Cómo mitigar los riesgos de privacidad de las hojas de cálculo
Tabla de contenido:
Una serie de filtraciones de datos de alto perfil en el Reino Unido ha puesto de relieve los riesgos de seguridad y privacidad del uso de hojas de cálculo. Los incidentes fueron tan graves que el regulador de privacidad, la Oficina del Comisionado de Información (ICO), se vio obligado a intervenir. Sin embargo, también brindan oportunidades de aprendizaje para las empresas. Las mejores prácticas recomendadas por la ICO y codificadas en normas como ISO 27001 pueden contribuir en gran medida a mitigar estos riesgos.
¿Que pasó?
En diciembre pasado, un fondo del NHS con sede en Cambridge confirmado que se habían producido dos violaciones de datos cuando respondió a solicitudes de Libertad de Información (FoI) revelando datos de pacientes en hojas de cálculo de Excel.
De manera similar, una gran hoja de cálculo expuso los datos personales de los oficiales y el personal que presta servicios en el Servicio de policía de Irlanda del Norte (PSNI). La hoja de cálculo accesible en línea incluía información confidencial como los nombres, rango y ubicación de los oficiales, comprometiendo seriamente su seguridad.
Cómo tuvieron la culpa las tablas dinámicas
Las tablas dinámicas se describen mediante Microsoft como una de las funciones más potentes de Excel, diseñada para permitir a los usuarios ver "comparaciones, patrones y tendencias" en los datos. Sin embargo, también pueden suponer un riesgo para la seguridad, según Maria Opre, experta en ciberseguridad y analista senior de EarthWeb.
En primer lugar, permiten a los usuarios agregar grandes conjuntos de datos. Si bien esto puede parecer inofensivo, Opre le dice a ISMS.online que resumir y combinar grandes cantidades de información hace que sea más fácil compartir y ver detalles confidenciales. El hecho de que las tablas dinámicas a menudo estén vinculadas a otras bases de datos y fuentes de información es otro motivo de preocupación.
"Esto plantea riesgos si no se toman las medidas de seguridad adecuadas porque los datos privados podrían quedar expuestos", añade.
Las tablas dinámicas también pueden aumentar la visibilidad de la información confidencial y potencialmente provocar violaciones de datos. Ella explica: “Las tablas dinámicas pueden mostrar accidentalmente más datos de los previstos, especialmente con conjuntos de datos complejos. Esto puede provocar la exposición accidental de información confidencial”.
Matt Aldridge, consultor principal de soluciones de OpenText Cybersecurity, está de acuerdo en que las tablas dinámicas son problemáticas, argumentando que son complejas por diseño y no siempre aclaran los datos a los usuarios. En consecuencia, es posible que solo puedan ver un pequeño subconjunto de datos cuando en realidad hay más almacenados en la hoja de cálculo.
"Los archivos de Microsoft Office en realidad se almacenan en formato comprimido zip, contienen muchos archivos y a menudo incluyen información para deshacer que muestra el historial de todos los cambios realizados en el documento durante su ciclo de vida; esto también puede provocar una pérdida grave de datos", le dice a ISMS.online.
Jake Moore, asesor global de ciberseguridad de ESET, le dice a ISMS.online que las solicitudes de FoI “a menudo son laboriosas en sus requisitos y, por lo tanto, ocurren errores”.
El consejo de la ICO
Tras los incidentes destacados anteriormente, la ICO orientación publicada sobre cómo las autoridades públicas (AP) del Reino Unido pueden evitar incidentes similares en el futuro. Advierte que las hojas de cálculo “presentan desafíos prácticos y riesgos de divulgación involuntaria de información personal que pueden no ser evidentes con una mirada superficial a la hoja de cálculo”.
Teniendo en cuenta estos desafíos, la ICO estableció ocho recomendaciones clave que las autoridades públicas deben seguir al utilizar hojas de cálculo. El primero implica implementar una moratoria para los usuarios que deseen cargar hojas de cálculo originales en plataformas en línea al responder a solicitudes de libertad de información.
La ICO también recomienda el uso de formatos de texto abiertos y reutilizables, como archivos de valores separados por comas (CSV). Las AP deberían abstenerse de utilizar hojas de cálculo con un gran número de filas (especialmente si son cientos o miles) y utilizar sistemas de gestión de datos para proteger la información confidencial, añade.
Para los empleados que utilizan software de datos y divulgan información confidencial, las autoridades públicas deben proporcionar suficiente capacitación, tal vez informada por orientación relevante emitido por el ICO.
Sin embargo, las autoridades públicas deben seguir cumpliendo con las responsabilidades de la FOIA, y el ICO advierte que su consejo no es "una razón adicional para no publicar información como AP". La ICO también recomienda garantizar que las hojas de cálculo no expongan datos inesperadamente si es necesario mantener la versión original para preservar macros y ecuaciones.
Finalmente, la ICO insta a los organismos públicos a compartir datos confidenciales utilizando el "formato más apropiado y seguro", lo que puede implicar transferir información de un formato de archivo a otro. El gobierno del Reino Unido también proporciona consejos sobre la creación y divulgación de hojas de cálculo.
Siguiendo las mejores prácticas de la industria
Los expertos en ciberseguridad recomiendan una serie de mejores prácticas, además de seguir las directrices de la ICO.
Aldridge, de OpenText, aconseja utilizar una plataforma de seguridad de datos (junto con políticas, capacitación del personal y una estrategia de resiliencia cibernética) para mitigar las fugas de datos. Dice que estos pasos permitirán a las AP "operar de forma segura" en un panorama de amenazas a la ciberseguridad en rápida evolución.
Ilia Sotnikov, estratega de seguridad y vicepresidenta de experiencia de usuario de Netwrix, afirma que las organizaciones pueden reducir los errores humanos al revelar información confidencial aplicando un estricto proceso de revisión.
"La persona que prepara el contenido solicitado no debería poder enviárselo al solicitante sin aprobación", le dice a ISMS.online. "Al igual que un piloto de avión no puede decidir despegar, se debe implementar un flujo de trabajo de verificaciones y verificaciones cruzadas para garantizar que estos datos sean 'seguros para volar'".
Moore, de ESET, añade que los asistentes personales pueden evitar la divulgación accidental de información cifrando datos confidenciales y garantizando que sólo los empleados autorizados puedan verlos.
"Estas medidas ayudan colectivamente a salvaguardar la información sensible", argumenta.
Siguiendo estándares de la industria como ISO 27001, Moore dice que las organizaciones pueden reducir la posibilidad de que se produzcan filtraciones de datos causadas por errores humanos. Explica que ISO 27001 establece una serie de procedimientos y políticas de protección de datos como parte de un marco integral de seguridad de la información, pero advierte que "no es infalible contra todo tipo de errores o violaciones".
Opre de EarthWeb también admite marcos industriales como ISO 27001, ya que permiten a las organizaciones gestionar información confidencial de manera sólida y evitar violaciones de datos causadas por prácticas deficientes de privacidad de datos. También recomienda revisar periódicamente los procesos de datos para identificar fallas ocultas y garantizar que todos dentro de la organización sigan las reglas de seguridad.
Las hojas de cálculo son una forma rápida y sencilla de compartir información importante, pero, como han demostrado las recientes violaciones de datos en el Reino Unido, tienen algunos inconvenientes críticos en materia de privacidad de datos. Lo que está claro es que al seguir la guía de ICO, las mejores prácticas de la industria y estándares como ISO 27001, las organizaciones pueden usar hojas de cálculo y otros métodos para compartir datos de manera segura.
