No. 123 Abril - Junio 2012
ISSN 0120-5919
Tarifa Postal Reducida No. 20012-186. 4-72 La Red Postal de Colombia, vence 31 de Dic. 2012.
Asociación Colombiana de Ingeniería de Sistemas Calle 93 No. 13 - 32 of. 102 Bogotá, D.C. www.acis.org.co
En esta edición Editorial Seguridad de la información y privacidad: dos conceptos convergentes En un mundo interconectado, de información instantánea y servicios en la nube, la sobrecarga de información y la pérdida de privacidad son amenazas inminentes. De ahí que el contenido de esta edición contemple los asuntos más relevantes de ese panorama, a través de las distintas especialidades de los colaboradores. Uno de los temas de mayor alcance es la XII Encuesta Nacional de Seguridad Informática que muestra las tendencias 2011-2012 en Colombia.
4
Columnista invitado
10
Seguridad y privacidad o seguridad vs. privacidad, ¿compatibles? En este artículo se hablará del tema de la privacidad desde la perspectiva de la legislación colombiana aplicable, los pronunciamientos jurisprudenciales que ha habido, su aplicación en la empresa y una parte de conclusiones.
Entrevista Arturo Ribagorday sus experimentados conceptos “La única opción sensata —si no queremos retroceder varias décadas en la historia— es conocer los riesgos de la tecnología que nos ocupa para aprender a minimizarlos, pero sin rechazarla”, advierte enfático.
Encuesta Nacional
16
Seguridad Informática en Colombia Tendencias 2011-2012
22
Cara y Sello
50
Foro: Seguridad vs. privacidad
Los CISO´s opinan
68
Desde su criterio y práctica, se refieren a la realidad de la seguridad de la información en el país.
Uno Retos de seguridad en redes inteligentes Las redes inteligentes de distribución eléctrica tienen potencial para generar grandes beneficios económicos y ambientales. Sin embargo, también constituyen un ambiente en el que emergen múltiples retos para garantizar la seguridad de la información que se maneja.
Dos Mitos del hacking El hacking, ha sido injustamente relacionado con ilícitos y los hackers son confundidos con delincuentes, debido a diversos mitos que resultan equívocos, toda vez que ser hacker implica desarrollar un pensamiento diferente, y hacking, una actitud loable hacia la creación y el conocimiento compartido, en cualquier campo.
Tres
78
84
88
La privacidad de los datos: un reto empresarial técnico-jurídico
SISTEMAS
1
Publicación de la Asociación Colombiana de Ingenieros de Sistemas (ACIS) Resolución No. 003983 del Ministerio de Gobierno Tarifa Postal Reducida No. 2012-186.4-72 Servicios Postales Nacionales ISSN 0120-5919 Apartado Aéreo No. 94334 Bogotá D.C., Colombia Dirección General Francisco Rueda Fajardo Consejo de Redacción Julio López M. María Esperanza Potes L. Gabriela Sánchez A. Jeimy J. Cano Manuel Dávila S. Editor Técnico Jeimy J. Cano Editora Sara Gallardo M. Junta Directiva ACIS 2011-2012 Presidente Francisco José Quintana Ramírez Vicepresidente Víctor Manuel Toro Córdoba Secretaria Fabiola del Toro Osorio Tesorero María Mercedes Corral Strassman Vocales Sandra Lascarro Mercado John Jairo Romero Sandoval Camilo Rodríguez Acosta Directora Ejecutiva Beatriz E. Caicedo R. Diseño y diagramación Bruce Garavito Impresión Javegraf
Los artículos que aparecen en esta edición no reflejan necesariamente el pensamiento de la Asociación. Se publican bajo la responsabilidad de los autores. Abril-Junio 2012 Calle 93 No.13-32 Of. 102 Teléfonos 616 1407 – 616 1409 A.A. 94334 Bogotá D.C. www.acis.org.co
SISTEMAS
3
Editorial
Seguridad de la información y privacidad: dos conceptos convergentes En un mundo interconectado, de información instantánea y servicios en la nube, la sobrecarga de información y la pérdida de privacidad son amenazas inminentes. De ahí que el contenido de esta edición contemple los asuntos más relevantes de ese panorama, a través de las distintas especialidades de los colaboradores. Uno de los temas de mayor alcance es la XII Encuesta Nacional de Seguridad Informática que muestra las tendencias 2011-2012 en Colombia. Jeimy J. Cano, Ph.D, CFE En ese contexto, el concepto de privacidad y las tensiones naturales con las exigencias corporativas son elementos que requieren analizarse, para reconocer los límites y balances que deben existir, orientados a mantener una coexistencia para asegurar un adecuado manejo de la información, además de mantener y fortalecer un cuidado estricto sobre la información personal. Algunos estudios internacionales, entre ellos el de Ernst and Young 2012, señalan que la administración de la privacidad en las organizaciones, se encuentra influenciada al menos por tres elementos claves: el fraude, la economía y las regulaciones. El fraude, generalmente materializado a través de múltiples individuos o eventos, con acceso a información personal con propósitos crimi-
4
SISTEMAS
nales, políticos o de monitoreo; es una tendencia que revela la fragilidad interna de las empresas frente a los estándares de ética, los valores personales y la cultura corporativa. De otra parte, la economía internacional, como aspecto complementario al anterior, propone un ambiente de incertidumbre, de inestabilidad, que confronta la seguridad financiera y valores personales atentando contra el balance natural de las necesidades humanas, es otro detonador que revela la necesidad de acceso a información para mantener el seguimiento de los hábitos financieros de los individuos. Finalmente, las regulaciones que como menciona el estudio Ernst and Young son un ejercicio de nunca terminar, demandan un esfuerzo importante por parte de las empresas,
para mantener un ambiente de control conocido y confiable, que permita generar la confianza requerida tanto para la empresa en su relación con los inversionistas, como para los individuos en el contexto del manejo de sus datos. Así las cosas y como quiera que esta realidad de la privacidad y la seguridad de la información de las personas son un reto propio de una sociedad de la información y el conocimiento, es imperioso encontrar referentes, experiencias y buenas prácticas que nos permitan abordar y sintonizar las garantías constitucionales de los ciudadanos, con las posibilidades y necesidades de los estados para potenciar sus capacidades de seguridad y control. Privacidad de los datos Entrar en los terrenos de la privacidad es reconocer los derechos y deberes que los ciudadanos tienen respecto de la información personal. En este sentido, el NIST – National Institute of Standard and Technology (2010) define la información de identificación personal (PII – Personal Identifiable Information) como “(…) cualquier información acerca de un individuo gestionada por una agencia, incluyendo (1) cualquier información que pueda ser usada para distinguir o seguir la identidad de un individuo, como puede ser su nombre, número de seguro social, fecha y lugar de nacimiento, apellido de la madre o registros biométricos; y (2) cualquier otra información que vincule o asocie a un individuo, como puede ser información médica, educacional, financiera y laboral.” Esta definición establece con claridad la exigencia que cualquier empresa tiene con el manejo y uso de la información, frente a las garantías constitucionales que cada ciudadano tiene, con respecto a su información. Esto es, que cada organización debe atender no sólo las exigencias regulatorias respecto a la información personal, sino desarrollar los mecanismos y estrategias que permitan su adecuada administración, lo que generalmente incluye aspectos como su recolección, uso, procesamiento, almacenamiento y revelación. Si bien, en el mundo existen diferentes iniciativas relacionadas con la protección de los datos personales, es claro que las organi-
zaciones y los estados están recientemente tomando atenta nota sobre estas consideraciones. El estudio de tendencias en privacidad realizado por la empresa de consultoría antes mencionada (ERNST AND YOUNG 2012), establece que el 73% de las empresas entienden claramente las regulaciones relativas a la privacidad y sus impactos a nivel corporativo; sin embargo, sólo un 30% tiene implementados mecanismos reales que permitan monitorear y mantener los controles relacionados con la privacidad de los datos. Ante el escenario jurídico colombiano la Corte Constitucional ha venido consolidando jurisprudencia sobre el tema por más de 10 años, lo cual establece el desarrollo de un derecho fundamental denominado hábeas data. Dicho derecho, es un reconocimiento de la autodeterminación informática de las personas, cuyo eje fundamental está asociado con conocer, rectificar y actualizar la información del titular en cualquier medio o condición que se encuentre la misma. Como quiera que la privacidad es un derecho fundamental y que su protección depende de un ejercicio razonable de prácticas de seguridad y control que permita su adecuado tratamiento, es necesario identificar todos aquellos sitios o fuentes donde se pueda tener información de carácter personal, para establecer el marco general de cumplimiento requerido que asegure el compromiso de la gerencia frente a esta realidad. Seguridad de los datos De acuerdo con SHAW (2011, págs. 2 y 3) los ejecutivos globales necesitan conocer: • Las fases y entregables del ciclo de vida de la privacidad y la seguridad de la información. • Conocer los riesgos e impactos relacionados con la seguridad de la información y la privacidad. • Las razones fundamentales referentes a la protección de los datos. • Los costos y otros impactos de las brechas de seguridad y la subsecuente pérdida y revelación de información. • La relación existente entre seguridad de la información y privacidad. En este contexto, los ejecutivos corporativos caminan sobre aguas desconocidas, toda vez
SISTEMAS
5
que aunque conocen la existencia de mecanismos y prácticas relacionados con la protección de la información empresarial, cuentan con pocos detalles del estado de las mismas y sus impactos frente a la confianza, reputación y relacionamiento internacional con sus socios de negocio. En consecuencia, SHAW propone un ciclo de vida para la privacidad y la seguridad de la información, como una forma de establecer un tenor concreto de las responsabilidades, exigencias y cumplimiento que las organizaciones deben considerar cuando de atender las obligaciones, riesgos y tratamiento de la información se requiere; no sólo para verificar que se consideran las regulaciones del caso, sino para comprender que tanto la seguridad como la privacidad son disciplinas complementarias, que hacen de su aplicación una forma de elevar la confianza de los grupos de interés frente a sus intereses empresariales. El ciclo propuesto establece cinco pasos: 1. Identificar y revisar los estatutos y regulaciones aplicables a la organización Este primer paso demanda que las organizaciones cuenten con un observatorio permanente de regulaciones y leyes de cada una de las regiones o sectores donde opera la empresa, de tal forma que desarrolle un diagnóstico concreto sobre las condiciones actuales de su cumplimiento frente a las prácticas corporativas respecto del tema. 2. Identificar y analizar las fuentes potenciales de responsabilidad Esta fase pretende que la organización establezca un análisis exhaustivo de activos de información existente, que permita determinar el alcance de las responsabilidades y el ejercicio de controles requerido por la empresa. Esta identificación pasa por el análisis de hardware, software, aplicaciones (am-bientes de pruebas, calidad y producción), redes y facilidades que las empresas utilizan para la transmisión de datos, propietarios y custodios de información. 3. Aplicación de políticas y valoraciones de riesgos Por un lado esta etapa busca revelar las
6
SISTEMAS
políticas de seguridad y control de la organización y cómo estas son aplicadas y verificadas en el contexto del inventario de activos de información previamente identificado. De igual forma, este marco de actuación frente a la protección de la información debe contar con un tono claro de la gerencia, que imprima la relevancia del tema en las agendas estratégicas de los ejecutivos de primer nivel, así como en la cultura de sus empleados. Así mismo, las valoraciones de riesgo deben mantener una vista integrada del nivel de exposición de la organización frente a eventos de falla parcial o total, con el fin de mantener una postura proactiva frente a las amenazas y vulnerabilidades que puedan afectar el modelo de generación de valor del negocio. 4. Diseño, aplicación y validación de los controles de seguridad y privacidad de la información Una vez identificados los riesgos y sus impactos sobre los activos de información relevantes para la empresa, es necesario identificar o diseñar las medidas de mitigación de los mismos y asegurar la efectividad de éstas. En particular, se cuentan con listas de controles generalmente aceptados en documentos como: - NIST Special publication 800-53. Recommended security controls for Federal Information Systems and Organizations - ISO 27002 - COBIT de ISACA. En particular, en esta etapa se requiere una especial coordinación entre los objetivos de los controles seleccionados, de tal forma que se ajusten tanto a las necesidades de privacidad como a las de seguridad, de manera que el mínimo de controles aplicados ofrezcan una vista estandarizada, confiable y verificable del ambiente de control requerido para los datos claves de la empresa. 5. Asegurar el cumplimiento, los procesos de auditoría y certificación Una vez implementados el conjunto mínimo de controles y su uso en la operación diaria de la empresa, éstos deben ser monitoreados y verificados frente a los objetivos
de seguridad y privacidad de la empresa, así como de los requisitos legales de cumplimiento normativo nacional o internacional. Para ello, esta fase exige un seguimiento y reporte periódico de monitoreo interno de la efectividad de los controles, sin perjuicio de evaluaciones y auditoría externas que se planteen por parte de entes de supervisión y vigilancia para conocer el estado de modelo de seguridad, control y privacidad de la organización. Si las organizaciones toman este ciclo y lo incorporan como un ejercicio sistemático propio y relevante para los objetivos de negocio de la empresa, habrá menos sorpresas en el futuro inmediato frente a incidentes que afecten la reputación y los planes estratégicos de la empresa, generando un ambiente propicio para consolidar relaciones de confianza con inversionistas y terceros interesados que confirmen como anota GAFF y SMEDINGHOFF (2012), que “la seguridad de la información ya no es solamente una buena práctica de negocio, sino un requerimiento legal”. Algunas consideraciones jurídicas acerca de la privacidad y seguridad de los datos Considerando los altos costos que implican las brechas de seguridad y la revelación de información sensible, es necesario que las organizaciones adelanten medidas adecuadas y razonables para asegurar el debido cuidado sobre el tratamiento de la información, tanto en medios digitales como físicos. En este sentido, se extienden obligaciones legales que las empresas deben atender, so pena de enfrentarse a demandas o sanciones que impacten su flujo de caja, reputación o posición preferente en un sector de la economía. Por tanto, afirma SHAW (pág.16, 2011) que para el desarrollo de un debido cuidado en la protección de la información en las empresas modernas se requiere un esfuerzo multidisciplinario conjunto, con el concurso de al menos tres grupos de profesionales: • Profesionales de la seguridad de la información para evaluar los impactos relevantes de las amenazas y vulnerabilidades de la información. • Profesionales en tecnologías de información, para implementar las soluciones
adecuadas en los ambientes técnicos establecidos. • Profesionales de las ciencias jurídicas para analizar y recomendar frente a las obligaciones legales y contractuales, así como de los aspectos de cumplimiento requeridos frente a ordenamientos nacionales e internacionales. En consecuencia, no podemos comprender el fenómeno de la privacidad sólo desde la perspectiva técnica, sino como un referente holístico que, a partir de la esfera personalísima del individuo, es capaz de extenderse y reclamar su protección, a través de diversos ambientes empresariales, para conducir el cumplimiento legal de un derecho que es tan antiguo y tan nuevo como la humanidad. Habida cuenta de lo anteriormente detallado, la Corte Constitucional de Colombia, ha venido ilustrando su punto de vista y consideraciones al respecto donde establece su posición frente a la información reservada como se advierte en la sentencia c-334 de 2010: “La información reservada es aquella que sólo interesa al titular en razón a que está estrechamente relacionada con la protección de sus derechos a la dignidad humana, la intimidad y la libertad; como es el caso de los datos sobre la preferencia sexual de las personas, su credo ideológico o político, su información genética, sus hábitos, etc. Estos datos, que han sido agrupados por la jurisprudencia bajo la categoría de “información sensible”, no son susceptibles de acceso por parte de terceros, salvo que se trate en una situación excepcional, en la que el dato reservado constituya un elemento probatorio pertinente y conducente dentro de una investigación penal y que, a su vez, esté directamente relacionado con el objeto de la investigación. (…)” En atención al concepto previo y considerando que legalmente tenemos una definición concreta de lo que se debe entender por información sensible, los responsables de la seguridad de la información deben señalar con claridad este tipo de información en los análisis de riesgos que se adelanten frente al riesgo de pérdida y/o fuga de información, conociendo los impactos legales que pueden enfrentar las empresas, teniendo en cuenta que no sólo se
SISTEMAS
7
está en presencia de una brecha o incidente de seguridad de la información, sino frente a la vulneración de un derecho constitucional que define un bien jurídico que el Estado desea proteger como lo es la dignidad, el buen nombre o la privacidad, como garantía constitucional de los ciudadanos. Reflexiones finales Cuando desarrollamos modelos de seguridad de la información en las organizaciones, la identificación de activos de información se adelanta alrededor de aquellos objetos claves de negocio, con el fin de entender la generación de valor de la empresa y cómo protegerlo, pero por lo general, no toma en consideración elementos propios de las obligaciones legales propias de la información, sino sólo aquellas que le son pertinentes para sus relaciones con los socios del negocio. Esta postura algo desafiante y arriesgada, ignora la relevancia constitucional que el tema tiene y la necesidad formal que el Estado requiere para dar cuenta de derechos fundamentales que los ciudadanos tienen respecto de su información. En este sentido, la Corte Constitucional Colombiana en su sentencia c-1011 de 2008 confirma nuevamente el derecho de hábeas data “como aquel que otorga la facultad al titular de datos personales de exigir de las administradoras de esos datos el acceso, inclusión, exclusión, corrección, adición, actualización y certificación de los datos, así como la limitación en las posibilidades de divulgación, publicación o cesión de los mismos, de conformidad con los principios que regulan el proceso de administración de datos personales.(…)” lo que inmediatamente amplía el espectro de actuación del modelo de seguridad de la información y sus prácticas, para dar cum-plimiento a las expectativas naturales de las personas frente a la privacidad a su información. En este sentido, cuando hablemos de seguridad de la información o privacidad, no debe existir una separación de prácticas en el tratamiento de la información, sino el reconocimiento de una vista convergente entre derechos y principios de protección, que buscan establecer un referente natural de confesión de deberes y derechos de los individuos frente a la recolección, uso, reten-
8
SISTEMAS
ción, transferencia y disposición final de la información. Esto es, construir un marco general de controles mínimos que permitan darle tranquilidad a la gerencia frente a los requisitos de cumplimiento legal y normativo, así como de disponer de mecanismos de verificación que permitan que los individuos puedan hacer uso efectivo de sus derechos constitucionales. Si bien las redes sociales y el paradigma de la movilidad pondrán nuevamente a prueba el hábeas data, se requiere que los ejecutivos de seguridad de la información, consideren dentro de los diseños de seguridad y control corporativos, elementos propios que aseguren los datos personales, que bien pudieran ser aquellos propuestos por la doctora Cavoukian en su modelo denominado “privacidad por diseño”, el cual consta de siete principios fundamentales para proteger la información personal: (CAVOUKIAN 2011) • Sea proactivo y preventivo. • Haga de la privacidad una configuración por defecto en los sistemas de tecnología de información. • Incorpore la privacidad entre los diseños y arquitectura de los sistemas de tecnología de información. • Tome un enfoque de suma positiva, en lugar de uno de suma cero (privilegie la protección del dato personal, y no sólo el cumplimiento normativo). • Incorpore la privacidad de principio a fin dentro del sistema de seguridad del sistema de tecnología de información. • Provea visibilidad y transparencia. • Respete la privacidad del usuario. Como quiera que el reto de la privacidad en nuestra sociedad actual requiere un entendimiento mucho más elaborado del que actualmente tenemos, es preciso continuar incorporando dentro de los ordenamientos jurídicos los aspectos técnicos requeridos para darle un sentido efectivo a los derechos fundamentales que cada persona tiene frente a la información y de igual forma, nutrir las prácticas de seguridad de la información con los componentes constitucionales para repensar la protección de la información más allá de los aspectos de cumplimiento, sino en el contexto del perfeccionamiento del estado social y democrático de derecho.
