La privacidad de los datos está en el ADN de 23andMe CSO


¿Qué tan seria es la empresa para proteger a sus clientes y su información genética? «Nos estamos ocultando datos incluso a nosotros mismos», dice el jefe de seguridad de la empresa de pruebas genéticas y biotecnológicas.

(Imagen: Siarhei a través de Adobe Stock)

(Imagen: Siarhei a través de Adobe Stock)

David Baker, director de seguridad (CSO) en 23andMe, puede resumir su estrategia en unas cuantas máximas contundentes y militares.

«La mejor defensa es una buena ofensiva», le dijo a Dim Looking at, mientras se ejercitaba en su cinta. «Sé paranoico. No confíes en nadie».

El multitarea Baker se encuentra en el segundo año de su mandato en la empresa de pruebas biotecnológicas y genéticas, que maneja los datos cuantificables más fundamentales que una persona puede entregar: el mapa de su herencia genética, así como una larga lista de datos de identificación individual. Los clientes envían dinero digital y un frotis físico en la mejilla a los laboratorios de 23andMe en Sunnyvale, California, para obtener más información sobre su ascendencia o si tienen marcadores de diabetes, cáncer, enfermedad celíaca o una serie de otras afecciones médicas hereditarias.

23andMe utiliza la información genética agregada de sus clientes, despojada de la información de identificación particular (PII), para la investigación biomédica. Baker dijo que no le preocupa demasiado la seguridad de la información genética por sí sola. Es inútil en el mercado negro, dijo.

«¿Qué robarían de un hilo genético: huellas dactilares, escáneres de retina? No funciona así», dijo Baker.

El problema, dijo, es si la PII, un activo tremendamente wise por sí mismo, llegara a las manos equivocadas, junto con la información genética. Juntos se vuelven referenciables, proporcionando una manera fácil para que los delincuentes triangulen su camino hacia un robo de identidad integral.

No es de extrañar, entonces, que la compañía de California emplee un equipo «considerable» de particular de TI y ciberseguridad, incluidos piratas informáticos de sombrero blanco y mineros de errores cuyo trabajo es atacar las defensas de la compañía, día tras día, en busca de vulnerabilidades. Todas las defensas estándar están en su lugar, incluido el acceso con privilegios mínimos para todos los empleados, tokenización, autorización de dos factores, cifrado de 256 bits, infraestructura de nube pública y sin acceso a VPN.

«23andMe utiliza un modelo estricto de autorización y acceso de confianza cero», dijo Baker. «La privacidad y seguridad de los datos de nuestros clientes es el centro de todas las decisiones comerciales».

Rienda estricta de datos
Los datos pueden ser el torrente sanguíneo de la economía digital, pero Baker insiste en que ningún dato sale de las cuatro paredes de 23andMe, excepto lo que publica el equipo de investigación o lo que la empresa envía a los clientes. Eso significa que todo el trabajo se realiza internamente, sin terceros en ninguna capacidad.

La forma en que 23andMe logra esto es algo así como un secreto profesional. Compare, por ejemplo, los estándares de privacidad de Genomics England, la empresa de genómica del gobierno del Reino Unido: «Varias empresas y organizaciones tienen acceso a diferentes partes del centro de datos seguro o canalizaciones de datos». su sitio website estados. «Es factible que alguien que trabaje en el centro de datos pueda ver los datos de los participantes no identificados».

23andMe maneja sus propios datos en cada paso, principalmente a través de máquinas virtualizadas. Todos los datos se cifran en tránsito y nuevamente en bases de datos, con PII y datos genéticos almacenados por separado. Si un cliente desea eliminar su cuenta, ningún ojo humano la verá desaparecer, al igual que ningún ojo humano la habrá visto en el sistema.

«Nos estamos ocultando datos incluso a nosotros mismos», explicó Baker.

Las regulaciones de HIPAA, que rigen la portabilidad en lugar de la privacidad, no entran en juego en estos casos, pero Baker trabaja en estrecha colaboración con la directora de privacidad de 23andMe, Jacquie Haggarty, para mantener todas las operaciones en conformidad con GDPR y CCPA.

Esta postura estricta sobre la privacidad se extiende también a la aplicación de la ley. Hasta la fecha, 23andMe aún no ha entregado ningún dato a las fuerzas del orden, manteniendo un estándar very similar a otro gigante en el campo de la genómica own, Ancestry.com.

Incluso los datos de investigación que publica 23andMe (generalmente como estadísticas resumidas y agregadas) están sujetos a protocolos de privacidad especiales. Los clientes deben optar por participar explícitamente si quieren que el equipo de investigación utilice sus datos la aprobación es independiente de los términos de servicio de la empresa. Un comité de ética independiente supervisa este proceso.

Defensas tan sólidas requieren comparar la madurez y el presupuesto de TI. Con respecto al primero, 23andMe participa en el Centro de Análisis e Intercambio de Información de Salud (H-ISAC), un consorcio world wide de propietarios de infraestructura crítica en el sector de la salud, para compartir estadísticas y mejores prácticas. Una métrica de H-ISAC, en individual, el mistake de costo en dólares por descubrimiento, es un buen barómetro del proceso de implementación / integración continua del equipo de ingeniería, dijo Baker, quien es optimista sobre la calificación de 23andMe frente a sus pares.

En cuanto al presupuesto, el nivel de infraestructura de defensa y contratación interna de 23andMe requiere una financiación appreciable. Afortunadamente para Baker, el equipo ejecutivo de 23andMe no necesita los halagos que los CISO de otros campos tienen que proporcionar. Esto se debe en gran parte a la cultura empresarial de 23andMe, que enfatiza la tecnología más nueva y mejor en todas las funciones. La seguridad de los datos está integrada en todos los trabajos de 23andMe y se refuerza mediante una formación constante y pruebas periódicas de phishing.

¿El closing resulto? ¿No hay retraso entre la implementación de nuevas políticas de TI y el resto de la empresa que las adopta?

«Tenemos esa ventaja», explicó Baker. «Nos movemos mucho más rápido».

De un hombre que no deja de moverse ni siquiera para una llamada de Zoom, eso es un gran respaldo.

El trabajo de Carlo Massimo ha aparecido en Newsweek, Raconteur (suplemento de Times / Sunday Moments), Wilson Quarterly, Ethisphere y en otros lugares. Vive en Washington, D.C. Síguelo en Twitter en @ CarloMassimo6. Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original