por su posible impacto en la empresa y en las personas que vean vulnerada la privacidad de sus datos (clientes, trabajadores…).

Asimismo, este top 10 de riesgos de privacidad de OWASP procede a categorizar los riesgos en función de si son técnicos y/o organizacionales. Por ejemplo, la existencia de vulnerabilidades en aplicaciones web es un riesgo técnico. Mientras que si las políticas, los términos y las condiciones de la web son opacos, nos encontraríamos ante un riesgo organizacional. Finalmente, si, por ejemplo, la eliminación de datos personales es insuficiente estaríamos hablando de un riesgo que es, a la vez, técnico y organizacional.

3.1. Vulnerabilidades en aplicaciones web

El primer puesto del top 10 de riesgos de privacidad de OWASP lo ocupan las vulnerabilidades en las aplicaciones web.

Como señala la documentación del proyecto, las vulnerabilidades son un problema crucial en cualquier sistema que protege y gestiona datos confidenciales. En caso de que el desarrollo del software haya sido defectuoso o que no se haya parcheado un problema detectado, es posible que los actores maliciosos exploten las vulnerabilidades para acceder a los datos, secuestrarlos, borrarlos o exfiltrarlos, poniendo en tela de juicio la privacidad.

Antes indicábamos que el top 10 de riesgos de privacidad se complementa con el top 10 de vulnerabilidades web. Pues bien, este primer riesgo da buena fe de ello, porque engloba a las vulnerabilidades recogidas en el otro ranking de OWASP.

A la hora de detectar de forma proactiva vulnerabilidades en las aplicaciones web, los desarrolladores y las compañías pueden:

• Contratar servicios de pentesting de forma periódica, focalizados en la privacidad de la información.
• Formar a los desarrolladores sobre la importancia de la seguridad y de las aplicaciones y el valor del desarrollo seguro.
• Aplicar directrices de codificación segura.
• Realizar evaluaciones continuas para detectar software obsoleto (por ejemplo, en las librerías de terceros usadas para desarrollar la aplicación).

La frecuencia de este riesgo técnico es calificada como alta por el top 10 de riesgos de privacidad de OWASP, mientras que su impacto en las compañías es muy alto.

3.1.1. Contramedidas

¿Qué medidas pueden poner en marcha las organizaciones para mitigar este riesgo?

1. Contar con servicios de pentesting diseñados y ejecutados por expertos en ciberseguridad como los profesionales de Tarlogic Security.
2. Análisis continuos de las vulnerabilidades y la privacidad de la web, gracias a herramientas automatizadas.
3. Realizar un seguimiento de las debilidades detectadas y su mitigación.
4. Formar a los desarrolladores de aplicaciones en desarrollo seguro.
5. Apostar por un desarrollo seguro a lo largo de todo el ciclo de vida del software.
6. Instalar actualizaciones y parches para proteger la privacidad de la información de forma continua.

3.2. Fuga de datos del lado del operador/proveedor

La segunda posición del top 10 de riesgos de privacidad de OWASP la ocupa la «Fuga de datos del lado del operador». Es decir, el riesgo de que se filtren datos a una parte no autorizada, lo que provoca una pérdida de la confidencialidad de la información. Esto se puede producir como consecuencia de un ataque malicioso, o por un fallo inintencionado (gestión de los controles de acceso deficiente, almacenamiento inseguro o falta de concienciación).

OWASP propone tres acciones básicas para comprobar el nivel de riesgo:

• Investigar la reputación del operador/proveedor: brechas de seguridad anteriores relacionadas con él, saber si cuenta con certificaciones, conocer si dispone de un programa de Bug Bounty para fomentar que le informen sobre las vulnerabilidades descubiertas…
• Auditar al operador: observar buenas prácticas en materia de privacidad, existencia de programas de formación para todos sus empleados, procedimientos para anonimizar los datos, mecanismos para encriptar los datos personales…
• Evaluar los métodos. A través de un cuestionario, una entrevista o, como mejor opción, realizando una auditoría in situ y comprobando el sistema.