No sabemos en qué momento una falla de seguridad de la información se puede presentar, ni bajo qué condición ésta puede poner a tambalear nuestros más elaborados pronósticos; pero sí debemos conocer cómo vamos a responder y mantener la operación de las empresas, no sólo para cumplir con un requisito legal o exigencia corporativa, sino para entender que en la práctica de aseguramiento y control corporativo, la información es la savia que sostiene la competitividad corporativa y la fuente natural de un derecho propio de cada ser humano.
constitucionalidad del Proyecto de Ley Estatutaria No. 27/06 Senado – 221/07 Cámara (Acum. 05/06 Senado) “por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones.” Magistrado Ponente: Jaime Córdoba Triviño. Disponible en: http://www.corteconstitucional.gov.co/ relatoria/2008/c-1011-08.htm (Consultado: 2403-2012)
Referencias
[5] CORTE CONSTITUCIONAL (2010) Sentencia C-334. Demanda de inconstitucionalidad contra el artículo 16, inciso 1º (parcial) de la ley 1142 de 2007 y contra el artículo 245, inciso 2º, de la Ley 906 de 2004 (Código de Procedimiento Penal). Magistrado Ponente: Juan Carlos Henao Pérez. Disponible en: http://www.corteconstitucional.gov.co/ relatoria/2010/c-334-10.htm (Consultado: 2403-2012)
[1] ERNST AND YOUNG (2012) Privacy trends 2012. The case for growing accountability. Insights on IT Risk. January. Disponible en: http://www.ey.com/Publication/vwLUAssets/Pr ivacy_trends_2012/$FILE/Privacy-trends2012_AU1064.pdf (Consultado: 24-03-2012) [2] GAFF, B. y SMEDINGHOFF, T. (2012) Privacy and data security. IEEE Computer. March. [3] SHAW, T. (2011) Information security and privacy. A practical guide for global executives, lawyers and technologists. American Bar Association. ABA Section of Science & Technology. [4] CORTE CONSTITUCIONAL DE COLOMBIA (2008) Sentencia C-1011. Revisión de
[6] NIST (2010) Guide to protecting the confidentiality of Personally Identifiable Information. April. Disponible en: http://csrc. nist.gov/publications/nistpubs/800-122/sp800122.pdf (Consultado: 24-03-2012). [7] CAVOUKIAN, A. (2011) Privacy by design. Disponible en: http://privacybydesign.ca/ content/uploads/2009/08/7foundationalprincipl es-spanish.pdf (Consultado: 24-03-2012).
Jeimy J. Cano, Ph.D, CFE. Miembro investigador del Grupo de Estudios en Comercio Electrónico, Telecomunicaciones e Informática (GECTI) de la Facultad de Derecho y Profesor Distinguido de la misma Facultad. Universidad de los Andes. Colombia. Ingeniero y Magíster en Ingeniería de Sistemas y Computación de la Universidad de los Andes. Ph.D in Business Administration de Newport University, CA. USA. Executive Certificate in Leadership and Management del MIT Sloan School of Management, Boston. USA. Egresado del programa de formación ejecutiva Leadership in 21st Century. Global Change Agent, de Harvard Kennedy School of Government, Boston. USA. Profesional certificado como Certified Fraud Examiner (CFE) por la Association of Certified Fraud Examiners. jjcano@yahoo.com
SISTEMAS
9
Columnista Invitado
Seguridad y privacidad o seguridad vs. privacidad, ¿compatibles? En este artículo se hablará del tema de la privacidad desde la perspectiva de la legislación colombiana aplicable, los pronunciamientos jurisprudenciales que ha habido, su aplicación en la empresa y una parte de conclusiones. Rafael Hernando Gamboa Bernate
1
Cuando pensamos en seguridad de sistemas de información, se piensa sobre todo y casi exclusivamente, en la protección de una estructura e información, sin detenernos a pensar en cómo logramos el fin, seguridad, sin preocuparnos por los medios. Dentro de los “medios”, se encuentra la privacidad de las personas que participan en la cadena que procura la citada seguridad. En Colombia, tradicional e históricamente, la privacidad no había tenido mayores desarrollos, contrario a otras latitudes, estuvo circunscrito a un factor de seguridad y netamente económico. Yo no quería que se supiera cuál era mi patrimonio, porque podría volverme un objetivo de bandas delincuenciales.
El que las personas supieran mis datos diferentes a los financieros, no me generaba mayor intranquilidad y es así como aún hoy, entrego muchísima de mi información a cambio de un descuento, una camiseta, una calcomanía, una cara bonita o simplemente porque me la piden. Nunca me detengo a pensar ni mucho menos a preguntar, quién la va a tener, para qué, con qué seguridad va a contar o a quién y para qué se la va a entregar. Por mucho tiempo, toda esta información se guardaba e indexaba en unas bases de datos, de una forma muy básica y limitada, no sólo por la dificultad que implicaba su traspaso, sino porque su uso era bastante restringido, así como el de sus cruces, casi inexistentes.
1 Las expresiones expresadas en el presente artículo corresponden exclusivamente al autor y no responden de manera alguna, ni refleja el pensamiento de las entidades con que ha tenido y tiene relación.
10
SISTEMAS
Con el desarrollo de los sistemas de información y de las comunicaciones, a estas bases de datos les crecieron las finalidades de uso e interesados. Al estar indexadas y en formato electrónico, se permitió su cruce, almacenaje, realización de perfiles y su envío, de una manera muy eficiente y exacta. Dentro de la información “privada” o de datos personales, se incluye toda aquella que de una manera directa o indirecta puede identificar, individualizar o agrupar a una persona en un segmento determinado. Unos ejemplos de esta información son los datos biográficos, raza, familiares, direcciones IP, domicilio, laborales, política, hobbies, financiera, estado civil, afiliaciones, impuestos, bienes, sanciones, sexo, genética, hijos, salarios, alcoholismo, deudas, calificaciones, viajes, talla, colores favoritos, gustos, salud, tarjetas de crédito, datos biométricos, estrato, religión, cumplimiento de obligaciones entre otros… es decir, todo. La finalidad de este escrito, no es hablar de la seguridad, de ese tema se ocuparán en este número personas más calificadas. En este artículo se hablará sobre la privacidad, desde la perspectiva de la legislación colombiana aplicable, los pronunciamientos jurisprudenciales que ha habido, su aplicación en la empresa y una parte de conclusiones.
conoce como el derecho del Hábeas Data, o el derecho que tienen todas las personas de conocer y controlar la información que sobre ellos reposan en los bancos de datos y archivos de entidades públicos y privados. Dice el artículo 15 de la Constitución colombiana: “ARTÍCULO 15. Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución. La correspondencia y demás formas de comunicación privada son inviolables. Sólo pueden ser interceptadas o registradas mediante orden judicial, en los casos y con las formalidades que establezca la ley. Para efectos tributarios o judiciales y para los casos de inspección, vigilancia e intervención del Estado podrá exigirse la presentación de libros de contabilidad y demás documentos privados, en los términos que señale la ley”.
No se busca que sea un manual, se busca por un lado sentar la alerta de que la privacidad es un aspecto bien delicado, al que hay que prestarle atención y por otro, poner de presente los principales aspectos que se deben tener en cuenta, al tratar y manejar información que potencialmente sea objeto de privacidad.
La pregunta que surge es, si este derecho existe de manera expresa en la Constitución de 1991, ¿por qué sólo hasta ahora es un tema que se menciona tanto? La respuesta, como se dijo en la parte introductoria, es porque el desarrollo de la tecnología, por el vacío normativo y la integración internacional, demanda de un tiempo para acá, un desarrollo regulatorio más amplio que el que se venía presentando.
1. Regulación en Colombia Constitución Nacional En el artículo 15 de la Constitución que nos rige desde 1991, se establece lo que se
Efectivamente, la gran mayoría de los desarrollos del citado artículo 15 de la Constitución, se daban vía tutela, cuando una persona solicitaba un crédito y la SISTEMAS
11
entidad verificaba en las centrales de riesgo y al encontrar que estaba “reportada”, procedía, entre otros criterios2, a rechazar el crédito. Ante el rechazo del crédito, por estar reportada, se iniciaron muchísimas acciones de tutela en contra de las centrales de riesgo, que, al amparo del artículo 15 de la Constitución, le ordenaba a la central de riesgo o “Cifin” y “Datacrédito”, retirar a la persona.3 Ley de Hábeas Data I Ante esta situación, las Centrales de Riesgo y el Gobierno nacional interesados en fijar políticas de protección de datos personales para cumplir con estándares europeos de protección y poder ser sede de callcenters, promovieron una iniciativa legal que concluyó en la ley estatutaria 1266 de 2008: “Por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones”. Esta Ley Estatutaria 1266 de 2008, básicamente lo que regula es: (i) unos principios de veracidad, finalidad, circulación restringida, temporalidad, interpretación integral, seguridad y confidencialidad de la información, (ii) la forma de circulación de la información, (iii) la determinación, alcance, derechos y obligaciones de los operadores, la fuente y los usuarios. Esta ley regula la forma y es un verdadero “manual de procedimiento” de la información de los ciudadanos. Es im2
portante recordar que el artículo 18 establece las sanciones ante el incumplimiento así: “ARTÍCULO 18. SANCIONES. La Superintendencia de Industria y Comercio y la Superintendencia Financiera podrán imponer a los operadores, fuentes o usuarios de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países previas explicaciones de acuerdo con el procedimiento aplicable, las siguientes sanciones: Multas de carácter personal e institucional hasta por el equivalente a mil quinientos (1.500) salarios mínimos mensuales legales vigentes4 al momento de la imposición de la sanción, por violación a la presente ley, normas que la reglamenten, así como por la inobservancia de las órdenes e instrucciones impartidas por dicha Superintendencia. Las multas aquí previstas podrán ser sucesivas mientras subsista el incumplimiento que las originó”. “El año pasado, la Superintendencia de Industria y Comercio (SIC), impuso multas relacionadas con mal manejo de información por 2.300 millones de pesos y, en los cuatro primeros meses de 2012, las sanciones ya van en 825 millones de pesos”.5 Aunque esta ley pretendió cobijar la protección íntegra del hábeas data que trata el publicitado artículo de la Constitución, en la revisión constitucional, así como en sendos conceptos de la Superintendencia de Industria y Comercio y de la Superintendencia Financiera, se afirmó que la ley 1266 de 2008 sólo aplica para información concerniente al surgi-
La Superintendencia Financiara, antes Bancaria, ha proferido varias circulares donde instruye a las entidades de crédito que no puede rechazar una solicitud, “por el solo hecho” d estar reportada la persona, sino que debe hacer una análisis íntegro del solicitante. 3 Es importante que estas centrales de riesgo, lo único que hacen es recibir la información que le proporcionan empresas. 4 Equivalen al 2012 a $951´750.000 aproximadamente. 5 www.portafolio.co Mayo 27 de 2012 http://www.portafolio.co/economia/colombia-aprieta-clavijas-proteccion-hábeas-data
12
SISTEMAS
miento, cumplimiento y extinción de obligaciones dinerarias. Ley de delitos informáticos Se afirma que “el derecho sigue a los hechos”, quiere decir lo anterior que las normas lo que hacen es regular situaciones que se den en la sociedad. Los hechos actuales son tecnológicos, por lo que la regulación tendrá que entrar a regular los hechos tecnológicos. En el sector financiero, históricamente el más atacado por piratas informáticos, se vio en la necesidad de regular las actividades que causaban un perjuicio mediante el empleo de herramientas informáticas. La preocupación del sector financiero se incrementó al ver que las actividades ilícitas en contra del sistema financiero, estaban siendo desechadas por el órgano judicial, al considerar que no existía regulación aplicable a los “delitos informáticos”. Por lo anterior, se presentó y expidió la ley 1273 de 2009, por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado -denominado “de la protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones. La finalidad de esta regulación fue establecer como delito las actividades que se cometieran utilizando herramientas electrónicas. Las normas que hay son: “Artículo 269A: Acceso abusivo a un sistema informático. Artículo 269B: Obstaculización ilegítima de sistema informático o red de telecomunicación. Artículo 269C: Interceptación de datos informáticos. 6
Artículo 269D: Daño Informático. Artículo 269E: Uso de software malicioso. Artículo 269F: Violación de datos personales. Artículo 269G: Suplantación de sitios web para capturar datos personales. Artículo 269H: Circunstancias de agravación punitiva: Artículo 269I: Hurto por medios informáticos y semejantes. Artículo 269J: Transferencia no consentida de activos.” En esta clasificación y con relación directa a la seguridad, llaman la atención los artículos 269A y 269F. En el primero, se establecen dos criterios, el abuso y el romper medida de seguridad; es decir, si existe un oficial de seguridad podrá hacerlo sin que se incurra en lo establecido, toda vez que cuenta con autorización (desvirtuando el abuso); y, acceder sin necesidad de romper seguridad, por tener un perfil de superusuario. En cuanto al artículo 269F, se establece que: “Artículo 269F: Violación de datos personales. El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes”.6 Como se ve, los delitos tipificados nada tienen de novedoso, son simplemente la materialización de hechos y actividades ya existentes, como son el hacking, DoS,
Equivalente de $63´450.000 a $634´500.000 en el 2012.
