Join IEEE Digital Privacy
IEEE Digital Privacy

IEEE Digital Privacy Podcast Series: Episodio 3

 

Jason LauA Conversation with Jason Lau
Chief Information Security Officer, Crypto.com

 

Translation reviewed by
Jorge Catasus
Data Privacy Consultant and Member, Framework and Foundation, IEEE Digital Privacy Initiative

 

Transcripción del episodio:

Brian Walker: Bienvenido a la serie de podcasts sobre privacidad digital del IEEE, una producción de IEEE Digital Studio. En esta serie de podcasts se presentan conversaciones con líderes de la industria y del mundo académico, así como también con las principales partes interesadas en la privacidad digital, con el fin de ayudar a promover soluciones que brinden apoyo a las necesidades de privacidad de las personas. Este episodio cuenta con la participación de Jason Lau, director de Seguridad de la Información en Crypto.com. Jason comparte sus ideas sobre ciberseguridad y privacidad, al hablar de los nuevos retos y oportunidades relacionados con el ámbito de la privacidad digital. Jason, muchas gracias por contribuir a la serie de podcasts sobre privacidad digital del IEEE. Para empezar, ¿puede hablarnos un poco de su trayectoria y de sus responsabilidades actuales?

Jason Lau: Por supuesto. En la actualidad, soy el director de Seguridad de la Información en Crypto.com, donde superviso la estrategia global de ciberseguridad y privacidad de datos de la empresa. También soy profesor adjunto de ciberseguridad y privacidad en una de las principales escuelas de negocios de Asia y miembro del Comité Permanente de Desarrollos Tecnológicos para el Comisionado de Privacidad de Datos Personales de Hong Kong. En lo que respecta a la comunidad global, también soy miembro destacado del profesorado y copresidente regional, y además formo parte del consejo asesor de la Asociación Internacional de Profesionales de la Privacidad. También colaboro con grupos de expertos, desde el Foro Económico Mundial hasta el Centro para la Política de la Información, Liderazgo, el Consejo de Tecnología de Forbes, etc.

Brian Walker: Jason, ¿qué opina sobre priorizar la privacidad digital?

Jason Lau: Esa es una muy buena pregunta. Antes de compartir mis puntos de vista, creo que otra buena manera de comenzar este debate es fijarnos en el director general de Apple, Tim Cook. Hace poco dijo que la privacidad es, en realidad, uno de los principales problemas del siglo.Y estoy completamente de acuerdo con esto.Es muy cierto.Hemos visto cómo muchas multinacionales de todas las industrias, grandes y pequeñas, hasta los usuarios y consumidores comunes y corrientes se han visto afectados por la privacidad.Estamos viendo que la transformación digital en verdad impulsa una mayor adopción de la tecnología.También estamos viendo un crecimiento acelerado de esto después de la pandemia de COVID o durante ella, desde aplicaciones de rastreo de contactos hasta individuos y espacios de trabajo que utilizan videoconferencias y trabajan desde casa.Creo que ha acelerado la adopción de la tecnología.Y, como resultado, la privacidad de los datos juega un papel muy importante en esto.Si nos remontamos al año 2018 más o menos, cuando entró en vigor el Reglamento General de Protección de Datos de Europa, este en verdad estableció nuevos estándares para la privacidad de los datos en todo el mundo, en especial en Europa.Y ahora muchas regiones de todo el mundo están siguiendo el ejemplo, y se están viendo cada vez más regulaciones que se centran en garantizar los derechos de los individuos con respecto a la privacidad y la seguridad de los datos. Creo que cada vez tiene más peso en la vida cotidiana. Cuando se mira desde la perspectiva de la seguridad, hay cada vez más problemas de privacidad de datos por las filtraciones de datos que están ocurriendo. Si miramos algunas estadísticas sobre los ataques de ransomware, que suelen producir filtraciones de datos, cada 11 segundos más o menos, hay un ataque en algún lugar del mundo, lo que marca el crecimiento de estos ataques.Y esto crece cada año, año tras año, entre un 20 y un 30%.Estamos viendo cómo se ataca a muchas industrias.Así que,volviendo a la pregunta original, creo que la privacidad de los datos se debe priorizar en todos los sentidos.En las organizaciones, tiene que ser una responsabilidad a nivel de la junta directiva.Y en la vida diaria, cuando se utilizan los teléfonos móviles y se navega por sitios web, tenemos que ser más cautelosos con lo que estos sitios web podrían estar recopilando sobre nosotros y asegurarnos de seguir las mejores prácticas de privacidad.

