Uno de los temas presentes en los medios es la privacidad y cómo se debe conservar, proteger y garantizar. Sin embargo, la privacidad no es por sí misma un atributo de la seguridad de la información, puesto que descansa sobre el atributo de confidencialidad y este atributo debe ser etiquetado para los activos de información. La privacidad, eso sí, ofrece seguridad y la seguridad ofrece privacidad. En resumen, la privacidad y la seguridad van en paralelo.
El tema es complicado en la era de la información digital, por ejemplo, si hablamos de la propiedad de la información. La principal duda que sale a la vista es quién es el dueño de los datos. Actualmente reproducir un activo de información no requiere de mucho esfuerzo, al final del día un activo como una mesa, un automóvil o un lápiz no se puede reproducir tan fácil (a menos que tengamos una impresora 3D, pero eso será otra historia) pero un archivo digital sí.
Si los sistemas de información digital son propiedad de una empresa y éstos contienen datos, la lógica de propiedad es que los datos deben ser propiedad de la misma (bueno, eso piensan las empresas, sin embargo los datos del cliente no son como las mesas y los escritorios). Por ello, diversas legislaciones europeas y de varios países, incluida la mexicana, aclaran quién es el dueño de la información sin lugar a dudas: El usuario es el dueño de la información en manos de terceros[1]. Quiero aclarar que en los Estados Unidos de América esto no es así, en nuestro país vecino del norte los datos recolectados por sistemas computacionales son propiedad de la empresa que los colecta, a menos que el acuerdo de servicio diga otra cosa[2].
Debe quedar claro que si la empresa que almacena los datos indica lo que hará con aquellos que no son considerados confidenciales por la legislación (ya que existen datos que de acuerdo a la legislación se deben proteger por ley), entonces no existe problema en su uso (si está dentro de lo que se le indicó al usuario que se haría con los datos y se le ofrece, además, las herramientas para ejercer sus derechos ARCO[3]). Eso sí, es posible que el usuario cambie de opinión respecto al uso de los datos.
Al esquema de nuestra legislación se le conoce como Derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) y no es único, de hecho nuestra legislación fue influida de manera importante por la española.
En esta época de servicios gratuitos, si no se leen las condiciones de uso de algún servicio “gratuito” (sobre todo del extranjero) y sólo se aceptan, el usuario termina pagando con sus propios datos, ya que le otorga al oferente del servicio algunos derechos sobre esos datos (como generar analíticos no individualizados).
Como usuarios tenemos acceso a redes sociales gratuitas, a correo electrónico gratuito, a búsquedas gratuitas, a software de juegos gratuito, entre otras cosas. Sin embargo, en este mundo, como me decía un rector de una Universidad, “no existe lonche gratis”; los datos y registro de la actividad son el pago. De hecho, estoy seguro de que muchos servicios gratuitos conocen al usuario mejor de lo que éste se conoce el mismo, y además, tienen el archivo histórico, lo cual es mucho más retador.
En resumen, los usuarios de los servicios que mantienen datos sobre el individuo tienen derechos sobre su información en México, ya que la legislación mexicana reconoce que el individuo (usuario) es el dueño de la misma, no la empresa que los capturó. El usuario del servicio es el único que puede decidir qué hacer con ellos. El reto está en que si los datos están en un servicio ubicado en otros países, sobre todo en los Estados Unidos, habrá un problema de propiedad, pues la legislación norteamericana no es como la mexicana y la europea, es mucho más relajada respecto a los derechos y los deja en manos de la empresa que colecta los datos. Cabe recordar que el gobierno norteamericano, inmediatamente después del 9/11, fue uno de los que compró la base de datos del registro de electores del IFE a ChoicePoint[4].
Ahora bien, creo que aquellas empresas que quieran distinguirse en su servicio al cliente pueden entregar más valor al consumidor, es decir, pueden utilizar de manera responsable la información que proporcionamos, indicar su alcance y uso, y apegarse a los lineamientos de seguridad de la información, ofreciendo transparencia en sus algoritmos. El manejo responsable de la información significa mantener un programa de seguridad de la información en la organización, apegarse a los reglamentos de privacidad vigente y contar con los controles mínimos como firewalls, políticas y procedimientos de seguridad. Existen estándares a nivel internacional (como el ISO 27000) y la Norma Mexicana para Gestión de Seguridad (NMX-I-27001-NYCE-2009) que nos proporcionan las herramientas de gestión necesarias para mitigar los riesgos y administrarlos.
El valor que como consumidor se puede conseguir con el rastreo de la información es inmenso. Imagine que al entrar a un negocio se le notifique al cliente sobre las ofertas que le pueden interesar. Imagine que en la factura del restaurante favorito también se entreguen las calorías consumidas en un formato digital listo para ser usado en la app favorita de salud del usuario. Para algunas personas, el aceptar este tipo de valor adicional es un riesgo que no se puede aceptar, sin embargo, otros consumidores desean un valor mayor al de la transacción y están dispuestos, si se les explica, a aceptar el riesgo que conlleva el acceder a estos servicios. Todo esto si se explican los procesos de seguridad que la organización maneja y el cómo hacen las cosas, así, informados aceptamos el riesgo.
Imaginemos que al depositar dinero en un banco nos recompensen con aquellas cosas que en realidad consumimos y no sólo con puntos de “lealtad”. Para ello necesitamos que nuestros proveedores se vean como una empresa de software y de seguridad y que les interese entregarnos valor.