SISTEMAS
13
virus, troyanos, phishing, realización, manipulación y uso de datos personales entre otros. Ley de Hábeas Data II Frente a la limitante de ser la Ley 1266 de 2008 sólo para obligaciones financieras y al persistir la necesidad e interés de regular toda la demás información no financiera, está en trámite el proyecto de ley estatutaria No.184 de 2010 Senado, 046 de 2010 Cámara, por el cual se dictan disposiciones generales para la protección de datos personales.7 Este proyecto está en la Corte Constitucional y ya tuvo visto bueno, se espera que en los próximos meses sea enviado a la Presidencia para su respectiva sanción. Este proyecto una vez sea proferido, entrará a regular todos los aspectos relacionados con cualquier tipo de información y bases de datos, excluida la financiera y trae igualmente sanciones así: “a) Multas de carácter personal e institucional a favor de la Superintendencia de Industria y Comercio hasta por el equivalente de dos mil (2.000) salarios mínimos mensuales legales vigentes8 al momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó”.
de sentencias donde, en resumen, se ha protegido que, aun habiendo acuerdos y suscripción de políticas, la intimidad de las personas, respecto de los equipos de cómputo es inviolable. Fue así como se protegió “…la intimidad, la honra y al buen nombre, así como a la autodeterminación sobre su propia imagen…” por fotos de contenido sexual, encontrados en equipo de cómputo de la empresa, a pesar de haberse suscrito una política que establecía la expresa prohibición de usar los equipos par asuntos privados.9 En otro caso ante una orden de un juez de sacar copia de los correos institucionales, no se vulneró “… la intimidad o a la inviolabilidad de la correspondencia” cuando se obtienen copias electrónicas dentro de un proceso y bajo el mandato del juez”.10 Dentro de un proceso, se aportaron unos correos electrónicos enviados por el demandado y la Corte Constitucional, protegió “…la intimidad, debido proceso y acceso efectivo a la administración de justicia…” por correos electrónicos obtenidos sin autorización judicial.11
Como se ve, todas aquellas personas que posean datos o bases de datos de terceros y que no cumplan con lo que dispone la ley, se podrán ver inmersas en las responsabilidades y sanciones antes mencionadas.
Como se desprende de lo anterior, en Colombia, existe un criterio constitucional unificado en la línea que por cuenta del artículo del Hábeas Data de la Constitución, no existe causal ni justificación alguna para que so pretexto de la seguridad, se vulnere la privacidad de las personas.
2. Pronunciamientos jurisprudenciales en Colombia Con relación a la privacidad, vía de tutela, la Corte Constitucional ha proferido un par
3. Desarrollos internacionales A nivel internacional y en aras del tiempo y del espacio de este artículo, basta con afirmar que en la actualidad y como
7
http://www.hábeasdata.org.co/wp-content/uploads/2010/12/Informe-Conciliaci%C3%B3n1.pdf Aproximadamente $634´500.000, para el 2012. 9 C.C. 24-May.-07 M.P. Jaime Córdoba Triviño. 10 HCSJ 4-Sep.-07 M.P. Arturo Solarte Rodríguez. 11 C.C. 18-Sep.-08 M.P. Clara Inés Vargas Hernández. 8
14
SISTEMAS
consecuencia de muchas condenas en contra de las empresas y organizaciones, los empleados no deben esperar ningún tipo de privacidad, cuando empleen herramientas, correo o conexiones de la empresa u organización. La anterior conclusión, extraña para nuestra cultura jurídica, fue el resultado de analizar la responsabilidad de una empresa por algún actuar de su empleado, frente a lo que se concluyó que no había sido lo suficientemente diligente, en el control y monitoreo de la actividades de sus empleados. 4. Aplicación en la empresa Al estar dentro de una organización, se debe evaluar cómo realizar mejor nuestro trabajo, sin que se vulneren los derechos de los trabajadores. Uno de estos derechos que cobra cada vez más relevancia es el de la privacidad, la cual puede verse seriamente afectada
por políticas de seguridad que deba implementar la organización. Dicho de otra manera ¿cómo puedo hacer bien mi trabajo de seguridad, si precisamente un aspecto muy importante es tener la capacidad de monitorear actividades que sean potencialmente riesgosas a los sistemas de una organización? La respuesta sale de la pregunta misma ¿cuál es el fin? La seguridad; ¿cuál es el medio? Supervisar; ¿puedo verme enfrentado a potenciales demandas legales por la supervisión? La respuesta es sí. Finalmente, ¿qué probabilidades tengo de perder las demandas? Altas, y ¿entonces? Hay que hacer un análisis sobre los eventuales riesgos frente a la potencialidad de reclamaciones judiciales, las cuales serán en su mayoría acciones de tutela. Una última pregunta ¿cuál es la finalidad y obligación del gerente de seguridad?
Rafael Hernando Gamboa Bernate. Abogado de la Pontificia Universidad Javeriana de Bogotá. Master en leyes (LL.M.) en Tecnologías de la Información y Privacidad de The John Marshall Law School Chicago. Master en leyes (LL.M.) en Propiedad Intelectual de The John Marshall Law School Chicago. Ha sido Profesor de posgrado en la Universidad de los Andes, UPB Bucaramanga, UPB Medellín, Universidad de Antioquia, Universidad Javeriana Bogotá, Universidad Externado, Universidad del Rosario, Universidad de la Sabana, Universidad Sergio Arboleda. Trabajó con el Centro de Arbitraje y Conciliación de la Cámara de Comercio de Bogotá, también trabajó con el Consorcio Canales Nacionales Privados de Televisión Caracol Televisión y RCN Televisión. En la ciudad de Chicago trabajó con el Latinamerican Legal Initiatives Council -LALIC- del American Bar Association. Arbitro de la Cámara de Comercio de Bogotá, Miembro del Instituto Colombiano de Derecho Procesal. Miembro del Grupo GECTI de la Universidad de los Andes. Es asesor del Banco Mundial y del Banco Interamericano de Desarrollo en temas de justicia. Actualmente es miembro de la oficina de Abogados Bernate & Gamboa Abogados. rhgb@bernateygamboa.com y Socio Fundador de la empresa de consultoría.
SISTEMAS
15
Entrevista
Arturo Ribagorda y sus experimentados conceptos “La única opción sensata —si no queremos retroceder varias décadas en la historia— es conocer los riesgos de la tecnología que nos ocupa para aprender a minimizarlos, pero sin rechazarla”, advierte enfático. Sara Gallardo M. A Arturo Ribagorda Garnacho, nacido en Madrid, España, doctor en informática y catedrático de la universidad Carlos III en su ciudad natal, le encanta la historia y se declara un apasionado lector de novelas y ensayos. “También me considero melómano y disfruto mucho paseando, principalmente por el campo. En todo caso mi afición primera, desde muy pequeño, ha sido la astronomía”, agrega con cierta nostalgia porque la academia lo atrapó desde sus primeros pasos profesionales. Muchas cosas dejó aplazadas por no privarse del contacto permanente con sus alumnos, que dice “me permiten envejecer –o esa ilusión tengo-, con más lentitud”. Pero el mundo empresarial también lo atrajo y desde hace cuatro años optó por guardar en la memoria los múltiples cargos desempeñados como docente, para dirigir lo que él denomina su grupo de seguridad de las Tecnologías de la Información, cuya composición y trabajos se pueden consultar en www.seg.inf.uc3m.es. 16
SISTEMAS
Con la satisfacción a cuestas valora lo adquirido en los espacios por los que ha transitado. “El conocimiento de dos mundos tan distintos como el académico y el empresarial -también este imprescindible para no terminar investigando sobre el sexo de los ángeles, tentación extendida entre algunos académicos-”. De ahí que recurramos a su vasta experiencia para nutrir a nuestros lectores con sus opiniones en torno a la seguridad, la privacidad y los sistemas de información, asuntos determinados por el uso de los nuevos desarrollos tecnológicos. Revista Sistemas: Las nuevas tecnologías informáticas y su permanente evolución han generado cambios en el ser humano, sobre su forma de actuar y de pensar dentro de la sociedad. De ahí la necesidad de crear un espectro que contemple el alcance de tales desarrollos, dentro de unos códigos éticos encaminados a proteger la seguridad, la privacidad y los sistemas de
información, además de regular el saber y la práctica informáticas. ¿Cuáles son sus consideraciones al respecto?
tuye en la piedra angular de las leyes de protección de datos y debe guiar el tratamiento de estos datos por parte de las empresas.
Arturo Ribagorda Garnacho: Creo que el mayor problema es la rapidez del cambio impuesto por estas tecnologías. Las grandes transformaciones técnicas, llamadas revoluciones, experimentadas por la humanidad, tuvieron un ritmo de expansión mucho más lento (miles de años en el caso de la revolución agrícola, cientos en la industrial), mientras que ahora la transformación se mide en años Esta velocidad de propagación no permite su asimilación y consiguiente adaptación por la sociedad, que se ve a menudo desbordada por el empuje de estas nuevas técnicas y sin tiempo de reflexionar sobre ellas y su impacto en nuestro presente y futuro. De otro modo dicho, necesitaríamos de un respiro —que no nos dan— para así poderlas reconducir de manera que nos ayudasen a conseguir un mundo mejor y más justo. Ahora sin embargo, somos un sujeto pasivo del cambio sin poder actuar sobre el mismo.
Pero más aún, este consentimiento debe ser un consentimiento informado (el interesado debe saber para que se le solicitan los datos), no genérico (no se pueden solicitar para una pluralidad indeterminada de usos) y revocable (deben poderse retirar cuando el interesado lo solicite).
RS: ¿Cuáles son los deberes de las empresas que las manejan, frente a la responsabilidad que deben asumir con sus clientes y usuarios? ¿Qué no pueden hacer las empresas que manejan información personal de clientes y usuarios? ¿En qué no se pueden equivocar en el tratamiento de los datos personales? ARG: Las empresas deben tener siempre presente que no son dueños de los datos personales que manejan, sino sólo sus depositarios y custodios. Así pues, nunca debieran hacer nada que su legítimo propietario, es decir las personas físicas (naturales) a las que conciernen no les haya autorizado, salvo que una ley lo imponga. Por ello, el principio del consentimiento del interesado se consti-
RS: ¿Cuáles son los lineamientos fundamentales para garantizar a los clientes y usuarios la seguridad y protección de su información personal? ARG: Desde luego, ceñirse a las prescripciones legales respecto a cómo manejar las informaciones de los individuos, manteniendo en todo momento las medidas de seguridad actualizadas según el estado del arte. Así mismo, aunque algunas leyes no lo contemplen, las empresas debieran garantizar a las personas físicas los denominados (en España) derechos ARCO, es decir los derechos de acceso, rectificación, cancelación y oposición. RS: La comunicación móvil ha cambiado las relaciones profesionales y personales y, más aún, las redes sociales; los seres humanos usuarios de tales tecnologías están permanentemente expuestos, ¿cómo analiza usted ese contexto dentro del marco de la seguridad y la privacidad? ARG: Con preocupación creciente, pues no hemos asumido los riesgos inherentes a las redes. Así como hoy en día, cualquiera es consciente de las amenazas que conlleva conectarse al servidor de su banco, de hacer un pago por internet, de SISTEMAS
17
pulsar un enlace que recibe en un correo electrónico, etc., y adopta precauciones para minimizar el riesgo, ello no sucede cuando se ingresa en una red social. Parece que la percepción de hallarnos entre amigos (aunque a muchos no los conozcamos directamente), nos hace relajarnos y perder todo recelo a subir fotos inapropiadas (para nosotros o para otros), hacer comentarios comprometidos (por ejemplo sobre nuestro jefe), o expresar ideas sindicales o políticas. Todo ello sin considerar que no tenemos certeza de quiénes pueden estar en esa red y de que internet no olvida. Por ejemplo, es cada vez más habitual que las empresas busquen en Internet rastros de los candidatos a un puesto de trabajo, por más que pueda ser ilícito. Aquí, sobre todo, cabe aplicarse la frase que Shakespeare pone en boca de Gonerila en El Rey Lear: “Es más prudente exagerar los temores que la confianza”. RS: Considerando la tendencia en movilidad, ¿cuáles serían los retos propios de los datos personales en este tipo de dispositivos? ¿Cómo protegerlos? ARG: Tomando como paradigma de los sistemas móviles a los teléfonos celulares, nos encontramos con la paradoja de que acostumbrados a usarlos desde décadas como un instrumento pasivo de simple comunicación, los seguimos viendo y usando con la misma despreocupación que hace unos pocos años. Sin embargo, estos dispositivos se han convertido súbitamente en pequeños ordenadores, que almacenan una enorme cantidad de datos: fotos (quizás comprometidas, recuérdese el reciente caso de la actriz Scarlett Johansson), contraseñas de acceso a nuestro banco, empresa, correo corporativo o personal, etc. Igualmente, tenemos allí nuestra agenda, 18
SISTEMAS
contactos, y en general todo tipo de datos privados, algunos de ellos íntimos. Y además, estos dispositivos se conectan a internet desde cualquier lugar (incluso inadvertidamente a través de redes wi-fi abiertas) o a otros dispositivos mediante bluetooth. Y no obstante, su capacidad de proceso es aún escasa en comparación con cualquier ordenador, incluso portátil. Esto les impide tener los mismos sistemas de protección que tenemos en estos últimos equipos citados. No disponemos aún en ellos de cortafuegos, IDS, ni de antivirus equiparables a los de un ordenador convencional. Todo lo anterior (almacén de datos personales, conectable a internet, escasa capacidad de protección) es una mezcla peligrosa que requiere, de nuevo, una actitud precavida, más que la que adoptamos al trabajar con nuestros ordenadores. Y lo mismo cabe decir de otro dispositivo móvil de rápida expansión: los dispositivos RFID, que en poco tiempo nos acompañarán permanentemente, sea insertados en nuestra ropa o en cualquier otro objeto que portemos o adquiramos, permitiendo nuestro rastreo y delatando nuestros gustos, actitudes y comportamientos. Estos dispositivos constituyen así una creciente amenaza para nuestra intimidad y ya han sido objeto de varias recomendaciones por parte de la Comisión Europea. Pero, al igual que sucede con los celulares, las etiquetas RFID pasivas (las más comunes) apenas superan unos pocos miles de puertas lógicas, lo que impide programar en ellos cualquier algoritmo de cifrado de uso común, debiendo llevar algoritmos criptográficos ligeros, mucho menos robustos, lo que expone en gran medida los datos que almacenan.