Brian Walker: Entonces, ¿hay lecciones aprendidas de experiencias pasadas en materia de privacidad digital que puedan aplicarse para mejorar el espacio tecnológico en el futuro?

Jason Lau: Creo que la ciberseguridad y la privacidad de los datos van realmente de la mano a la hora de impulsar una cultura que se apoya desde arriba.Creo que, solo para aclarar y brindar un poco de explicación sobre esto,la seguridad tiene que ver un poco más con proteger los activos.De nuevo, estoy simplificando mucho las cosas, pero en pocas palabras, eso es la seguridad.Mientras que la privacidad se preocupa un poco más por defender los derechos de las personas.Ahora bien, ambas funciones tienen que ir de la mano para conseguirlo.Y en realidad es mucho más difícil de lo que se cree.Las diferentes organizaciones tienen diferentes estructuras de entidades.Existen diferentes estructuras organizativas.Tienen diferentes empresas e industrias en las que operan. Por lo tanto, no existe un libro de jugadas perfecto sobre cómo aplicar la privacidad de los datos.Pero seguro que hay algunas cosas clave y lecciones aprendidas, como ha aludido usted, que pueden ayudar a facilitar un tipo de organización de privacidad de datos más madura.Al mirar las cosas desde la perspectiva de la gestión de riesgos, no se puede luchar por todo al mismo nivel.Hay que elegir las luchas que se van a librar, y hay que considerarlas desde un enfoque basado en el riesgo. Hay que pensar realmente en tener responsabilidad, porque si no se tiene responsabilidad en la organización, es sumamente difícil impulsar un programa de privacidad.Por lo tanto, contar con un responsable de protección de datos que ayude a supervisar que los procesos de la organización y los datos personales cumplan con las normas y los reglamentos aplicables en materia de protección de datos es fundamental, al igual que asegurarse de que se cuenta con una buena postura en materia de privacidad de datos.Es necesario ampliar todo el tipo de organización de la privacidad de los datos si se quiere.Es algo más que una vertical.Es necesario contar con comités de dirección en la cúspide, donde se reúnan los diferentes niveles C de los distintos departamentos.El equipo de marketing va a tocar mucha información personal.El equipo de finanzas va a tocar mucha información personal.Su equipo de recursos humanos, desde la incorporación de esas personas con sus currículums y hojas de vida hasta sus propios empleados dentro de la empresa, pasando por el equipo tecnológico que tiene que desarrollar la tecnología para integrarse con terceros, etc.Todas las funciones tienen que tratar la privacidad de los datos de una forma u otra.Y el equipo de privacidad tiene que ser una especie de pegamento.Tiene que ser el facilitador en muchas de estas diferentes operaciones cotidianas.¿Y cómo se hace eso?Pues bien, hay que aplicar políticas, procedimientos y flujos de trabajo en los que la privacidad es fundamental en parte del proceso de implementación real.Hay cosas que van desde las evaluaciones de riesgo de los proveedores, ya que los riesgos de terceros son un problema importante, hasta los acuerdos de procesamiento de datos, si está en la UE, para ver la privacidad desde una perspectiva más legal.Y luego, las evaluaciones de impacto sobre la privacidad también son muy importantes.Así se pueden evaluar realmente estos proyectos y los riesgos.Creo que en el día a día, las lecciones aprendidas, diría, son una tarea difícil, pero no imposible.Hay que verlo desde diferentes aspectos, no solo desde una perspectiva legal, no solo desde una perspectiva legal regulatoria, sino desde una perspectiva de implementación y, luego, desde una perspectiva de auditoría interna.Y utilizar auditores externos para que también le den esa garantía de calidad para sus prácticas de privacidad de datos.Ayuda a crear confianza con los clientes finales y a utilizar estándares, como la ISO 27701, que es muy nueva, o el marco de privacidad NIC en diferentes regiones; por ejemplo, si está en Singapur, allí tienen una certificación de protección de datos llamada Trustmark.En Hong Kong, el comisionado de privacidad lanzó los premios de oro.Cada región tiene su propia estructura de certificación o premiación de la privacidad.Creo que es muy importante tener en cuenta esto también en el día a día.

