Colaboración de Lorenzo H. Gómez
Protección de la Información Personal: Quién es responsable de Ello? .Conozca más
La Comunidad Económica Europea, a través del Parlamento Europeo, en Abril del 2016 ha adoptado una norma que reemplaza a otra directiva fechada en 1995. Esta norma a la que me refiero es conocida como GDRP (General Data Protection Regulation) la misma que tiene como objetivo proteger la información personal de los ciudadanos de los 28 países que conforman dicha comunidad. Cuál es el problema que enfrenta el ciudadano del mundo con respecto a la privacidad de su información? Me resulta complicado responder esta pregunta cuando vivimos en tiempos que las personas “regalamos” nuestra información personal en plataformas de redes sociales. Quizás no ponemos nuestros números de identificación, o nuestro historial médico (por usar dos aspectos sensibles de nuestra información personal), pero siendo honestos la privacidad es una cuestión de la que las personas cada vez nos ocupamos menos. Por otro lado, la información personal la tenemos que compartir con entidades que deben hacer uso de la misma, y que protegen su responsabilidad en el caso de que esta información fuera violentada, pero que al final del día el individuo que es víctima de dicho problema tradicionalmente se queda sin resolver el inconveniente. Esta misma sensación es la que tengo después de haber leído los detalles generales de la regulación que ahora impera en este campo de seguridad en los países del viejo continente. Lo invito a revisar lo que se publica acerca de esta materia, encontrará términos como que se legisla por sobre aspectos generales, se dejan áreas grises o no se definen aspectos puntuales, generan expectativas y costos que el usuario no percibe como valiosos, y una serie de aspectos que presentan el tema con una fragilidad que hace pensar si es estamos caminando por el camino correcto en cuanto a la protección de la privacidad de la información personal de los individuos. Las personas queremos que nuestros datos personales nunca se divulguen, a menos que nosotros expresamente lo autoricemos. Esto sería la utópica meta a cumplir. La realidad dice que en gran medida nosotros no tenemos la educación o la conciencia debida para autorizar o no la difusión de nuestros datos personales, lo cual es muy grave. Esto se evidencia en el gran número de usuarios de plataformas de redes sociales, las mismas que nos brindan el placer de socializar mediante el internet a cambio de que les regalemos abundante data acerca de aspectos de nuestras vidas, desde los más superficiales hasta incluso los más sensibles. El usuario de la era del Internet cambia placer por información personal (entre otras cosas). Quiero dejar algo en claro, soy un usuario constante de redes sociales, comparto muchas cosas en estas plataformas, y creo que son un medio fabuloso de conectar con gente desde diferentes aspectos y perspectivas. El punto que quiero elaborar en este caso tiene que ver con algunos otros que he abordado desde similar perspectiva. Analógico versus Digital, este es el ángulo de análisis desde mi perspectiva de profesional de las Tecnologías de la Información. Esto qué quiere decir? Que en el mundo analógico en el que hemos vivido por un largo espacio de tiempo, las cosas se han construido por secuencias seriales, es decir, para que un evento se dé debe existir un evento precedente, por tanto acción-efecto, a eso le sumamos lo serial de la idea, que tiene que ver con que los eventos se desencadenan uno detrás de otro, siguiendo un patrón de conducta. En el mundo digital los eventos suceden de manera aleatoria, es decir, los patrones de conducta no necesariamente guardan relación entre eventos y las causas de dichos eventos. Esto se hace realidad porque en esencia el ser humano (los profesionales de TI le llamamos: el usuario) es un ser “digital” en cuanto a su comportamiento aleatorio relacionado a sus gustos y costumbres. El usuario puede dar la sensación de parecerse a sus pares, de dar muestras de comportamiento similar entre ellos, de identificarse como parte de un grupo, y cuando usted profesional de Seguridad Informática cree que ya tiene el mapa comportamental de su universo de usuarios, y que ello le ha permitido definir los parámetros de sus procesos de seguridad, boom! Le cae un problema de violación de la información. Recuerdo que el año pasado empezamos a tratar con una compañía en Washington DC que se dedica a desarrollar herramientas para administrar “súper usuarios” que tienen cuentas privilegiadas, que les permiten a su vez acceder a información privilegiada, por tanto con un grado de sensibilidad muy alto. Un día mi departamento de TI me pide mi laptop (el equipo que uso para mi trabajo) para hacer actualizaciones de software, les dejo el equipo y antes de salir de las oficinas le pregunto al ingeniero a cargo de esa actualización “tienes mi clave?”, y me dice: “si, aquí tengo un Excel con todas los usuarios y sus claves de acceso”, Plop! No queriendo hacerlo sentir mal, pues habíamos aprendido que esa era justamente la peor manera de administrar códigos de acceso, fui al Internet a mirar que tan frecuente era hacer ese tipo de registros?, Sorpresa: Es muy frecuente! Entonces qué hace usted con invertir en una serie de actos para mejorar la privacidad de la información personal de las personas, cuando nos olvidamos de involucrar a las personas en esos esfuerzos! Los usuarios, las personas son las que generan y hacen uso frecuente de este filón que es la información privada, por tanto los usuarios deben ser en todos los casos la primera línea de defensa de dicha fuente de información. Dentro de sus esquemas de seguridad informática defina al usuario como el principal medio de defensa de la privacidad de la información personal, haga que se eduque y que tome conciencia de su papel en el esquema, que proteja la información que origina, que maneja o trabaja, y luego que comparte con otros. El usuario debe entender la legislación y las regulaciones acerca de la materia, sus responsabilidades y obligaciones en este marco de acción, con ello podrá mejorar el nivel de seguridad al tiempo que podrá exigir similar acción por parte de quienes interactúan con este usuario educado y maduro en materia de seguridad informática. Una vez que tiene un usuario con las características mencionadas en el párrafo anterior, deben automatizar y añadir procesos inteligentes a sus plataformas informáticas. Los usuarios siendo actores principales del esquema, tienen trabajo que hacer, tienen obligaciones que atender, por tanto no espere que estén mirando sus consolas de administración y/o que reemplacen a sus colaboradores en su equipo de TI. Usted necesita software y hardware que haga el trabajo, que prediga, detecte y corrija problemas en tiempo real. Esto es posible, siempre y cuando el paso previo con el usuario sea una realidad, de lo contrario seguiremos viendo fallas tan clamorosas como la de Equifax que expuso millones de registros por no haber actualizados una aplicación a tiempo. El otro aspecto importante es el papel del marco legal que sostiene la vida en sociedad de las personas. Esto quiere decir que el individuo debe realizar sus actividades con la seguridad y confianza que la ley lo protege. La legislación debe ser hecha justamente para cumplir con ese fin y no para dar excusas que premien la mediocridad de sistemas que cuando fallan no asumen responsabilidad ninguna. El papel del estado, de los gobiernos nacionales es vital en estas circunstancias, pues si otorga la seguridad que antes reclamo, entonces los agentes que actúan en el escenario social lo harán de una manera coordinada, estable, pensando que si algún tipo de violación de datos se presentara, el agresor será perseguido y las consecuencias negativas de ese evento se verán superadas en el corto plazo gracias a la presencia del Estado y del imperio de la ley. Terminaré respondiendo la pregunta del título de esta entrega: Todos, en diferente medida, somos responsables de proteger la confidencialidad de la información privada de las personas. Asumamos el rol que nos toca en esta era de la supercarretera de la información.