RS: Los clientes y usuarios tienen el derecho a que su información personal, debidamente recolectada, sea protegida. ¿Cómo hacen valer tal derecho? ¿Existen los mecanismos para lograrlo? ARG: Técnicamente existen los suficientes mecanismos como para que, de ser correctamente aplicados, nos sintamos seguros. El problema va más por la escasa o insuficiente normativa legal en muchos países. Sin unas leyes que sancionen duramente el uso ilícito de nuestros datos seguirá habiendo un lucrativo campo de negocio, que será aprovechado por delincuentes de “guante blanco”. Pero además, las leyes deben prever las denominadas en Europa, Autoridades de Control (en España, Agencias de Protección de Datos), que tutelan el uso que se hace de nuestros datos y puedan de oficio o a instancia de parte sancionar administrativamente conductas ilícitas con nuestros datos y que en el caso español puede imponer sanciones de hasta 600.000 euros. Además, ciertos ilícitos de este tipo deben estar sancionados también penalmente —no sólo administrativamente—, conformándose así un marco legal integral de protección, que debiera limitar (obviamente erradicar es imposible) el uso fraudulento de nuestros datos. RS: Los creadores de las redes sociales y profesionales, para quienes ponerlas en funcionamiento y mantenerlas es su negocio, ¿tienen alguna responsabilidad jurídica y/o ética frente al manejo y uso de la información personal de los usuarios que a ellas acceden? ARG: Al menos en la Unión Europea tiene responsabilidad jurídica: tratan datos personales y por tanto les afectan las leyes de protección de estos datos. El
problema es que en ocasiones se amparan en que sus sedes sociales y sistemas de información no radican en el país que les pide cuentas (en el caso europeo, a estos efectos todos los países son como si fuesen uno solo), con lo que tratan de eludir, o al menos de dilatar, sus responsabilidades. Tratándose de empresas gigantescas, económicamente hablando, esta táctica les permite en ocasiones evadirse, sobre todo si enfrente tienen a países con escaso poder de resistencia. RS: ¿Cómo balancear la libertad de expresión, los datos personales y la forma de compartir información a través de las redes sociales? ¿Cuál debería ser la posición de las empresas en este sentido? ARG: El problema tiene un gran calado. Vivimos en la sociedad de la información, que precisa y demanda manejar grandes volúmenes de datos, pero por otro lado el derecho a la intimidad personal está recogido en la Declaración Universal de los Derechos Humanos e incorporada a las constituciones de numerosos países. Balancear estos dos principios es legalmente complejo y constituye un problema de primer orden en nuestro mundo. Bajo el punto de vista empresarial yo diría que debiera primar el habeas data, aunque sea una tentación muy fuerte no explotar todos los datos personales a los que pueda tener acceso la empresa. En cualquier caso, el cumplimiento estricto de la Ley debe ser el límite a imponerse en caso de duda. RS: La seguridad, la privacidad y el manejo de los sistemas de información ¿son más una cuestión de tecnología? O, por el contrario, ¿tienen más que ver con formas de actuar de las empresas, o con relación a una legislación sobre SISTEMAS
19
el alcance de tales temas y su aplicación? ARG: Durante un tiempo se pensó por muchos que las soluciones de seguridad eran cuestiones meramente técnicas. Empero, hoy es comúnmente aceptado que por exhaustivas que sean las medidas técnicas sin adecuadas medidas organizativas y administrativas —o sea sin una adecuada gestión— no sólo es inútil sino que puede ser contraproducente, pues está comprobado que producen en muchos una sensación, obviamente falsa, de seguridad absoluta. Actualmente, valoramos más la formación en seguridad, los planes de contingencia, el análisis y gestión de riesgos, los planes de seguridad, etc., que las medidas exclusivamente técnicas. Lamentablemente, mientras que la técnica se puede conseguir con meras inversiones económicas, los aspectos citados tienen dimensiones que sobrepasan estas inversiones, siendo por tanto mucho más difíciles de llevar a cabo. Al margen de lo anterior, la información es un bien más, pero su protección tiene una dificultad adicional: su carácter inmaterial. Así pues, debe tener la protección general de cualquier tipo de recurso, pero además la específica correspondiente a este carácter inmaterial. Y es así como estamos procediendo en todos los países. RS: Teniendo en cuenta su experiencia en el desarrollo e implementación de la Ley Orgánica de Protección de Datos Personales española, ¿cuáles son los aspectos claves que un país debe considerar, para que una regulación sobre estos temas sea útil y procure la protección de los derechos de las personas frente a su información personal? ARG: Bajo el supuesto de que el país tenga regulado mediante una ley este 20
SISTEMAS
derecho, el aspecto más importante, en mi opinión, es complementar dicha ley con instrumentos ágiles que determinen lo más detalladamente posible los aspectos técnicos que requiere la protección de datos. Las leyes, por su naturaleza, tienen un desarrollo muy lento, por lo que tienen vocación de permanencia. Por ello, entre otros motivos, no entran a definir si para transmitir ciertos datos es obligado el cifrado, o si se deben mantener registros de auditoría o la política de identificación o control de accesos, etc. Y sin estos detalles, las leyes se quedan en los principios generales de la protección del derecho que nos ocupa, y las empresas en la incertidumbre (que puede venirles muy bien a algunas) acerca de las medidas concretas a adoptar para ajustarse a los principios contenidos en la ley. En España, y en otros países europeos (pocos), se ha optado por complementar la ley con otros desarrollos también legales, pero de menor rango (en España, un reglamento) que no exigen la participación del Parlamento. En España, por ejemplo, un reglamento es elaborado por uno o varios Ministerios y aprobado por el Consejo de Ministros. De este modo, este Reglamento puede entrar en los aspectos técnicos y organizativos y amoldarse más ágilmente a los rápidos avances tecnológicos al poderse cambiar con más facilidad que una ley. RS: Desde su perspectiva, ¿cuáles son las tendencias procedimentales y técnicas en el tratamiento de los datos personales? ¿Habrá un resurgimiento de la seguridad de la información? ARG: En cuanto a procedimientos, la tendencia más importante es el seguimiento de los estándares internacionales. Esto ha sido posible gracias al liderazgo asumido en esta materia por el SC27 del CTN71 del JTC1 de ISO/IEC, que está desarrollando la serie 27000, conjunto de normas técnicas de extraordinaria importancia, pues detallan
o detallarán (muchas están aún en proceso de elaboración) todo tipo de procedimientos de seguridad. En cuanto a las tendencias técnicas, y sólo por citar las más relevantes, se están imponiendo las llamadas PET (Privacy enhanced technology) y el principio conocido como privacy by design, que impone la consideración de la privacidad (y por extensión de la seguridad) como un requisito más desde el diseño del producto, en vez de ser algo que sólo al final, y ya con difícil arreglo, se contemplaba. RS: Y Arturo Ribagorda Garnacho se despidió con la siguiente reflexión. ARG: Como complemento de mis respuestas, me gustaría hacer una reflexión acerca de cómo tomar los riesgos que he venido exponiendo. A menudo, cuando hablo en público o para algún medio de difusión, tengo la sensación de que ciertas personas pueden pensar que, siendo tantos los riesgos, estas tecno-logías no
merecen la pena. Haríamos un flaco favor a la sociedad si alguien se quedase sólo con esta sensación. Las tecnologías de la información son un instrumento único en la historia de la Humanidad para crear un mundo más justo, próspero y longevo, y no podemos en absoluto renunciar a las mismas por temor a los riesgos que conllevan, que por otra parte son inmensamente menores que el que comportan otras tecnologías, como la nuclear, la química o, si se excede, la biotecnología. La única opción sensata —si no queremos retroceder varias décadas en la historia— es conocer los riesgos de la tecnología que nos ocupa para aprender a minimizarlos, pero sin rechazarla. En definitiva, vivimos en la sociedad del riesgo, certeramente teorizada por Ulrich Beck, pero no podemos vivir en la sociedad del miedo (y menos a las tecnologías de las que tratamos), pues como acertadamente afirmó Franklin D. Roosevelt: “A la única cosa que debemos tener miedo es al miedo mismo.”
Sara Gallardo M. Periodista comunicadora, universidad Jorge Tadeo Lozano. Ha sido directora de las revistas “Uno y Cero”, “Gestión Gerencial” y “Acuc Noticias”. Editora de Aló Computadores del diario El Tiempo. Redactora en las revistas Cambio 16, Cambio y Clase Empresarial. Ha sido corresponsal de la revista Infochannel de México y de los diarios “La Prensa” de Panamá y “La Prensa Gráfica” de El Salvador. Autora del libro “Lo que cuesta el abuso del poder”. Investigadora en publicaciones culturales. Fue gerente de Comunicaciones y Servicio al Comensal en Andrés Carne de Res. Es corresponsal de la revista IN de Lanchile y editora de esta publicación.
SISTEMAS
21
Encuesta
Seguridad Informática en Colombia 1 Tendencias 2011-2012 Andrés Ricardo Almanza Junco, CISO - Coordinador XIIJNSI Introducción Un nuevo año, muchos nuevos retos y realidades en temas de seguridad de la información en nuestro país y en el mundo. Cada vez más vemos cómo las agendas corporativas de las empresas se interesan por estos asuntos, desde el punto de vista estratégico y el impacto, dentro de un marco de riesgos organizacionales. De igual manera, se espera que tales retos demanden mayores esfuerzos de las compañías y que exijan a todos los responsables de la seguridad de la información un esfuerzo máximo, en pro de su protección. Este año la participación en la XII Encuesta Nacional de Seguridad Informática fue de152personas de los diferentes sectores productivos del país, específicamente sobre la seguridad de la información. En esta ocasión y como en el año anterior, se han vinculado otros países, entre ellos, Uruguay, Argentina, Paraguay, Venezuela, y México, con el propósito de adelantar este mismo ejercicio en sus respectivos lugares, cuyos resultados estarán disponibles en el sitio web de la Asociación Colombiana de Ingenieros de Sistemas, ACIS (www.acis.org.co). El análisis presentado a continuación se desarrolló con base en una muestra aleatoria y de manera interactiva, a través de una página 1
22
web dispuesta por ACIS para tal fin. Dadas las limitaciones de tiempo y recursos disponibles en la Asociación, se ha realizado un conjunto de análisis básicos, los cuales pretenden ofrecer los elementos más sobresalientes de los resultados obtenidos, para orientar al lector sobre las tendencias identificadas en el estudio. Adicionalmente, se tuvieron en cuenta estudios internacionales como el2012Global State of Information Security Studyde PricewaterhouseCoopers; el Top cybersecurityrisksreportHP; el 2012 Global Security ReportTrustwave; y, el Internet Security ThreatReport, Symantec. Estructura de la encuesta Fue diseñado un cuestionario compuesto por 35 preguntas sobre los siguientes temas: • Demografía. • Presupuestos. • Fallas de seguridad. • Herramientas y prácticas de seguridad. • Políticas de seguridad. • Capital Intelectual. Demografía Esta sección identifica los siguientes elementos: • Zona Geográfica.
Agradecimientos especiales al Ph.DJeimy José Cano por su apoyo para contar con la revisión conceptual de la encuesta. Así mismo, la disposición y oportunidad del Ingeniero Luis Mauricio González Motavita, para adelantar con oportunidad y efectividad la XII Encuesta Nacional de Seguridad Informática.
SISTEMAS
• • • •
Sector de la organización. Tamaño de la organización. Responsabilidad y responsables de la seguridad. Ubicación de la responsabilidad en la organización.
algunos comentarios relacionados con los datos obtenidos: Demografía Sectores participantes. (cuadro 1, Tabla 1)
Presupuestos Esta parte muestra si las organizaciones han destinado un rubro para la seguridad informática, y cuál es su valor anual. Permite revisar el tipo de tecnología en que invierten y un estimado del monto de la inversión en seguridad informática. Fallas de seguridad Esta sección revisa los tipos de fallas de seguridad más frecuentes; cómo se enteran sobre ellas y a quién las notifican. Por otra parte, identifica las causas por las cuales no se denuncian, y si existe la conciencia sobre la evidencia digital en la atención de incidentes de seguridad informática. Herramientas y prácticas de seguridad informática En este segmento de la encuesta el objetivo es identificar las prácticas de las empresas sobre la seguridad, los dispositivos o las herramientas con más frecuencia utilizadas para el desarrollo de la infraestructura tecnológica, además de las estrategias puestas en marcha en las organizaciones para enterarse de las fallas de seguridad.
Cuadro 1
Políticas de seguridad Esta sección busca indagar sobre la formalidad de las políticas de seguridad en la organización; los principales obstáculos para lograr una adecuada seguridad; las buenas prácticas o estándares que utilizan; y, los contactos nacionales e internacionales para seguir posibles intrusos. Capital Intelectual Finalmente, se analiza la situación del desarrollo profesional en torno a los conocimientos relacionados con tareas propias de tecnologías de la información: personal dedicado a esta tarea, personal certificado, importancia de las certificaciones y años de experiencia en el rubro de seguridad informática. A continuación se presentan los resultados (en porcentajes) de la encuesta por temas y
Tabla 1
Comentarios generales: Los resultados muestran una participación activa de los sectores: gobierno, manufactura, consultoría especializada, energéticos y otros, donde de acuerdo con las tendencias internacionales se viene manifestando la
SISTEMAS
23
necesidad de contar con una directriz formal en temas de seguridad de la información. Las tendencias internacionales en temas como tecnologías SCADA, así como la importancia de las nuevas formas de amenazas electrónicas, entre ellas las Amenazas Persistentes Avanzadas (APT) y los hacktivistas muestran cambios significativos en los sectores participantes, además de notorios ataques a infraestructuras críticas de los países. Los Gobiernos señalan una preocupación creciente por los temas de seguridad de la información, hecho que motiva su participación en forma más activa, mostrando una nueva realidad y unos nuevos retos dentro de este tipo de organizaciones. No. de empleados de la organización. (cuadro 2, Tabla 2)
financieros, el gobierno y la consultoría especializada, son los que más participan con porcentajes importantes en la encuesta. Tendencia que se ha sostenido en el tiempo, donde se reflejala importancia de la seguridad de la información, convirtiéndose en un elemento clave para la formalización de sus estrategias de negocio, y, por lo relevante del tema, en la prestación de sus servicios. Hoy se ve cómo parte de las estrategias corporativas están centradas en mezclar una agilidad de sus negocios y servicios, con la confianza de la información que se posee para lograr el resultado. Datos internacionales muestran que la pequeña industria no aborda los temas de seguridad de la información, asunto que en el país, se repite. De ahí que se haga un llamado a la industria y a todos los sectores, para que traten de cerrar las brechas y abordar la situación de una mejor manera, donde exista un posible balance entre seguridad y funcionalidad dentro de la pequeña industria. Dependencia organizacional del área.
