Ética en la ciberseguridad: desafíos y principios

Cómo tomar decisiones éticas en el ámbito de la seguridad

Ética en la ciberseguridad: desafíos y principios

En el mundo actual, la ciberseguridad es fundamental para proteger la información y los sistemas de las organizaciones. Sin embargo, las nuevas tecnologías también traen nuevos desafíos, lo que puede dificultar la toma de decisiones éticas en el ámbito de la seguridad.

Por ejemplo, imagina que trabajas como analista de seguridad de nivel inicial y recibes una alerta de riesgo alto. La investigas y descubres que se transfirieron datos sin autorización. Te esmeras para identificar quién hizo la transferencia y descubres que es un amigo del trabajo. ¿Qué haces?

Éticamente, como profesional, debes ser imparcial y preservar la seguridad y confidencialidad. Aunque es normal querer proteger a un amigo, tienes la responsabilidad y obligación de seguir las políticas y protocolos que aprendiste en la capacitación.

En muchos casos, los equipos de seguridad tienen más acceso a datos e información que otros colaboradores. Las/los profesionales deben respetar ese privilegio y actuar éticamente. La ética de la seguridad da pautas para tomar decisiones apropiadas como profesional.

Otro ejemplo: si como analista tienes la capacidad para darte acceso a los datos de nómina y aumentarte el sueldo, ¿deberías hacerlo solo porque puedes? La respuesta es no. Nunca debes abusar del acceso que se te ha otorgado y confiado.

Hablemos de los principios éticos que plantean dudas al estudiar soluciones para mitigar los riesgos. Estos son la confidencialidad, la protección de la privacidad y las leyes.

Confidencialidad

Antes vimos la confidencialidad como parte de la tríada CID. Ahora analicemos cómo aplicarla a la ética. Como profesional de ciberseguridad, verás información propietaria o información privada, como PII. Tu deber ético es mantener su confidencialidad y protegerla.

Por ejemplo, puedes ayudar a un colega dándole acceso informático fuera de los canales debidamente documentados. Sin embargo, esta violación ética puede tener consecuencias graves, incluyendo sanciones, la pérdida de tu reputación profesional y repercusiones legales tanto para ti como para tu colega.

Protección de la privacidad

El segundo principio a considerar es la protección de la privacidad. Esta implica preservar los datos personales contra un uso no autorizado.

Por ejemplo, tu superior te envía un correo personal fuera del horario laboral para pedir el teléfono de un colega. Te explica que no puede acceder a los datos de empleados en ese momento, pero necesita hablar urgentemente con esa persona.

Como analista de ciberseguridad, debes seguir las políticas y procedimientos. En este ejemplo, indican que los datos de empleados se guardan en una base de datos segura que nunca se debe ver ni compartir de otra forma. Por lo tanto, acceder y compartir datos personales no sería ético.

En este tipo de situación, es difícil saber qué hacer. La mejor respuesta es seguir las políticas y procedimientos establecidos.

Leyes

El tercer principio que veremos es la ley. Las leyes son reglas que reconoce una comunidad y que aplica una entidad gobernante.

Por ejemplo, imagina un profesional de un hospital capacitado para manejar PII y SPII para cumplir con las normativas. Tiene archivos con datos confidenciales que nunca deben dejarse sin supervisión. Pero llega tarde a una reunión. En lugar de guardar los archivos en un área designada, los deja en su escritorio sin supervisión. Al regresar, los archivos no están.

Esta persona infringió varias regulaciones de cumplimiento, y sus acciones no fueron ética ni legalmente correctas, ya que su negligencia causó la pérdida de datos privados de pacientes y del hospital.

En conclusión

En el campo de la seguridad, recuerda que la tecnología evoluciona, y también las tácticas y técnicas de los atacantes. Debido a esto, las/los profesionales deben seguir pensando críticamente cómo responder a los ataques. Tener una ética sólida guía las decisiones para seguir los procesos y procedimientos correctos a fin de mitigar los riesgos en evolución.

Consejos para actuar éticamente en la ciberseguridad

  • Sé imparcial y objetivo en tus decisiones.
  • Respeta la confidencialidad de la información que te es confiada.
  • Protege la privacidad de los datos personales.
  • Cumple con las leyes y regulaciones aplicables.

Recursos para aprender más sobre ética en la ciberseguridad

  • Norma ISO/IEC 27001:2013
  • Código de Buenas Prácticas de la OCDE para la Ciberseguridad
  • Guía de Ética para la Ciberseguridad de la IEEE
  • Ethics of Information Security: An Introduction de John G. Halfond

¿Quieres proteger tu organización de las amenazas cibernéticas?

https://www.sitesupremacy.com ofrece una amplia gama de servicios de ciberseguridad para ayudarte a proteger tu información confidencial y tus sistemas críticos.

Nuestros servicios incluyen:

  • Gestión de riesgos de ciberseguridad
  • Implementación de controles de seguridad
  • Detección y respuesta a incidentes
  • Formación y concienciación en ciberseguridad

Contacta con nosotros hoy mismo para obtener más información sobre cómo podemos ayudarte a proteger tu organización.

--
José Mario Rivera Carranza, Febrero 2023

José Mario Rivera Carranza 13 de febrero de 2024
Compartir
Archivar
Controles, marcos y cumplimiento: pilares de la ciberseguridad
Cómo trabajar en conjunto para proteger los datos y las organizaciones