Brian Walker: ¿Y qué pasa con los retos emergentes?Digamos, por ejemplo, el metaverso.

Jason Lau: El metaverso y la Web 3.0 están todavía en sus primeras etapas.Pero tengo que admitir que la comunidad de la privacidad en general está planteando muchas preguntas y retos.En mi opinión, estas preguntas solo están tocando la punta del iceberg en este momento.Todavía pasarán unos cuantos años antes de que una Web 3.0 y un metaverso completamente desarrollados estén disponibles para que todo el mundo los utilice de la forma en que las grandes empresas tecnológicas esperan que lo hagan.Pero creo que cuando miramos hacia atrás, antes de hablar de la Web 3.0, es importante poner en perspectiva cómo era la Web 1.0.La Web 1.0 consistía principalmente en sitios web estáticos y sitios web personales en los que se difundía información o las empresas difundían información con una interactividad limitada.Luego, en la Web 2.0, hay mucha más interactividad de los sitios web.Y ahora, con la 3.0, la experiencia es mucho más envolvente.Va a llevar la preocupación por la privacidad a un nivel completamente nuevo.Hubo muchas preocupaciones diferentes en los últimos años con respecto a la privacidad de los datos durante la recopilación; podría referirme al caso de Cambridge Analytica y muchos más.Pero una de las cosas que es o ha sido un gran problema es el marketing dirigido.Para que las empresas puedan hacer marketing dirigido, suelen recopilar datos y elaborar perfiles de muchas maneras, desde cómo se hace clic, en qué se hace clic, cuántas veces se pasa por una página en particular.Siempre hablamos de Big Data, análisis de datos y básicamente eso. Si nos fijamos en los últimos cinco años más o menos, todos estos datos han ayudado a las organizaciones a construir estos perfiles para que puedan esencialmente vendernos algo.Ahora, cuando nos adentremos en el metaverso, pensemos así.Si uno se pone los visores de realidad virtual, por ejemplo, en el momento en que uno se los pone, las empresas podrían medir cosas que nunca antes habían medido.Van a medir el comportamiento, al observar la dilatación de las pupilas y el movimiento de los ojos en el metaverso y al reaccionar a diferentes ayudas visuales y cosas.En la Web 2.0, cuando uno hace clic aquí y allá,no se ve la cara,no se ven los ojos y hacia dónde se mira.Solo se ve dónde hace clic el cursor del mouse y no lo que realmente está haciendo.Pero en el momento en que uno está en todo este metaverso, las actividades y cómo se reacciona van a brindar ahora incluso más datos que antes.Luego están todos estos otros retos.¿Qué pasa con el perfil del metaverso de ese avatar si, toco madera, la identidad del humano real muere realmente?¿Qué pasa si realmente se infringen las leyes de privacidad en el metaverso?¿Cómo afecta eso en el mundo real?¿Cuáles son las leyes que rigen los datos personales en un metaverso descentralizado, por ejemplo?En el mundo real en el que operamos, hay transferencias de datos transfronterizas que tenemos que considerar entre, por ejemplo, Europa, Estados Unidos, Australia, Asia.¿Qué ocurre en el metaverso?¿Quién gobierna todo eso?Si hablamos de un metaverso centralizado, si es solo una gran empresa tecnológica la que construye la plataforma, ¿son ellos los responsables de la seguridad y la privacidad?¿Cómo funciona?Cuando miramos el RGPD, por ejemplo, en el mundo real tenemos conceptos de controladores y procesos.¿También tenemos este tipo de cosas en el metaverso?¿Qué pasa con los datos de los niños?Hay muchas preguntas.Creo que volviendo a la pregunta original,lo fundamental para el desarrollo del metaverso es realmente la ética.La ética tiene que ser el centro de todo el desarrollo en el ADN de cualquier cosa que se desarrolle en el metaverso.Cualquier función, característica que se está desarrollando, cualquier anuncio o cualquier cosa que se ha desarrollado a través de cualquier plataforma tiene que estar utilizando la ética específicamente en torno a la privacidad de los datos y la privacidad individual en el centro de su desarrollo.Sí.