(cuadro 3,
Tabla 3
Cuadro 2
Cuadro 3
Tabla 2
Comentarios generales: Al igual que en años anteriores la mediana y grande industria de sectores como los servicios
24
SISTEMAS
Comentarios generales: Los resultados de este año muestran tres comportamientos interesantes. Por un lado, se mantiene la creciente dependencia de seguridad de la información con el área de tecnología, en un 3,7% de crecimiento. Hecho interesante de analizar, porque las tendencias muestran que es la forma como las empresas abordan la seguridad de la información de primera mano. En ese orden de ideas, significa
organización. Esto muestra un proceso notorio de madurez para dos mundos que comparten un escenario interesante; como primera medida, porque las recomendaciones de muchos expertos de la industria sugieren que, la seguridad vendida como uno de los espacios de riesgos de las organizaciones, es una excelente forma de hacer que las agendas de los ejecutivos de las organizaciones las tomen en cuenta. Esto relacionado con el último informe de IBM, acerca de la evolución de los CISO, muestra que se preocupan más por los riesgos y desde esa perspectiva, han obtenido mejores resultados para vender la seguridad. Cabe resaltar que disminuye en forma moderada, las organizaciones que no tienen formalmente especificada la dependencia para la seguridad de la información. Según se observa en los datos, la seguridad de la información continúa ganando terreno, pero es necesario afinar el discurso, tanto de las áreas de seguridad como de tecnología, para que sus propuestas se unan con los procesos de negocio y no estrictamente con los elementos tecnológicos y de infraestructura, dado que esta área continúa teniendo un matiz eminentemente tecnológico y operacional, lo que limita su participación en decisiones de negocio o estrategias de las organización. Las tendencias internacionales y locales también muestran la necesidad de crear un gobierno al respecto de la seguridad y por esto es creciente el cargo que se ha ido creando en los ambientes organizacionales. Cargos que respondieron la encuesta.
(cuadro 4,
Tabla 4)
Tabla 3
que tienen un comienzo y en su madurez, podrán evolucionar. Por otra parte, se presenta un decrecimiento importante frente al Director de Seguridad Informática, (10%), que no es anormal si se enlaza con el tercer resultado importante de otras dependencias, en donde crece un (6,1%). Al revisar estos otros cargos encontramos la gerencia de riesgos como un área creciente, que cada vez toma mayor relevancia en las organizaciones, indicando que muchas empresas que han madurado en los temas de seguridad de la información, crean un área de nivel ejecutivo, en la cual la integran a la visual de riesgos de la
Comentarios generales: Este año los resultados muestran un aumento importante de quienes contestan esta encuesta, (5,17%) de incremento en la participación de los Gerentes generales y/o presidentes de las empresas participantes, particularmente las empresas de consultoría especializada. Lo que refleja la tendencia internacional mencionada anteriormente, en el sentido de que la seguridad de la información aparece cada vez más en la agenda de los ejecutivos de la compañía y tendrá más eco los aspectos de salvaguardar la información de los negocios de las organizaciones. Así mismo, crece con un (4,43%) los que contestan esta encuesta como miembros de las áreas de los departamentos de tecnología, especialmente en el sector público, uno de los sectores más
SISTEMAS
25
Cuadro 4
Tabla 4
activos este año. Obviamente, está reflejado en la importancia que en el mundo digital ha tenido el sector gobierno, convertido poco a poco en uno de los blancos más apetecidos en la arena digital por parte de los miembros del lado oscuro de la fuerza, lo cual indica que la necesidad de protección de la información sigue teniendo una relevancia tecnológica. No obstante, en comparación con años anteriores, por lo menos esta preocupación va naciendo y de acuerdo con la manifestación de las organizaciones experimentadas, evolucionará. Tres resultados diferentes muestran los datos de la encuesta este año. De un lado, un crecimiento en la utilización por parte de las organizaciones de asesores externos que ayudan a manejar la seguridad. Por otro, el que
26
SISTEMAS
más llama la atención sujeto al informe de IBM sobre el rol del Oficial de Seguridad, está relacionado precisamente con que aumenta la participación del CISO (ChiefInformation Security Officer) y disminuye la presencia del OSI (Oficial de Seguridad Informática). La madurez de estos cambios se ve en sectores financieros, consultoría especializada y las telecomunicaciones, en donde se refleja un rol más maduro, con un mensaje orientado al negocio y a los riesgos del mismo, de ahí la evolución de dicho cargo. Presupuesto ¿Reconocimiento de la información como un activo a proteger? (cuadro 5, Tabla 5)
Cuadro 5
Cuadro 6
Tabla 6
Tabla 5
Estos datos reflejan las realidades de la seguridad de la información. Con mayor frecuencia, las organizaciones reconocen la información como uno de sus activos vitales, los cuales se deben proteger. Este año se observa un crecimiento del (8,57%), representado en quienes dicen reconocer a la información como un activo vital y que necesita ser protegido. Consultoría especializada, gobierno y servicios financieros, son las poblaciones más altas que, año tras año, muestran una constante preocupación, con la información, por las regulaciones, los atacantes cada vez más especializados, y en sí misma, por la dinámica en la que las organizaciones se desenvuelven. De igual manera, los otros sectores de la industria también reconocen la necesidad de proteger la información y están destinando esfuerzos para garantizar que se concentren en mantener a salvo de ataques digitales a su activo vital, la información. ¿El presupuesto global de su organización, incluye aspectos de seguridad de la información?, ¿cuál es el valor porcentual del presupuesto global? (cuadro 6, Tabla 6)
Valores porcentuales de la inversión cuando se hace. (cuadro 7, Tabla 7)
Cuadro 7
Comentarios generales: Este año tenemos un incremento interesante del 8,57%entrelas personas que contestaron la encuesta, quienes han visto cómo los presupuestos de las organizaciones, cada vez más involucran a la seguridad de la información como parte de sus trabajos y reconocen este rubro como una herramienta importante, hecho que muestra cómo se gana territorio dentro de las empresas. Cabe resaltar que sectores como la consultoría especializada, gobierno, sector financiero y telecomunicaciones, son los
SISTEMAS
27
se reconoce que el presupuesto existe, pero no se tiene certeza de los valores que se dejan para el concepto creado. Hecho genera inquietud, porque no son directamente los responsables de la seguridad quienes manejan los temas de presupuestos, y están siendo tratados por áreas más grandes, tales como las de TI, evidenciado a través de las inversiones en tecnología orientada a la protección. ¿En qué temas se concentra la inversión en seguridad informática? (cuadro 8, Tabla 8)
Tabla 7
que más invierten; más aún en las poblaciones grandes por encima de 1000 empleados. Pero también en otras poblaciones hay inversiones interesantes y creación de trabajo, alrededor de los presupuestos en seguridad de la información. Ahora bien, en el desglose de los porcentajes notamos algo interesante y es que
Cuadro 8
28
SISTEMAS
Comentarios generales: Los resultados de este año muestran una disminución en la tendencia de la inversión en seguridad, concentrada en la zona perimetral, en las redes y sus componentes, así como en la protección de datos críticos de la organización. Los de mayor crecimiento en su totalidad son la inversión de recursos en la creación de políticas de seguridad de la información (23%), y la conciencia de seguridad (21,28%). Este año y dada las
Tabla 8
tendencias internacionales, contemplamos evaluar la protección frente a las estrategias BYOD (BringYourOwnDevice), así como la protección de los datos en la nube, que como lo muestran los resultados tienen eco dentro de las compañías. Los servicios de consultoría, servicios financieros y gobiernos, son los que mayores representaciones tienen en estos grandes rubros. Los resultados indican que estos sectores han evolucionado y ya no ven necesariamente la seguridad como un asunto netamente tecnológico, sino tienen en cuenta la importancia de los procesos, procedimientos, políticas y prácticas de seguridad como una herramienta para construir modelos de seguridad, con los que se puedan gobernar los artefactos que están relacionados con la protección de la información, para prestar un servicio orientado a lograr las metas de las organizaciones en el negocio. De igual manera, lo que más
aumenta como segundo rubro, es la ciencia y el entrenamiento en seguridad, factor que permite establecer que dichos sectores entienden la responsabilidad de sus usuarios en el ciclo vital de la seguridad de la información. Además de tener claridad sobre sus responsabilidades y las acciones que deben emprender para empoderar a los usuarios, hecho que no es tan evidente en algunas compañías. Presupuesto previsto para seguridad Informática, en el año inmediatamente anterior. (cuadro 9, Tabla 9) Comentarios generales: Este año, optamos por agregar tres nuevos valores, disgregados de las escalas ya identificadas: las inversiones menores de $USD20.000; entre $USD20.000 y $USD50.000; y, una adicional relacionada con
SISTEMAS
29
el vacío de información. Comparativamente con los años anteriores, se observa un crecimiento del 5,24% en inversiones menores a los $USD50.000, los cuales están divididos en 28,29% para menos de $USD20.000; y, 10,53%, de la inversión entre $USD20.000 y $USD50.000. Lo que permite concluir que en el año anterior las inversiones en protección de seguridad de la información, fueron bajas. Es interesante ver una leve disminución de la inversión en seguridad, en la franja menor de los USD$70.000, pero se siguen presentando crecimientos importantes, por encima de los USD$90.000, soportados en la cantidad de normativas y regulaciones alrededor de la industria nacional, lo que genera una mayor inversión en recursos en esa dirección. En las demás franjas de inversión se ve una disminución leve, con excepción a la correspondiente a USD$130.000, hecho que puede deberse a los efectos de las crisis económicas mundiales. Pero hay un gran
Cuadro 9
Tabla 9
30
SISTEMAS
número de encuestados que a ciencia cierta no conocen los valores reales que sus organizaciones están invirtiendo en seguridad, esto puede estar centrado en que quienes responden la encuesta no son los directos responsables de la seguridad de la información. Así mismo, porque los centros de costos para la seguridad de la información están mezclados con las áreas de TI. Todos los sectores encuestados manifiestan este desconocimiento, pero el más representativo es el sector de gobierno con un 10,53% del total de encuestados. Presupuesto previsto para seguridad informática para el año en curso. (cuadro 10, Tabla 10) Comentarios generales: Las proyecciones de las organizaciones en los temas de inversión en seguridad sugieren unos decrementos para el 2012. El mayor de ellos se observa en la franja mayor a $USD130.000. Por otro lado, el 49,34% manifiesta no conocer
el monto de la inversión proyectada para la seguridad. Entre todos estos sectores sobresale de nuevo gobierno, además de la consultoría especializada, con porcentajes altos de desconocimiento de sus inversiones en seguridad, cada uno con un 9,21%. Es preocupante que al disgregar el valor en las inversiones conocidas, las organizaciones en todos su sectores muestren que el 19,74% corresponde a inversiones por debajo de los $USD20.000, lo cual podría reflejar inversión en proyectos de corto alcance. Pero, por otro lado, una gran población manifiesta no conocer en qué se proyecta hacer inversiones. Así mismo, indica que aunque los asuntos de seguridad avanzan, aún madurez en los procesos de socialización que muestren los reales beneficios de este tipo de inversiones. Esto coincide con los resultados de estudios internacionales (PwC, Global State of
InformationSecuritySurvey), donde una población de los encuestados (“Firefighter”), se muestra como el grupo que no posee una estrategia clara de seguridad, y se considera muy reactiva frente a un incidente. Es decir, que enlazando estos resultados aún encontramos dentro de la generalidad empresas reactivas frente a los temas de seguridad de la información, sobre todo, cuando se trata de proyectareste tipo de inversiones y las organizaciones los consideran costos no asumibles. En tal sentido, se hace una invitación a los líderes de seguridad para mejorar sus modelos de seguridad, de tal manera que puedan ser más estratégicos, como lo sugiere el informe de IBM, y menos operacionales, para enfrentar uno de los grandes retos para que exista el equilibro racional de seguridad vs funcionalidad.
Cuadro 10
Tabla 10
SISTEMAS
31
Cuadro 11
Tabla 11
Fallas de seguridad Conciencia en seguridad de la información y el uso de buenas prácticas. (cuadro 11, Tabla 11) Comentarios generales: Este año eliminamos la opción “Nadie es consciente”, y se agregó considerarlo crítico para la organización. Más del 70% de los encuestados son conscientes de la necesidad de la seguridad de la información, así como del uso de buenas prácticas. Por otro lado, el 14.7% de los encuestados considera que no son temas críticos para la entidad, factor que puede explicar por qué las proyecciones del 2012 sobre inversiones en seguridad, coinciden con resultados anteriormente expuestos, en el sentido de no considerarlos críticos para asignarles presupuestos apropiados. Los datos muestran además, que solo un 5,69% de toda la población que pertenece al sector financiero es muy consciente del tema, a diferencia de la consultoría especializada que es muy consciente con un 10,57%. Interesantes son los resultados del sector gobierno, más del 12% de los encuestados manifiesta la conciencia sobre tales asuntos, explicado por la realidad actual, en un mundo donde nuestros atacantes han evolucionado, y las motivaciones no son solo financieras, sino políticas o de índole militar. Los Gobiernos a nivel nacional e internacional vienen identi
32
SISTEMAS
ficando esta creciente necesidad de protegerse frente a las amenazas electrónicas de toda índole. Lo que hace una demanda obligada de mayores esfuerzos para cerrar las brechas tan grandes en temas de seguridad y protección de la información. Intrusiones o incidentes de seguridad identificados en el año. (cuadro 12, Tabla 12) Comentarios generales: Los resultados de este año muestran que el 70,39% de los que respondieron la encuesta tienen algún mecanismo de identificación de incidentes, lo que indica que hay un monitoreo continuo orientado a enfrentar de una mejor manera el panorama de amenazas elec trónicas, al que las organizaciones hoy por hoy se enfrentan. En la realidad, esto refleja un aprendizaje sobre la forma como se presentan los incidentes y la necesidad de poner en marcha proyectos encaminados a la protección de la información, aspecto observable también en el informe de PwC del 2012. Un 29,61% todavía manifiesta no tener un mecanismo idóneo para identificar sus incidentes, lo que las deja expuestas solo a reaccionar en momentos de crisis frente a una anomalía electrónica. O, peor aún, a no saber que han sido víctimas de ataques electrónicos y a perder información. El sector gobierno, por su parte, manifiesta haberse visto afectado por más de 7 incidentes en el año, de la misma
Cuadro 12
Tabla 12
manera que el sector de las telecomunicaciones. Lo que los hace merecedores de un reconocimiento, dado que este instrumento busca mostrar la realidad de la seguridad en nuestro país. Este panorama nos invita a fortalecer los escenarios de protección de la información y a buscar el esfuerzo continuo para poder controlar las incidencias y disminuir su efecto dentro de las organizaciones. Se siguen prendiendo las alarmas frente a la necesidad de involucrar en las infraestructuras de seguridad de la información, el monitoreo, para poder identificar los posibles eventos que afecten a los negocios. Tipos de fallas de seguridad. (cuadro 13, Tabla 13) Comentarios generales: La instalación de software no autorizado (17,21%) y el acceso no autorizado a la web (7,45%), son los incidentes con mayor variación en las organizaciones. Así mismo, disminuyen los ataques de denegación de servicios, según el sentir de las personas que contestaron la encuesta. Se observa también que las amenazas propuestas crecieron en esta última medición y los ataques no se detienen, mucho menos sus creadores. Por tal razón se debe actuar cerrando las posibles brechas que puedan existir.