Este riesgo, que conjuga aspectos técnicos y organizativos, presenta una frecuencia alta y un impacto potencial muy alto.

3.2.1. Contramedidas

OWASP glosa una serie de contramedidas que se pueden poner en marcha para prevenir este riesgo de privacidad:

1. Que la autenticación, la autorización y la gestión de accesos sean adecuadas, contemplando cuestiones como el principio del mínimo privilegio o la autenticación multifactor.
2. Emplear una encriptación sólida para todos los datos personales almacenados, sobre todo en dispositivos móviles como memorias USB o discos duros.
3. Formar y concienciar al conjunto de la plantilla.
4. Disponer de una política de tratamiento de la información y de clasificación de los datos.
5. Detectar los datos clasificados que se filtran desde endpoints, portales web y servicios Cloud.
6. Implementar la privacidad por diseño y a lo largo del ciclo de vida.
7. Anonimizar los datos personales.
8. Emplear la seudonimización de los datos, de tal forma que solo se puedan relacionar mediante la intervención de un tercero.

3.3. Respuesta insuficiente en caso de filtración de datos

Todas las compañías desean evitar los incidentes de seguridad en general y aquellos que afectan a la privacidad de los datos de sus clientes, socios o trabajadores en particular. Sin embargo, estos incidentes pueden llegar a producirse y es esencial que la empresa cuente con los mecanismos y controles necesarios para responder con eficacia ante los incidentes.

Por ello, el tercer puesto del Top 10 de riesgos de privacidad de OWASP lo ocupa la respuesta ineficiente cuando se produce una filtración de datos:

• No informar a los interesados, como establece el RGPD, sobre una posible violación de la privacidad.
• No subsanar la crisis arreglando la causa del problema.
• Y no intentar limitar la fuga de datos.

Este riesgo de privacidad conjuga, al igual que el anterior, cuestiones técnicas y organizativas. Su frecuencia es alta y su impacto muy alto.

3.3.1. Contramedidas

El documento de contramedidas que complementa el Top 10 de riesgos de privacidad establece dos clases de actuaciones para afrontar este riesgo con éxito:

• Contramedidas por adelantado. Es decir, antes de que se produzca una brecha de información:
  • Crear un plan de respuesta a incidentes y disponer de un equipo de gestión de incidentes
  • Testear periódicamente la eficacia del plan de respuesta a incidentes.
  • Incluir en los test incidentes relacionados expresamente con vulneración de la privacidad de los datos
  • Establecer un Equipo de Respuesta ante Emergencias Informáticas (CERT) con la suficiente cualificación y experiencia.
  • Disponer de un equipo de privacidad.
  • Monitorear permanentemente los sistemas para detectar fugas de datos personales.
• Acciones para responder ante la violación de la privacidad:
  • Comprobar que se ha producido una violación de la privacidad de los datos.
  • Notificar inmediatamente al gestor de incidentes.
  • Informar al CERT y el equipo de privacidad.
  • Poner en marcha un equipo de respuesta a incidentes.
  • Determinar el alcance del incidente.
  • Notificar a los propietarios de los datos y deliberar si se debe avisar a los afectados
  • Decidir si es necesario notificar a las autoridades competentes, de acuerdo con la normativa en vigor.
  • Análisis de toda la documentación generada.

3.4. Consentimiento en todo

El consentimiento para procesar los datos no se recaba por separado para cada propósito (por ejemplo, la elaboración de perfiles con fines de marketing y publicidad), sino que se solicita un consentimiento general o el uso que se hace de él es inapropiado.

Este riesgo para la privacidad de los datos no se contemplaba en la versión original del Top 10 de riesgos de privacidad de OWASP.

A diferencia de los anteriores, este topic solo está focalizado en aspectos organizacionales y guarda estrecha relación con el siguiente apartado del ranking. Su frecuencia, según OWASP, es muy alta y su nivel de impacto alto.

3.4.1. Contramedidas

Los desarrolladores y las compañías pueden cortar este riesgo de raíz implementando dos acciones básicas:

1. Recabar el consentimiento de forma separada para cada propósito.
2. Estipular que el consentimiento sea voluntario.

De esta forma, no se enfrentarán a sanciones por incumplir la normativa en un aspecto central del RGPD como es el consentimiento al tratamiento y procesamiento de los datos personales.