Estamos en la era de la explotación de la información (yo prefiero decir “explotación responsable”). Creo que existen las herramientas suficientes para proteger esa información, desde detectores de intrusos (IDS por sus siglas en inglés), sistemas antivirus, detectores de anomalías y comportamiento de tráfico, herramientas de monitoreo de incidentes, Sistemas de Información de Seguridad Empresarial, sistemas de correlación de eventos y otros, pero siempre es necesario entender que el cliente o usuario del servicio al final del día es el que tiene la última palabra.
Asimismo, el concepto de seguridad y conservación de activos no es un concepto fácil de asimilar. Tanto organizaciones como usuarios de servicios necesitamos meditar respecto al riesgo y la oportunidad de que la información sea explotada de manera responsable. Además, nos hace falta un mindset para lograrlo: El de entregar valor y el ser una empresa de analíticos de información ligado con los conceptos de “empresa de software” y de “seguridad” como diferenciador.
Conocer al cliente mediante la tecnología permite estar cerca de él. La movilidad de los dispositivos que los consumidores utilizan permite entregar de manera oportuna servicios e información que el cliente valore.
Es necesario reflexionar sobre qué es lo que las organizaciones queremos para nuestros clientes y cómo se les va a atender. Existe la gran oportunidad de que sean las organizaciones las que conozcan a los clientes con la información que ellos proporcionan y que dichas organizaciones puedan ofrecer mayor valor a sus clientes con esa información, tal y como lo hacen algunas redes sociales, que al saber el valor de la comunicación y nuestra naturaleza social, colectan información sobre nuestras actividades y generan valor para los usuarios por pertenecer a dicha red.
Herramientas como “Big Data” nos permiten analizar esta información, y si contamos con los mecanismos de seguridad apropiados, podremos entregar valor de manera responsable. Además, como consumidores, también tenemos que reflexionar al respecto, ya que tenemos una moneda muy poderosa en nuestros datos y una legislación que nos protege. Tal vez los proveedores de servicios gratuitos pudieran ofrecer que, por una compensación, no utilicen tus datos para analizarlos. Al final del día, si el consumidor lo requiere, puede exigir sus derechos ARCO y ejercer acciones con las bases que nuestra legislación permite.
Un caso interesante de rastreo y análisis de datos es el ResearchKit que Apple acaba de anunciar, en el cual el cliente acepta que otras organizaciones utilicen los datos para temas de investigación en salud[5].
Existen los mecanismos para el uso responsable de la información, desde herramientas de tecnología hasta la legislación. Las empresas necesitan estar conscientes de las implicaciones del manejo de la información de sus clientes y dedicar recursos suficientes para cumplir con la legislación vigente, ofrecer mayor valor a los clientes con base en lo que se especifica en la legislación y no verla como un impedimento sino como una oportunidad.
Las organizaciones deben responsabilizarse de la información de sus consumidores. El usuario debe estar al tanto de sus derechos. El área de oportunidad se encuentra en no ver a la legislación como un obstáculo sino como un habilitador para generar valor adicional con el uso responsable de la información.
Uno de los retos que afecta a la industria y que seguirá estando presente es que los reguladores y autoridades deben buscar que la inseguridad de los datos sea costosa. El primer paso ya se dio al reconocer la propiedad de la información, pero los retos continúan con los defectos en las soluciones de software (bugs) y las posibilidades que brindan a los atacantes para acceder a la información de manera no autorizada explotando dichos defectos.
Es necesario seguir trabajando para que sea más rentable ofrecer seguridad y privacidad, aunque esto requiera de controles, procesos, procedimientos, certificaciones, tecnología y personal capacitado. Es posible.
En resumen, el manejo responsable de la información es utilizar la legislación, procesos y tecnología como un diferenciador para generar valor al cliente y en realidad poderlo conocer. Estoy convencido de que en un futuro no muy lejano, la seguridad y privacidad de la información será la manera en que los servicios se evalúen y el cliente decida si los utilizará o no.
Fuentes:
- http://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf
- David & Goliath. Bruce Schneier. https://www.schneier.com/book-dg.html
[1] Ley Federal de Protección de Datos Personales en Posesión de los Particulares
http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf
http://revista.seguridad.unam.mx/numero-10/ley-federal-de-protecci%C3%B3n-de-datos-personales-en-posesi%C3%B3n-de-particulares
http://inicio.ifai.org.mx/SitePages/Como-ejercer-tu-derecho-a-proteccion-de-datos.aspx?a=m1
[2]Data Protection & Privacy in 26 jurisdictions worldwide https://www.hunton.com/files/Publication/1f767bed-fe08-42bf-94e0-0bd03bf8b74b/Presentation/PublicationAttachment/b167028d-1065-4899-87a9-125700da0133/United_States_GTDT_Data_Protection_and_Privacy_2014.pdf
Data protection in United States http://us.practicallaw.com/6-502-0467#a762707
[3] Guía Práctica para ejercer el derecho a la protección de datos personales, p.7 http://inicio.ifai.org.mx/Publicaciones/01GuiaPracticaEjercerelDerecho.pdf
[4] Atentado contra la Soberanía Nacional http://www.jornada.unam.mx/2003/04/17/edito.php
ChoicePoint y Soluciones Mercadológicas entregan a la PGR los listados ciudadanos http://www.jornada.unam.mx/2003/05/17/007n1pol.php?origen=politica.php&fly=2
[5] Apple ResearchKit https://www.apple.com/researchkit/