En esta oportunidad todos los sectores, sin excepción, manifiestan la presencia de anomalías electrónicas, y que la forma de afectar a las organizaciones sigue cambiando. Se observa cómo los ataques dirigidos son latentes y buscan generar mayores efectos sobre la información de las organizaciones; son una tendencia en la realidad nacional, enfatizada con los eventos que de manera internacional se han presentado durante el último año, en el que también han entrado unas nuevas categorías, como las acciones de ataques de aplicaciones web. Es importante llamar a los diferentes sectores desarrolladores, administradores y el nivel de gestión para realizar un frente común de protección, donde se escriban códigos pensados en la seguridad de las aplicaciones, administración de plataformas que contemplen la administración de seguridad dentro de sus procedimientos, y la gestión con un modelo estructurado capaz de medir qué tan efectivas puedan llegar a ser las medidas de protección implementadas por la organización. Identificación de las fallas de seguridad informática. (cuadro 14, Tabla 14) Comentarios generales: En esta versión de la encuesta varían
con
SISTEMAS
33
Cuadro 13
Tabla 13
mayor porcentaje las notificaciones de los colaboradores, (22.43%) de incremento, frente al período anterior, así como la revisión de logs (9.66%); y, la notificación de terceras partes (4.87).Es importante el resultado sobre los
34
SISTEMAS
logs, toda vez que refleja una preocupación de los responsables de las tecnologías por saber qué pasa en sus plataformas, SIEM (Security Information Event Management) o bien sea que lo hagan de manera manual. Lo importante es
Cuadro 14
Tabla 14
que repunta su uso, para atender los eventos que sucedan en la organización. El que haya notificaciones de terceras partes, muestra que los intercambios de información como Segurinfo, sigue siendo una tendencia a considerar para enterarse de las fallas de seguridad. Así mismo, es interesante observar que mientras en el sector gobierno el 13.16% manifiesta notificarse de sus fallas por los empleados de la misma organización, en el sector financiero tienen la práctica de estar revisando sus sistemas de registros, lo que muestra una madurez del sector frente al uso de este tipo de tecnologías y prácticas que permiten de manera permanente informar sobre las anomalías en las infraestructuras de sus organizaciones. Notificación de un incidente de seguridad informática. (cuadro 15, Tabla 15)
Comentarios generales: Los datos de este año muestran un aumento importante en la creación de los grupos de atención de incidentes, como el mecanismo para notificar un incidente en la entidad. Con una variación del 6.31% frente al año anterior, le sigue en crecimiento reportar a los directivos de la organización, con el más alto porcentaje de respuesta y una variación comparativamente con los resultados del año pasado de 4.46%. Se observa una disminución en dos temas importantes, por un lado, se reportan menos autoridades de carácter nacional, con una disminución del 3.2%, lo que muestra la posibilidad de que las empresas no acudan a las autoridades de carácter nacional, porque no lo consideren necesario o simplemente por falta de interés en que una noticia de tal naturaleza afecte sus riesgos reputacionales. Por otra parte, una cifra muy interesante que
SISTEMAS
35
Cuadro 15
Tabla 15
muestra la madurez en el tiempo de las organizaciones frente al tema de reportar o atender sus incidentes, es que disminuyen en 6.58% las empresas que deciden no denunciar. Es decir, que las organizaciones no obvian el hecho y que si disminuyen es porque tienen algún tipo de proceso con el cual puedan atender sus incidentes. Para este año vemos cómo las tendencias internacionales sobre el manejo de incidentes se han calado dentro de las organizaciones, y cómo la alta dirección se ha vinculado con tales asuntos; bien sea porque se convierten en insumos para los tableros de riesgos o simplemente porque estos procesos fueron creados dentro de las empresas y necesitan ser gobernados. La consultoría especializada, educación, y sector gobierno son los sectores que más utilizan los mecanismos para reportar a sus directivos sobre las incidencias que se presentan dentro de la organización; mientras que la consultoría especializada, el gobierno y los servicios financieros son los que más usan los grupos de atención de incidentes; lo que deja entrever la madurez y relación de los escenarios de
36
SISTEMAS
riesgos, y cómo los incidentes se convierten en un insumo para la alimentación de los tableros de gestión de riesgos de las entidades. Si decide no denunciar. (cuadro 16, Tabla 16) Comentarios generales: La publicación de noticias desfavorables, vulnerabilidad ante la competencia, y la posible pérdida de clientes, continúan siendo las tendencias más significativas de los resultados de esta sección. Pero, no son los de mayor variación para este año; curiosamente, lo que más varia frente al año inmediatamente anterior es la pérdida de valor de los accionistas en un 3.52%, seguido de responsabilidad legal con 2.84% y las motivaciones personales con 2.55%. Los otros valores frente al período inmediatamente anterior tienen decrecimiento, aunque son lo más representativo en esta versión. En este orden de ideas la administración de riesgos de seguridad informática, articulados con aquellos identificados para los procesos de negocio, debe ser un imperativo que produzca sistemas
Cuadro 16
Tabla 16
de gestión de seguridad y de proceso más resistentes, resilentes y confiables. Es importante anotar que cada vez más se establecen legislaciones o estándares de aplicación obligatorios, como medidas para procurar un proceso continuado de administración de los riesgos de la seguridad de la información. Sectores de competencia como la consultoría especializada, y el de telecomunicaciones consideran la pérdida de imagen, vulnerabilidad ante la competencia y pérdida de clientes, como lo más relevante; mientras que el sector gobierno ve en la pérdida de imagen su mayor problema, entendible por los asuntos de credibilidad. Para el sector financiero es la pérdida de clientes su mayor razón, por la que no se denuncian los incidentes presentados en sus modelos de negocios.
Conciencia de la evidencia digital, y su tratamiento en la atención de incidentes. (cuadro 17, Tabla 17)
Cuadro 17
Este año, vemos un incremento interesante en la conciencia del manejo de la evidencia digital
SISTEMAS
37
las organizaciones, y es un llamado a todos los sectores para cerrar las brechas en este aspecto tan importante, al momento de soportar evidencia digital. Tabla 17
en las organizaciones, con un incremento del 8.97%, frente al año inmediatamente anterior. Vemos que las organizaciones se están preocupando por manejar en forma consistente sus procesos de tratamiento de evidencia digital, lo cual es un factor importante frente a la legislación nacional. Esto también evidencia que existe un recurso capacitado en nuestro entorno para realizar las labores, así como procesos y procedimientos para ello. Sectores como la consultoría especializada, el gobierno y los servicios de telecomunicaciones, respectivamente, manifiestan su conciencia y la importancia de la misma dentro de la organización. Existen estrategias de E-discovery o descubrimiento electrónico para soportar litigios o reclamaciones legales con solicitudes de información electrónicamente almacenada
Existen procedimientos formales para la administración de la evidencia digital. (cuadro 19, Tabla 19)
Cuadro 19
(cuadro 18, Tabla 18)
Tabla 19
Cuadro 18
Tabla 18
Este año se decidió contemplar un nuevo interrogante sobre la forma en cómo se recoge la información, preguntando si existen estrategias asociadas al descubrimiento de evidencia digital, tema nuevo que como lo muestran los resultados,más del 80% no tienen claro que exista ese tipo de procesos dentro de la compañía. Lo que es claro frente a la pregunta anterior, es que la conciencia está, tal vez es necesario resaltar que este tipo de estrategias son necesarias para darle una mayor solidez y respaldo a los procesos jurídicos a los que las organizaciones puedan verse sometidas, en caso de reclamaciones con evidencia digital. Lo que nos muestra que se debe madurar más este tipo de procesos en
38
SISTEMAS
Comentarios generales: Si bien este año se observa un crecimiento en la conciencia de la evidencia digital, aún haypreocupación por el tratamiento de los incidentes presentados en temas de seguridad de la información. Lo que muestran los segundos resultados es que aunquehay preocupación por atender los incidentes y tratarlos, no existe claridad sobre los procedimientos formalmente definidos dentro de las organizaciones, para disponer de una consistencia, en caso de ser requeridos ante un ente judicial. Esto indica que debemos preocuparnos por mejorar las prácticas de tratamiento de evidencia digital y volvernos más formales para poder dar manejo a estos temas y tener consistencia frente a entes judiciales, si fuere el caso. Preocupa que los sectores con más altos porcentajes sobre esta ausencia de prácticas, sean los sectores de la consultoría especializada y el sector gobierno. Herramientas y prácticas de seguridad Número de pruebas de seguridad realizadas. (cuadro 20, Tabla 20)
Mecanismos de seguridad. (cuadro 21, Tabla 21)
Cuadro 20
Comentarios generales: Las respuestas que másvarían son las de más de 4 pruebas al año, con un 2.98% de incremento. En segundo lugar, están la realización de pruebas entre 2 y 4 al año, con un incremento de 1.6%. Las franjas de ninguna y una al año, disminuyen o decrecen, lo que muestra la preocupación de las organizaciones por evaluar la seguridad de sus ambientes de TI, como resultado de las situaciones actuales a las que se ven expuestas las plataformas tecnológicas. Es interesante que más del 60% de la población sí contempla realizar pruebas de seguridad sobre sus plataformas, como un mecanismo para conocer la salud de sus entornos tecnológicos. Los resultados para este año muestran al sector de la consultoría especializada, gobierno y educación, realizando al menos una prueba al año, pero también al sector gobierno sin realizar ninguna, en todo el año. Sectores como el financiero y telecomunicaciones son los que hacen mayor uso de las pruebas de vulnerabilidad. Mostrando un proceso sostenido en el tiempo, de madurez en la aplicación de esta práctica como medidor del estado de inseguridad de la información de las plataformas de las organizaciones. Las pruebas no van a agotar la imaginación o posibilidades que tienen los atacantes para vulnerar nuestras infraestructuras, pero sí nos dan un panorama de lo que pueden hacer y nos ayudan a evitar el síndrome de la “falsa sensación de seguridad”. Por tanto, no hacerlo es arriesgarse a ser parte formal de las estadísticas de aquellos para quienes la seguridad es sólo un referente tecnológico.
Comentarios generales: En esta pregunta se involucraron nuevos aspectos y se mezclaron otros. Por un lado, los temas de la tercerización de la seguridad, SIEM, Firewall de bases de datos. Y los tipos de firewalls, como un único mecanismo de control. En ese orden de ideas y sin evaluar dichos mecanismos, vemos cómo los WAF (Firewall de aplicaciones Web) son los de mayor variación en su uso frente al año inmediatamente anterior, con un 11.66% de incremento, lo que muestra la utilización de dichos mecanismos y refleja las estrategias corporativas de acercarse más a sus clientes y llevar todo a la web, como una estrategia para facilitar los servicios y el contacto con los clientes de las organizaciones. En ese sentido y dada la realidad de las aplicaciones, se nota la conciencia por utilización de mecanismos que apoyen la protección de dichos sistemas. Por otro lado, VPN, Proxies y Administración de logs son los mecanismos que tienen variaciones importantes, en términos de crecimiento. No obstante, los antivirus, las contraseñas y los firewalls de hardware y software con propósito de protección perimetral, siguen siendo los mecanismos más utilizados en todos los sectores para la protección. Resulta interesante y comprensible que, mientras para sectores como la consultoría especializada, gobierno, telecomunicaciones y educación, las herramientas estándar de protección son lo más común, en el sector financiero las vpns, el cifrado de datos y los mecanismos de certificación digital son las herramientas más usadas, así como los WAF y los SIEM como mecanismos complementarios en las estrategias de implementación de infraestructuras de seguridad informática. ¿Cómo se entera de las fallas de seguridad? (cuadro 22, Tabla 22)
Comentarios generales: Este año vemos cómo han mejorado con incrementos interesantes las relaciones con los colegas y proveedores; en un 5.38% y 2.35%,
Tabla 20
SISTEMAS
39
Cuadro 21
respectivamente, lo que permite cerrar las brechas frente a las amenazas existentes. Esto con una mejora importante en el manejo de tecnologías de protección, está permitiendo a las organizaciones avanzar en el logro por poseer ambientes mayormente controlados. Cabe resaltar que los usuarios encuestados dicen dedicarle más tiempo a listas de seguridad como SEGURINFO o algunas otras; la lista de seguridad continúa creciendo llegando en este momento a más de 2000 participantes desde su fundación en el año 2000. Aumenta la comunicación con distintos CSIRT's y refleja unos datos importantes, como también la relación con los centros de atención de Latinoamérica, cuando de incidentes se habla. Esto también se ve reflejado con la realidad internacional, la cual muestra una interacción mayor entre estos centros especializados en estudiar las anomalías, y los sectores involucrados. También es interesante observar que el sector gobierno y de telecomunicaciones
40
SISTEMAS
son los más conectados con la lectura de revistas especializadas. Por otro lado, el sector de consultoría especializada tiene una relación intrínseca entre colegas, quienes de manera oportuna reportan las fallas que se puedan llegar a presentar. Para el caso de relaciones con CSIRT, es el gobierno y el sector de la educación los que mayormente hacen uso de los mismos; según los datos obtenidos, los otros sectores también lo hacen, pero en la generalidad son estos últimos los que más lo usan. Políticas de seguridad Estado actual de las políticas de seguridad (cuadro 23, Tabla 23)
Comentarios generales: Este año más del 70% de las empresas en Colombia no cuentan con políticas de seguridad definidas formalmente o se encuentran en desarrollo. Es interesante que para este año el 49.3% de la población que
Tabla 21
contesta la encuesta manifiesta tener una política escrita y aprobada, con un incremento frente al año anterior de 9.45%. Esto muestra que a las organizaciones les interesa el tema dentro del contexto de la protección como un escenario con incidencia en las estrategias de los negocios de la organización. Esto refuerza lo que las tendencias internacionales muestran, la madurez de la seguridad de la información, así como el rol de sus responsables; lo que se ha entendido dentro de la cultura organizacional. Así mismo, los temas de protección de la información como elemento estratégico para prestar servicios más
confiables a los clientes. Dentro de los datos se encuentra que los sectores financieros, así como la consultoría especializada son los que tienen una política formalmente establecida, lo que se refuerza a través de las regulaciones para estos sectores, mientras que el actor gobierno mantiene en desarrollo la creación del modelo de seguridad, a través de un marco de políticas que aún se encuentra en desarrollo. Principal obstáculo para desarrollar una adecuada seguridad. (cuadro 24, Tabla 24) Comentarios generales:
SISTEMAS
41
Cuadro 22
Tabla 22
Cuadro 23
Tabla 23
Este año se mantiene la tendencia de no colaboración entre las diferentes áreas o departamentos de la organización, pero con una
42
SISTEMAS
disminución frente al período inmediatamente anterior (2.48%). La falta de sinergia muestra que todavía la seguridad de la información como un elemento distante del negocio, muestra una desarticulación, entre lo que el negocio presta y lo que realmente le ofrecen estas áreas de seguridad de la información a las compañías. Por otro lado, un número significativo de encuestados manifiestan que sus altas direcciones aún no ven la seguridad de la información como un elemento de apoyo estratégico fundamental a la hora de la prestación de los servicios. Esto sigue mostrando la necesidad de recalcar la necesidad de que la labor de los CISO's deba evolucionar, para ser un verdadero vendedor de la seguridad como apoyo al negocio. No entender la seguridad de la información nos habla de no involucrar la seguridad dentro del contexto de negocio, del poco esfuerzo del sector de la seguridad de la información ejercida por sus profesionales, para vender la distinción de la
Cuadro 24
Tabla 24
seguridad y la necesidad de desarrollar un lenguaje que permita la integración entre el proceso y la protección de la información. Al adentrarnos en los resultados, el sector gobierno manifiesta sentir la falta de sinergias entre áreas, más un sentir fuerte en que la dirección no considera estos temas fundamentales. Es un claro mensaje que refleja la falta de alineación de estrategias para cerrar las brechas en los temas de protección de información. Por su parte, el sector de la educación refleja un sentir diferente y señalan al poco entendimiento de la seguridad, así como la falta de apoyo, como las razones por las que no se solidifican la construcción de modelos de seguridad en sus respectivas organizaciones. La invitación es clara para tratar de cerrar las brechas entre la estrategia, la táctica y la operación de la seguridad; es necesario que nuestros líderes en seguridad de la información encuentren rápido los lenguajes adecuados con los cuales muestren la realidad, frente a los temas de protección de información de las organizaciones.