3.5. Políticas, términos y condiciones opacas

Como avanzamos en el apartado anterior, otro de los ítems que forman parte del Top 10 de riesgos de privacidad de OWASP gira en torno a la información que se suministra a los usuarios sobre el procesamiento de datos.

OWASP pone el foco en que algunas aplicaciones web no proporcionan la información suficiente para que las personas conozcan con precisión cómo se procesa, recopilan y almacenan sus datos. O bien, dificultan el acceso a esta información o su comprensión por personas que no son expertas en leyes.

Esta categoría del top 10 de riesgos de privacidad de OWASP presenta una frecuencia muy alta y un impacto alto.

3.5.1. Contramedidas

La versión 2 del documento de contramedidas de OWASP propone diversas acciones que se pueden implementar para garantizar que la política de privacidad de una aplicación web es transparente, integral, accesible y comprensible:

• Elaborar términos y condiciones específicos y diferenciados para el uso y el tratamiento de datos de la web.
• Redactar la información sobre la privacidad y el tratamiento de datos de forma sencilla y entendible por toda la ciudadanía.
• Incluir en las notas de cada versión información para identificar los cambios acometidos en los términos y condiciones a lo largo del tiempo.
• Registrar qué usuarios dieron su consentimiento a la política de privacidad en cada versión.
• Cuando se recaba información, es fundamental dejar claro para qué se necesita y cuáles son los usos futuros que se le puede dar.
• Listar las cookies utilizadas y su uso.

3.6. Problemas en la eliminación de datos personales

En muchas ocasiones, los datos personales almacenados por un sitio web han de ser eliminados. Ya sea porque ha finalizado el propósito por el que fueron recabados, o bien porque el interesado solicita su eliminación.

OWASP señala que, tanto el nivel de impacto como la frecuencia, de este riesgo son altas. Además, en él se conjugan aspectos puramente técnicos con cuestiones organizativas.

3.6.1. Contramedidas

Las empresas pueden gestionar la eliminación de datos con eficacia y seguridad, desplegando actuaciones como:

• Disponer de políticas de eliminación y conversación de datos claras y bien documentadas.
• Eliminar los datos personales cuando termine la finalidad establecida, se complete un plazo de tiempo razonable o lo solicite el usuario.
• En caso de que no se borren los datos, se puede proceder a bloquearlos para limitar el acceso a los mismos.
• Verificar la eliminación de los datos
• Tener en cuenta todos los datos, también los disponibles en copias de seguridad y los que han sido compartidos con terceros.
• Borrado criptográfico de datos para los servicios Cloud.
• Eliminar perfiles de usuarios en sitios web tras un largo periodo de inactividad.

3.7. Deficiente calidad de los datos

El otro ítem nuevo que se incluye en la última versión del Top 10 de riesgos de privacidad de OWASP gira en torno a la calidad de los datos.

Según la investigación llevada a cabo por el proyecto de OWASP, algunos sitios web emplean datos de usuario obsoletos, incorrectos o, directamente falsos. En gran medida porque no se lleva a cabo una actualización o depuración de los datos.

Los datos incorrectos son consecuencia de:

•  Instrucciones deficientes a la hora de recabarlos, por ejemplo, porque el formulario de registro de los datos cuenta con campos que solicitan información de forma imprecisa o confusa.
• Errores técnicos, por ejemplo, durante el proceso de guardado o durante el login.
• Vinculación de datos errada, por ejemplo, errores de cookies.

Este riesgo, que también conjuga aspectos técnicos y organizacionales, presenta una frecuencia media, sin embargo, su posible impacto es muy alto.