Brian Walker: Jason, ¿cómo cree que la Iniciativa de Privacidad Digital del IEEE contribuirá al avance del espacio tecnológico?

Jason Lau: Creo que el IEEE está muy bien posicionado en este espacio porque todos estos desarrollos tecnológicos, al final, tienen que construirlos los ingenieros; tienen que construirlos los desarrolladores.Y muchas de estas tecnologías, incluso si mira la cadena de bloques, la inmutabilidad de la cadena de bloques, los beneficios de la privacidad en la cadena de bloques, todo esto en el nivel básico se construye fundamentalmente en la tecnología.El papel del IEEE en esto va a ser absolutamente crucial porque no se puede tener ingenieros que solo construyan pero que no entiendan la importancia de la privacidad de los datos.Hubo este reto en el que muchas organizaciones sienten que la privacidad es solo dejar que los abogados entiendan la regulación.Pero se ha producido esta desconexión.Y la desconexión se produce cuando los abogados consideran la privacidad y se dirigen a los ingenieros y les dicen: "Bueno, tenemos que incorporar la privacidad por diseño, la privacidad de forma predeterminada en las herramientas que estamos desarrollando".Pero existe esa desconexión.Los ingenieros no tienen ni idea de lo que quiere decir, ni de cómo aplicarlo, ni de cuáles son sus expectativas.Tiene que haber ese puente.Y en ese puente es donde se encuentran este tipo de programas y las nuevas certificaciones que están saliendo y que ya existen.Estas discusiones y estas iniciativas, por ejemplo, con el IEEE, pueden ayudar a facilitar ese debate y ese diálogo para que ambas partes puedan acercarse a la comprensión de lo que significa en verdad implementar la privacidad por diseño y la privacidad de forma predeterminada, por ejemplo.Creo que el IEEE puede desempeñar un papel importante a la hora de reunir a las diferentes partes para facilitar las conversaciones sobre esos retos, ya se trate de la Web 3.0 o lo que sea, y reunir a las diferentes partes, por ejemplo, ya se trate de organismos gubernamentales y reguladores, o de asociaciones.Pueden ser organizaciones pequeñas y medianas, y multinacionales.Creo que hay mucho desarrollo en este espacio.Y creo que el IEEE puede desempeñar un papel crucial, en especial a la hora de promover la importancia de la privacidad entre sus enormes miembros de la ingeniería.

Brian Walker: Gracias de nuevo por su tiempo, Jason.¿Algún consejo o reflexión final que quiera compartir con nuestros oyentes?

Jason Lau: Para aquellos que estén interesados en adentrarse en el mundo de la privacidad de los datos, mi recorrido fue un camino algo interesante.Soy ingeniero de profesión, pero me metí en el campo de la ciberseguridad en una etapa muy incipiente, antes de que la palabra ciberseguridad fuera siquiera un término popular.Durante ese tiempo, me involucré en muchos proyectos de ciberseguridad diferentes, y ahí es donde me inicié en la privacidad de los datos.Tanto si se trata de datos en Estados Unidos, con grandes hospitales y lidiando con la HIPAA, como si se trata de grandes bancos que tienen que lidiar con datos para sus usuarios y datos transaccionales,luego, con el tiempo, pude ver la evolución de las regulaciones.Después me involucré con los actores globales y las asociaciones del IEEE y el resto.Así que animo a todos los que quieran entrar en este ámbito a que busquen en asociaciones como el IEEE, la IAPP y otras también para aprender más sobre este ámbito, obtener algunas de las certificaciones y definitivamente ser un contribuyente activo en la comunidad.

Brian Walker: Gracias por escuchar nuestra entrevista con Jason Lau. Para obtener más información sobre la Iniciativa de Privacidad Digital del IEEE, visite nuestro portal web, en digitalprivacy.ieee.org.