Contactos para seguir intrusos. (cuadro 25, Tabla 25)
Cuadro 25
Tabla 25
Comentarios generales: Este año vemos la disminución en la relación
SISTEMAS
43
con algún tipo de autoridad de orden nacional o internacional, disminución de 5.11%, frente al año inmediatamente anterior. Las tendencias internacionales muestran que usualmente es porque los procesos suelen ser demorados, y en la realidad nacional tenemos la misma situación, se manifiestan demoras excesivas, razón por la cual las entidades no manejan estos casos con dichos entes. Hay que agregar que en Colombia, más cuando existe una legislación al respecto de los delitos informáticos que ha avanzado frente a las amenazas electrónicas, seguir un proceso de esta naturaleza puede ser más costoso y con pobres resultados. Es necesario que todos los involucrados academia, los gremios, el gobierno, los proveedores y los usuarios deben organizarse en un frente común, para construir estrategias de combate al crimen organizado y en la construcción de modelos de seguridad resistentes a los embates de la inseguridad de la información. Adicionalmente, establecer acuerdos interinstitucionales con entes de policía judicial para actuar con oportunidad frente a una conducta punible en medios informáticos. Dentro de los puntos más comunes de contacto están Colcert, Fiscalía, Policía. Así mismo, observamos que el sector gobierno es el que menos contacto ejerce con algún tipo de ente de esta naturaleza. Es necesario hacer un llamado para que esto se mejore, toda vez que son grupos de apoyo quienes logran cerrar las brechas de seguridad. Estándares y buenas prácticas en seguridad informática y regulaciones en seguridad de la información. (cuadro 26, Tabla 26, cuadro 27, Tabla 27)
Cuadro 26
Comentarios generales: Se mantiene la constante para Colombia, reforzado con lo que la industria internacional marca. ISO 27001, ITIL y Cobit, son los están-
44
SISTEMAS
Tabla 26
Cuadro 27
Tabla 27
dares más usados por la industria, para gobernar, gestionar, administrar y operar la seguridad de la información. Utilizar un marco de estos contempla crear procesos metódicos de trabajo, con los cuales se pueden construir modelos adecuados de protección de información para las organizaciones. Se observa que el estándar ITIL tuvo el mayor crecimiento con un 15.95%, fue el más asumido por las organizaciones, como herramienta complementaria en los temas de adecuación de controles. Y se ratifica con las recomendaciones internacionales de poseer marcos de trabajo con los cuales se puedan gestionar y administrar las infraestructuras tecnológicas, así como su seguridad. En la segunda sección donde se evalúacuáles regulaciones son aplicables a las organizaciones, vemos cómo la normativa de los entes de control nacional (Superfinanciera de Colombia, CRT, entre otros), son quienes junto con las regulaciones internacionales (SOX, BASILEA, entre otros) influyen dentro de la
población. Un gran número de encuestados dice no estar cubierto por ninguna de las propuestas, mostrando que los esfuerzos en seguridad de la información son parciales y sectorizados, lo que implica que se requiere una dinámica similar a la de banca, para generar un esfuerzo común en procura de una cultura de seguridad de la información más homogénea y dinámica. Dentro del conjunto de análisis de los datos, los sectores de consulta especializada y el sector financiero ven en Cobit, 27001 e ITIL, un conjunto de herramientas interesantes para gestionar su seguridad. Distinto del sector gobierno que contempla 27001 e ITIL como las normas a tener presentes en el momento de implementar modelos de gestión de seguridad de la información. Puede ser entendido este movimiento, toda vez que los dos marcos anteriormente mencionados pueden ser certificados y esto es una de las tendencias que este sector manifiesta como parte de los trabajos a realizar. Capital intelectual Número de personas dedicadas a seguridad informática. (cuadro 28, Tabla 28)
tema de seguridad de la información, dadas las exigencias internacionales o de regulaciones nacionales que les apliquen. O simplemente, por la situación a la que se ven enfrentadas las organizaciones o por la misma madurez de estos procesos que se han visto en el tiempo. No deja de preocupar el 30,26%que no tiene ninguna persona dedicada exclusivamente a la seguridad, lo que sugiere una porción importante de empresas que están aún sin dedicarle formalmente recursos a este tema. Al adentrarnos en los resultados vemos que en la franja de 1 a 5 es el sector gobierno quien tiene más recursos y frente a otros años mejora el sector y se nota la importancia de tener recursos dedicados para estas tareas. Lo mismo manifiesta el sector financiero y la consultoría especializada. En la población que más crece vemos cómo el sector de telecomunicaciones, sector financiero y la consultoría especializada, son los que tienen grupos grandes, lo que demuestra la madurez de estos procesos y la necesidad de tener los recursos idóneos y adecuados para atender las necesidades, buscando entrelazar negocio y seguridad de la información. Años de experiencia requeridos para trabajar en seguridad informática. (cuadro 29, Tabla 29)
Cuadro 28
Cuadro 29
Tabla 28
Comentarios generales: Los resultados de este año nos muestran una leve disminución en no tener personal dedicado (1.38%), pero muestran leves aumentos en otras franjas (1 a 5, 11 a 15 y más de 15).El que estos grupos aumenten lo que muestra es que las empresas están más preocupadas por dedicar más recursos en el
Tabla 29
Comentarios generales: La tendencia de estos cuatro años nos muestra que es necesario para las empresas Colombianas poseer recursos con experiencia entre
SISTEMAS
45
uno a dos años, como base para trabajar en los temas de seguridad de la información. Este año nos muestra que el 95% de los encuestados considera importante la experiencia de las personas dedicadas a la seguridad de la información. Cada vez menos personas consideran que los recursos humanos dedicados a la seguridad de la información no deben tener experiencia en esta rama. EL sector de consultoría especializada es el que mayor participación tiene en decir que se requieren especialistas con 2 o más años de experiencia para trabajar dentro de sus áreas. Le siguen el sector gobierno y detrás el sector financiero. Esto muestra también un vacío en las organizaciones, de ahí la invitación a todos los profesionales en las ramas afines a la seguridad, para que se preparen, frente a las necesidades corporativas en materia de seguridad de la información. Certificaciones en seguridad informática (cuadro 30, Tabla 30)
profesionales en las áreas de seguridad de la información por poseer plus, los cuales están siendo demandados por la industria. CISM, CISSP, CISA, CIA se mantienen como las certificaciones más importantes de la industria. Vemos también una disminución de la certificación de CISSP, que se ha convertido en una tendencia internacional en la que ha ganado terreno CISM, calificada como la certificación más importante durante el 2011. Otra especialización que gana mucho terreno dentro del gremio es CRISC, convertida en un nuevo elemento de apoyo a la formación de los profesionales. Dentro del grupo de las otras certificaciones, se sigue manteniendo CEH y Auditor ISO 27001 como los dos grandes grupos de especializaciones que los profesionales están tomando dentro del marco de la seguridad de la información. Sectores como la educación y el sector gobierno, muestran poca importancia a las certifica-ciones. Mientras que la consultoría especia-lizada, servicios financieros, y la banca, reflejan la importancia de tener por lo menos una certificación, preferiblemente CISM, como la certificación que solidifica los conceptos de los gerentes de seguridad, tal como lo muestra también el informe del CISO y su rol, realizado por IBM. Importancia de contar con certificaciones en seguridad informática. (cuadro 31, Tabla 31)
Cuadro 30
Cuadro 31
Tabla 30
Comentarios generales: Se observa una disminución importante en el personal que dice no contar con certificaciones de seguridad de la información. Esto es algo interesante, porque se están preocupando los
46
SISTEMAS
Comentarios generales: Las respuestas de los encuestados nos muestran las certificaciones CISSP, CISM y CISA, así como uno nuevo el CRISC, como las más valoradas por el mercado y las que a la hora de considerar un proyecto de seguridad de la información marcan la diferencia para su desarrollo y contratación. Otras certificaciones
Tabla 31
como CIA, Security+, CIFIasí como CFE también muestran algún grado de importancia dentro del plus que los especialistas en seguridad con formación académica pueden obtener. Pero, al comparar el periodo inmediatamente anterior, vemos una marcada pérdida de CISSP como la certificación menos seleccionada (4.69%), de decremento. Mientras que CISA, CIA, CRISC, Security+ y CISM ganan terreno a la hora de seleccionarlas como certificaciones importantes ofrecidas por los profesionales de seguridad de la información. Los resultados muestran que la consultoría especializada considera CISA, CISM, CISSP,
CRISC, y CIA como las certificaciones más importantes. Por su parte, el sector gobierno muestra mayor interés en CRISC, CISA, CISSP, CIA y CISM, como sus mejores opciones. Contrasta con el sector financiero que considera más importantes a los especialistas con certificación CIA, CISM, CRISC, CISSP, CISA, como su mayor preferencia. En todos los casos, lo que manifiestan los diferentes sectores es que definitivamente solicitan un cuerpo de conocimiento adicional certificable para los profesionales en seguridad de la información. Se debe resaltar que las certificaciones son referentes para la industria frente a las tendencias internacionales, pero se necesita fortalecer la formación académica formal en los temas de seguridad, control y auditoría, así como las áreas de manejo de fraude, como una estrategia complementaria al esquema de certificaciones. Papel de la educación superior en la formación de profesionales de seguridad de la información. (cuadro 32, Tabla 32) Comentarios generales: Los datos este año arrojan resultados interesantes, por un lado un 36,18% considera que las ofertas de programas académicos sobre los temas de seguridad de la información es escasa o de cursos cortos y es la que más variación tiene con respecto al año anterior
Cuadro 32
SISTEMAS
47
Tabla 32
(8.14%). Un 30.26% piensa que si bien es cierto que las certificaciones son importantes, se ha notado que este tipo de formación no formal está reemplazando las propuestas académicas realizadas por las diferentes instituciones del país. Adicionalmente, los encuestados resaltan la importancia de hacer mayor difusión de sus programas en pro del conocimiento de la comunidad nacional de estudiantes que desean pensar en la opción de una preparación postuniversitaria; resaltan que existen pocas o nulas relaciones con los proveedores de tecnologías de seguridad. Un tema nuevo que se incluyó para este año fue la formación de los profesores y se observa que aunque existe, no están preparados frente a las expectativas de los estudiantes, quienes evalúan su conocimiento. Conclusiones generales Los resultados generales que sugiere la encuesta podríamos resumirlos en algunas breves reflexiones: 1. Son motivadores de la inversión en seguridad: la continuidad de negocio, el cumplimiento de regulaciones y normativas internas y externas, así como la protección de la reputación de la empresa. 2. Las regulaciones nacionales e internacionales llevarán a las organizaciones en
48
SISTEMAS
Colombia a fortalecer los sistemas de gestión de la seguridad de la información. Actualmente, la norma de la Superfinanciera comienza a cambiar el panorama de la seguridad de la información en la banca y en el país. 3. La industria en Colombia exige más de dos años de experiencia en seguridad informática, como requisito para optar por una posición en esta área. De igual forma, se nota que poco a poco el mercado de especialistas en seguridad de la información toma fuerza, pero aún la oferta de programas académicos formales es limitada, lo que hace que las organizaciones opten por contratar a profesionales con poca experiencia en seguridad y formarlos localmente. 4. Las certificaciones CISM, CRISC, CISA, CISSPson la más valoradas por el mercado y las que a la hora de considerar un proyecto de seguridad de la información, marcan la diferencia para su desarrollo y contratación. 5. Las cifras siguen mostrando como mecanismos tradicionales de protección a los antivirus, las contraseñas, los firewalls de software y hardware como los más utilizados, seguidos por los sistemas VPN y proxies, así como un aumento creciente por el uso de certificados digitales. Existe un marcado interés por las herramientas de
6.
7.
8.
9.
cifrado de datos y los firewalls de bases de datos que establecen dos tendencias emergentes ante las frecuentes fugas de información y migración de las aplicaciones web,en el contexto de servicios o web services, así como la biometría como mecanismo alterno de protección de la información. Frente a las amenazas electrónicas, se nota una focalización o centralización de los ataques informáticos; pasamos de virus genéricos a ataques dirigidos y con objetivo que disminuyen en su capacidad de replicación, pero aumentan en su efecto organizacional. Se nota en la realidad nacional un esfuerzo alrededor de la gestión de los incidentes; sin decir que estamos bien, el esfuerzo por entender este escenario como parte fundamental del modelo de seguridad de la información de la organización, muestra una mejoría significativa en la gestión de la seguridad de la información. Así mismo, las relaciones que se han venido fortaleciendo con los entes judiciales, son esfuerzos logrados y alcanzados de las diferentes tipos de industrias, en pro del mejoramiento. Aunque existe una legislación en temas de delito informático en el país, llevar a cabo un proceso jurídico puede resultar costoso. Este año se observa cómo los procesos de seguridad de la información, el gobierno y la gestión se han logrado afianzar dentro de los diferentes sectores de la industria, mostrando una evolución interesante en el sentido de pasar de una inseguridad informática, a un proceso elaborado de inseguridad de la información, donde el riesgo ayuda a introducir en la agenda de los ejecutivos de las organizaciones, la seguridad de la información, como una herramienta para poder ofrecer servicios, y productos de una manera más confiable. No obstante, es necesario continuar cerrando de manera sistemática las brechas, toda vez que los enemigos virtuales nunca se
detienen, y todo el tiempo redefinen el panorama de las amenazas, así como los vectores de las mismas. 10. Los estándares de la industria internacionales se ven reflejados en Colombia en las buenas prácticas en seguridad de la información, es por eso que ISO 27000, ITILy Cobit 4.1 se consolidan como marcos para construir arquitecturas de seguridad de la información y muestran en forma sistemática su importancia, en la construcción de modelos para ayudar a gobernar la seguridad de la información. 11. La inversión en seguridad de la información todavía está concentrada en tecnología como las redes y sus componentes, así como en la protección de datos de los clientes y un ligero interés en el tema de control de la propiedad intelectual y derechos de autor. Sin embargo, las inversiones han ganado terreno en los temas de procesos, políticas, procedimiento, es decir, los temas no técnicos de la seguridad, los cuales muestran la evolución de la misma, con énfasis en la construcción de modelos sostenibles, sin importar las tecnologías de protección utilizadas. Referencias [1] PRICEWATERHOUSECOOPERS (2012). The Global State of Information Security Study. http://www.pwc.com/gx/en/informationsecurity-survey [2] 2011 top cyber security risks report (HP). http://www.hpenterprisesecurity.com/news/do wnload/2011-top-cyber-security-risks-report [3] INTERNET SECURITY THREAT REPORT. Symantec.http://www.symantec.com/threatrep ort/ [4] Finding a strategic voice. http://www.ibm. com/smarterplanet/us/en/business_resilience _management/article/security_essentials.html [5] 2012 Global Security Report. Trustwave. https://www.trustwave.com/global-securityreport
Andrés Ricardo Almanza Junco, M.Sc. Ingeniero de Sistemas, universidad Católica de Colombia. Especialista en Seguridad de Redes de la Universidad Católica de Colombia. Máster de Seguridad Informática de la Universidad Oberta de Cataluña, España. Certificación LPIC1, Linux Professional Institute. ITILv3, Auditor Interno ISO 27001:2005. Codirector de las Jornada Nacional de Seguridad Informática. Coordinador en Colombia de la Encuesta Nacional de Seguridad Informática. Coordinador de Seguridad de la Información de la Cámara de Comercio de Bogotá.