3.7.1. Contramedidas

Para garantizar que los datos almacenados y tratados por una web son fehacientes, OWASP propone una serie de medidas:

• Establecer un procedimiento de validación de los datos y otro de actualización de la información. Por ejemplo, mediante formularios que salten en la web al iniciar sesión cada cierto tiempo.
• Estipular que el usuario apruebe sus datos antes de que lleve a cabo una acción, por ejemplo, realizar un pedido en un ecommerce, para asegurarse de que los datos de dirección, financieros y de facturación son los correctos.
• Si se produce una actualización en los datos, ha de informarse a los terceros que hayan recibido los usuarios previamente.
• Realizar comprobaciones de coherencia.

3.8. Ausencia o ineficiencia del mecanismo de expiración de sesión

Si un usuario no cierra su sesión en un sitio web, puede provocar que la aplicación siga recopilando datos sin su consentimiento ni conocimiento (por ejemplo, procediendo a rastrear otras webs que visita). Además, si el dispositivo desde el que se inició sesión es empleado por otra persona, puede dar lugar a manipulación de la información. Por ejemplo, pensemos en un ciudadano que no cierra su sesión en una red social y otra persona emplea el dispositivo pudiendo alterar su perfil a placer.

Por ello, las aplicaciones web deben facilitar la gestión de la sesión por parte de los usuarios e introducir mecanismos para automatizar la expiración.

Al igual que sucedía con el anterior ítem del Top 10 de riesgos de privacidad, los problemas relacionados con la expiración de sesión presentan una frecuencia media, pero su posible impacto en la compañía y los usuarios es muy alto. Sin embargo, a diferencia del riesgo precedente, este está centrado en cuestiones técnicas de las webs.

3.8.1. Contramedidas

• Configurar la expiración automática de la sesión.
• Establecer un tiempo de expiración de la sesión razonable. En aplicaciones críticas como el gestor de correo o un ecommerce, OWASP recomienda que se establezca un día.
• Permitir que los usuarios establezcan el tiempo de expiración en función de sus intereses.
• Recordar a los usuarios que no han cerrado la sesión cuando vuelvan a iniciarla.

3.9. No permitir a los usuarios acceder a sus datos y modificarlos

Los investigadores que elaboraron el Top 10 de riesgos de privacidad de OWASP detectaron que, en algunas de las aplicaciones analizadas, no se permitía a los usuarios acceder a los datos relacionados con ellos, cambiarlos o borrarlos. De tal forma que la información disponible en la web puede quedar desactualizada y ver degradada su calidad, un riesgo para la privacidad del que ya hemos hablado.

Este riesgo, que conjuga aspectos técnicos y organizativos, presenta una frecuencia y un impacto altos, lo que ha llevado a los profesionales que participaron en el proyecto a situarlo entre los 10 riesgos de privacidad más relevantes en la última versión del ranking, a diferencia de en 2014.

3.9.1. Contramedidas

El Top 10 de riesgos de privacidad de OWASP incluye algunas contramedidas para gestionar este riesgo con eficacia y, además, recomienda tener en cuenta las contramedidas relacionadas con el ítem 7: «Deficiente calidad de los datos». Las propuestas para este riesgo son:

• Permitir el acceso, la modificación y la eliminación de los datos a través de las cuentas de usuario. O proporcionar otros mecanismos para realizar estas acciones, como formularios.
• Llevar a cabo las peticiones de los usuarios de forma eficiente, realizar un seguimiento de todas las peticiones y notificar a los terceros que hayan recibido los datos.

3.10. Recopilación de datos que no son necesarios para el propósito consentido

El último puesto del top 10 de riesgos de privacidad de OWASP lo ocupa una problemática con una frecuencia y un nivel de impacto alto, pero que ha descendido cuatro puestos desde la versión 1 del ranking hasta la actual. Estamos hablando de la recopilación de datos, por parte de la aplicación web, que no son necesarios para cumplir con los fines estipulados a la hora de solicitar el consentimiento del usuario.

OWASP incluye en esta categoría datos descriptivos y demográficos, así como todos los datos recabados sin disponer del consentimiento del usuario.

Pensemos, por ejemplo, en un ecommerce que solicita un correo electrónico a sus clientes, para enviarles las órdenes de pedido, las facturas e informarles del estado de los envíos. Los clientes aceptan la política de privacidad y el uso de su dirección de email para estos fines. Sin embargo, la tienda electrónica emplea las direcciones de correo para enviar promociones comerciales, sin que los clientes hayan expresado su consentimiento a esta acción.

A la luz del ejemplo que venimos de plantear, resulta evidente que el último ítem del Top 10 de riesgos de privacidad de OWASP aborda cuestiones organizativas, que las compañías deben tener en cuenta para no incumplir el RGPD.

3.10.1. Contramedidas

¿Qué medidas pueden implementar las compañías para atajar este riesgo?

1. Definir la finalidad de los datos recabados con precisión y nunca más tarde del momento de la recogida de la información.
2. Recopilar y almacenar solo los datos necesarios para cumplir con los fines establecidos, apostando por la reducción y limitación de datos.
3. Recabar datos personales solo si son necesarios para una determinada acción que se lleva a cabo.
4. Facilitar a los usuarios la opción de que proporcionen datos adicionales para prestarles un mejor servicio. Por ejemplo, enviarles ofertas personalizadas sobre bienes o servicios de su interés.

4. Servicios de ciberseguridad para gestionar los riesgos de privacidad con eficacia

Resulta evidente, que el asesoramiento legal es pertinente para gestionar muchos riesgos de privacidad, sobre todo, aquellos puramente organizacionales y vinculados a las políticas de privacidad y tratamiento de la información.

Sin embargo, el Top 10 de riesgos de privacidad de OWASP pone en valor la importancia de contratar servicios de ciberseguridad para realizar auditorías de seguridad web y detectar vulnerabilidades, recurrir a servicios de pentesting focalizados en la privacidad de la información o disponer de una política de seguridad integral, que contemple los mecanismos de detección, respuesta y recuperación ante incidentes de seguridad en los que la privacidad de los datos sea vea afectada.

El RGPD solo supuso el inicio de un nuevo marco normativo a nivel europeo que incide en la importancia de que las empresas sitúen a la ciberseguridad entre sus pilares estratégicos. El reglamento DORA (focalizado en las entidades financieras, que manejan datos especialmente sensibles sobre las empresas y los ciudadanos), la directiva NIS2 (que busca securizar todos los sectores estratégicos de la UE) y la aprobación en el futuro próximo de una norma para regular la Inteligencia Artificial, incidiendo en la ciberseguridad y la protección de los datos, evidencian el papel central que ocupa la privacidad en la sociedad y la economía actuales.

4.1. Fortalecer la seguridad para salvaguardar la privacidad

Las aplicaciones web son la cara más visible de la superficie de ciber exposición de las compañías. De ahí que muchos actores maliciosos rastreen vulnerabilidades para atacarlas. Esto se une al hecho de que los sitios webs recopilan, almacenan y tratan datos personales de los ciudadanos de forma continua. Atacar una aplicación web insegura puede desencadenar una crisis de consecuencias impredecibles para una compañía y sus clientes.

Tarlogic Security cuenta con un amplio catálogo de servicios para ayudar a todas las empresas a fortalecer la seguridad de su infraestructura IT, securizar las aplicaciones web desde el diseño y a lo largo de todo su ciclo de vida y cumplir con una normativa cada vez más exigente, sobre todo, en lo que respecta a la salvaguardia de la privacidad.

En definitiva, el Top 10 de riesgos de privacidad de OWASP nos permite observar cuáles son los principales ítems que deben tener en cuenta los desarrolladores de aplicaciones y las compañías a la hora de proteger los datos que recopilan, procesan y almacenan sobre clientes, proveedores, trabajadores y demás usuarios.

Asimismo, este Top 10 de riesgos de privacidad de OWASP evidencia el enorme valor añadido de servicios de ciberseguridad prestados por profesionales con gran experiencia y conocimientos permanentemente actualizados.

Las auditorías de seguridad web, los servicios de pentesting, las auditorías de código fuente o la gestión de vulnerabilidades son esenciales para acometer los riesgos de privacidad, anticiparse a los incidentes de seguridad, cumplir con la normativa y evitar consecuencias económicas, legales y reputacionales devastadoras para una compañía.