SISTEMAS
49
Cara y Sello
Seguridad vs. privacidad La ley sobre protección de datos personales obliga a que las organizaciones se preparen, a que la Academia forme sobre las nuevas necesidades, porque además de contemplar la tecnología es un binomio de seguridad-libertad, señalaron los expertos. Sara Gallardo M. Los datos personales generan más de un dolor de cabeza en las organizaciones, porque muchas de ellas no los tienen clasificados y su protección es un derecho fundamental de los usuarios. De ahí la razón de este debate, en el que fue abordada la ley que está andando camino a ser sancionada y puesta en marcha. El director de la revista Francisco Rueda dio la bienvenida a los invitados, enfatizando en la importancia de estos foros, en el sentido de suministrar a nuestros lectores una información de primera mano en las voces de especialistas de diferentes sectores, convocados con el propósito de tener un amplio cubrimiento de opiniones. Estuvieron presentes María Fernanda Guerrero M., Gerente de Ilazión, Enlace al derecho; Javier Díaz Evans, director de Seguridad Informática de ATH; Jaime Eduardo Santos, vicepresidente Legal y de Gobierno del Grupo Colpatria; el Intendente César Villamizar Parada, investigador de la Dijín; y, María Consuelo Franky, docente de la Universidad Javeriana.
50
SISTEMAS
“Es un panel exquisito en todas las aristas de los temas que vamos a tratar, los cuales trascienden lo técnico y lo legal, para enfatizar en la persona”, señaló Jeimy J. Cano, moderador del foro, antes de dar inicio al debate. “Hay un escenario que gira en torno a la evolución del tema de seguridad en el país y creo que este foro viene muy bien, en lo relacionado con la protección de datos, y de cara al Tratado de Libre Comercio, –agregó-. Así mismo, el temario está enmarcado dentro de un contexto que contempla lo que ya está aprobado en la legislación, el proyecto de Ley, su impacto en las organizaciones, y la claridad que estas tienen sobre el particular”, agregó Jeimy J. Cano para formular la primera pregunta: Si las empresas tienen clasificada la información personal que poseen ¿qué hacen para manejarla? Javier Díaz Evans Director Seguridad Informática ATH
Con relación a la privacidad y los datos personales, hace varios años algunas empresas comenzaron a tener cierto tipo de contacto con leyes encaminadas a su protección, sobre todo aquellas que tenían relación con filiales o casa matriz radicadas en Europa. En la actualidad, los más altos estándares de privacidad se implementan cuando se lleva a cabo una transferencia de datos hacia algún país de la Unión Europea, UE. Entre Estados Unidos y Europa se han generado conflictos, originados precisamente con tales regulaciones. Posteriormente, llegó a Colombia la ley 1266 de 2008 “Hábeas Data” la cual fue motivo para apalancar a través de los consultores, el reconocimiento de que toda base de datos de información personal, no sólo las desarrolladas por empresas del sector financiero y bases de datos de reputación financiera, debían cumplir con los lineamientos establecidos en la ley. Esperamos que este año con la aprobación de la ley de protección de datos personales, esas compañías que tuvieron la asesoría de consultores y que profundizaron la ley 1266 de 2008, no se vean tan impactadas enfrentando el cumplimiento. El sector financiero no se ha orientado a generar un modelo exclusivo de privacidad, sino que lo ha incluido en el mismo modelo de seguridad. En esa dirección, se establecen políticas de clasificación de información y, dentro de ellas, se involucra un conjunto de datos relacionados con personas, como: datos de identificación personal, información médica, hábitos y costumbre; los cuales hemos denominado datos privados y hemos identificado en qué momento nuestras organizaciones generan, procesan, transmiten y resguardan este tipo de datos o información. De los lineamientos o controles que se han establecido se encuentran en primera medida: determinar un responsable frente a dichos datos, toda vez que es fundamental determinar la responsabilidad. Puede responsabilizarse al oficial de seguridad garantizando controles frente a la protección de privacidad en actividades como investigación, monitoreo o forense que realice esta área. El segundo aspecto es el inventario de información, saber qué estamos
recolectando, en dónde está, y aunque es un tema técnico, es importante que las organizaciones apliquen los conceptos de ciclo de vida de la información; es decir, en dónde se crean y se resguardan los datos personales. Cómo se transmiten y en qué momento de los procesos y operaciones del negocio estamos manipulando la información personal. El tercer aspecto son las actividades operativas que involucran el contacto con las personas, para informarles cambios, usos o modificaciones a las políticas de privacidad o la información personal. Y, por último, todos los temas tecnológicos que conocemos relacionados con la seguridad de la información, entre ellos la criptografía, el acceso, la prevención de fuga, entre otros. Francisco Rueda Director Revista Mi inquietud es si todos esos aspectos señalados de verdad se tienen en cuenta. Para una empresa del sector financiero, por ejemplo, lo prioritario es la seguridad para evitar robos y clonación de tarjetas y, de golpe por estar pensando en eso la privacidad se vuelve un tema que puede convertirse en secundario, en la medida en que no existan robos ni cosas por el estilo. Entonces si los procesos no están muy formalizados y no hay mucha conciencia sobre la necesidad de la privacidad de la información de las personas, esto quizás se vuelva secundario. Los empleados de las empresas no sienten que eso sea muy importante. Javier Díaz Evans El sector financiero tiene clara la necesidad de proteger los datos personales por la gran cantidad de eventos de fraude y suplantación de identidad que han elevado el riesgo a niveles inaceptables para nuestras organizaciones. PCI, el estándar de las franquicias de tarjetas orientado a proteger la información personal de los tarjetahabientes, es un claro ejemplo de la necesidad de proteger los datos personales. El sector financiero sabe de su problemática y ha trabajado mucho en beneficio de su protección.
SISTEMAS
51
Francisco Rueda (centro) indaga sobre la privacidad en las empresas, cuando de investigaciones se trata.
María Consuelo Franky Docente Universidad Javeriana Como ciudadano colombiano uno se siente muy desprotegido, siente que a cada rato le están sacando información a través de encuestas, realizadas por el sector financiero y los proveedores de celulares, y uno no sabe qué hacen con dicha información. Me parece muy importante que se regule ese manejo, porque aquí se han cometido muchos delitos y es un tema muy preocupante. Esta ley me parece vital para obtener la protección de los datos del ciudadano. César Villamizar Investigador Dijín El problema de la empresa con relación al manejo de datos personales es la desinformación que se genera para los procesos de investigación criminal, porque en la averiguación de hechos y conductas para identificar a los responsables de los mismos, la Policía Judicial como instrumento de la Fiscalía General de la Nación que tiene la titularidad de la acción penal en Colombia, delega la realización de actuaciones, en las cuales el insumo significativo es la información. La problemática son las talanqueras legales para poder acceder a la información, necesarias por cierto. Pero esto pasa a un segundo plano cuando se solicita información a las empresas que se supone tienen el manejo y administración de la información de
52
SISTEMAS
acuerdo con la ley 1266 de 2008, norma que señala que para administrar datos personales es necesario tener un administrador, un usuario y demás elementos. Pero, cuando se solicita la información, pasando por las vicisitudes del juez de control de garantías y todo lo que conlleva esta situación se observa que la información que da la empresa, o está incompleta o es totalmente diferente a la que también maneja otra entidad. Entonces, surge el problema en darle esa categoría de especial dentro de la investigación. No se sabe si la administración de la empresa ayuda en las investigaciones o, por el contrario, frenan y dificultan el avance de las investigaciones. Creo entonces que ese es el mayor de los problemas desde el punto de vista de la investigación penal, es decir, la mala información que se deriva por la mala administración. Francisco Rueda Y cuando ustedes como autoridades visitan una empresa, ¿cuál es la situación que encuentran? ¿Hay informalidad en los procesos? En promedio sobre el número de investigaciones que ustedes hacen, ¿cuál es la sensación que tienen? ¿Sí estamos preparados? Porque el tema que más preocupa no es la seguridad como tal, que se da como un hecho, sino el tema de la privacidad que es más sutil. César Villamizar Hay empresas en las que uno pide el teléfono de alguna persona, pero en lugar de entregar
el número suministran otro tipo de información personal. Esa falta de administración por parte de las compañías que tienen acceso a información privada de sus clientes y/o usuarios. No se tienen unas mínimas normas sobre lo que se debe o no entregar de esa información. También estamos limitados por una norma constitucional de un juez, para poder ir a buscar los datos personales, pero eso no redunda en beneficio de la investigación, porque nos convertimos en unos formalistas. En ese ejercicio se puede llevar tres o cuatro horas y en los procesos penales, los anaqueles están llenos. Hay investigaciones de 2005 o 2006, en los que los datos personales ya no son reales o están desactualizados. No existe una política definida en la empresa frente a lo que debe tener, proteger y entregar. Muchas veces tampoco nos entregan lo que deben. María Fernanda Guerrero M. Gerente de Ilazión. Enlace al derecho En la empresa comienza a darse toda una revolución frente al tema del dato personal y su protección. Con la frase: “La privacidad está muerta, viva la privacidad” el profesor Mauro Paissan, miembro de la entidad garante de los datos personales de Italia, afirma que en los actuales momentos la privacidad es otra y continúa aceleradamente evolucionando a estadios diversos e insospechados. La realidad demuestra que desde el momento en que pasamos de la modernidad a la postmodernidad, carac-
terizada por una sociedad cada vez más fragmentada, el mundo se convierte en altamente incierto e inseguro, confirmando una vez más que la seguridad continúa siendo el valor más preciado; pero, igualmente las libertades, especialmente la libre expresión, que van adquiriendo un significado y sentido fundamental con miras a su real reconocimiento y protección. Son tiempos inéditos, desafiantes e innovadores en el que el binomio seguridad-privacidad se debate entre la protección de los datos como un derecho vital de las personas, pero también del Estado, de lo político y lo económico. Una de las consecuencias precisamente de la crisis financiera del 2008 es precisamente el déficit que se presenta en la función que realizan los legisladores. La falta de adecuación de la ley a las nuevas exigencias, así como también en las sanciones por su cumplimiento, no deja bien parados a los legisladores. Son en cambio los jueces los que en últimas están definiendo la tendencia y crean y dan forma a un derecho viviente que cada vez se adapta a las nuevas realidades. De hecho, la directiva 95/46 de la Comunidad Europea en materia de protección de datos personales está siendo objeto de actualización y de integración a las legislaciones nacionales, desde el 25 de enero de este año. La Comunidad Europea, entonces, replantea los esquemas que durante 17 años no fueron tocados y que aunque se mantienen los principios originales, la realidad de hoy es otra completamente distinta. Lo dinámico de lo “relacional” entre seres humanos, empresas y Estado nos lleva
De izquierda a derecha: César Villamizar (Dijín); Francisco Rueda (Sistemas); María Fernanda Guerrero (Ilazion); Jaime Eduardo Santos (Colpatria); Javier Díaz Evans (ATH); María Consuelo Franky (Javeriana); y, Jeimy J. Cano (moderador).
SISTEMAS
53
a entender que la gestión de los datos, la información y la comunicación, ya no “uno a uno”, es dinámica y que son las redes sociales las que imponen una comunicación generalizada. El tema se convirtió en algo global y las realidades nacionales ya son otras frente a lo global y las empresas frente a lo global muestran que las exigencias son otras. Entonces se trata de nuevos esquemas para las empresas, para los Estados y los ciudadanos. Llegó el momento en que la seguridad y la privacidad se transformaron en una industria. Muestra de ello es la designación de oficiales de cumplimiento, el diseño de manuales, etc. Ahora vemos que las normas fueron insuficientes y que la tecnología entra a jugar su papel y eso obliga a mirar las cosas desde el diseño de la privacidad. La tecnología es la que ahora establece la forma de la seguridad de los datos y la protección de los datos se volvió una completa industria. Ha contribuido, además, a que la alta jerarquía de las empresas tenga que ver con la responsabilidad en el manejo de los datos personales, ya no es un asunto exclusivo de los técnicos. Colombia y la mayoría de países están enfrentados en este momento a un nuevo paradigma y es cómo gestionar –no manejar, porque manejar es manipular-, cómo gobernar, orientar y hacer una buena gestión del dato. Ese es el gran desafío que tienen hoy las empresas porque si vemos el texto del reglamento, que ya ha sido aprobado en la Unión Europea, las exigencias son mayores. Sin embargo, en el caso nuestro, los problemas continúan presentes en la misma conceptualización del tema. ¿Cómo es que todavía confundimos Hábeas Data con Privacidad e intimidad? Son conceptos diferentes. Finalmente, cabe preguntarnos ¿hasta dónde queremos sacrificar nuestra libertad a cambio de mayor seguridad? Pero, igualmente el consumo y los límites que se requieren para que éste sea sensato será un reto para las empresas en era digital. Francisco Rueda Y ¿qué tan bien manejan y entienden tales conceptos las personas del común, el ciudadano corriente?
54
SISTEMAS
María Fernanda Guerrero M. No es el mejor. Lo que se requiere es dar el paso a la alfabetización digital; hay que volver a lo elemental. Eso no se ha hecho. Le aseguro que el movimiento M-15 o de los Indignados y la Primavera árabe tenía muy claro qué pretendían con la revolución que finalmente lograron y que se difundió rápidamente en el mundo. Las convocatorias a través de las redes sociales fueron, sin duda un éxito, pero en la práctica un detenimiento sobre lo que significa el derecho fundamental a la libre expresión y los límites del ejercicio de ese derecho no sobran para darle forma a la ciudadanía digital. La ignorancia en estos asuntos no es sólo de las personas, sino también de los Estados. Un hecho importante en Colombia es que no tenemos aún la reforma a la Ley 1266 y tampoco el fallo de control de constitucionalidad de la Corte Constitucional. Cuando la ley finalmente se firme quedará muy pronto obsoleta. Sobre el comunicado de prensa estoy muy de acuerdo con los salvamentos de voto, porque quedamos con una protección de datos estática de empresas y de personas que tienen datos almacenados. Pero, qué sucede en una realidad más dinámica y práctica en la que el dato viaja de un lado para otro, en donde la libertad de expresión debe permitirse, pero también la seguridad debe ser un límite porque los derechos no son absolutos y hay un bien común que salvaguardar. Internet es un espacio y un concepto de bien común. Todo eso está ausente de muchas leyes nacionales y hasta ahora estamos poniendo sobre la mesa tales asuntos. Recientemente en el Japón se habló de la contextualización del dato personal; es decir, la persona ya no es un nombre o una dirección, sino todo un conjunto de información, sumado al tema de la verdad. Al unir tanta información ¿qué es lo que realmente tenemos? Las definiciones, procedimientos, nuevas metodologías, nuevos modelos de clasificación, todo esto está siendo replanteado. Y el reglamento de la Unión Europea está efectivamente dando la pauta ¿lo que indica que prevalecerá la norma transnacional? No se sabe, pero sí es un referente
Jaime Eduardo Santos (izquierda) dice: “…en Colombia con respecto a la información, usando el lenguaje de los físicos, estamos en el gobierno del caos con su ley de entropía, pues tenemos el desorden más grande con su propio orden,…”.
importante para los países. En los actuales momentos se están abriendo caminos alternativos e inevitablemente hay una narrativa diferente frente a los derechos. Debo permitir la gestión de datos personales también para garantizar otros derechos y ¿cómo lo vamos a hacer?
qué sucede aquí, en la realidad colombiana. En mi opinión existe un vacío entre el marco y su aplicación. ¿Aquí estamos preparados? ¿La ley colombiana está lista? ¿Hay un abismo?
Jeimy J. Cano
Ese es un objetivo global, pero hay que realmente llegar a algo mucho más concreto en la legislación.
Uno de los aspectos que señala el documento al que se ha referido María Fernanda sobre la Unión Europea, espe-cíficamente con relación a la privacidad y el flujo de datos a través de las fronteras, dice: “incrementar inminente atención sobre la protección de la privacidad al más alto nivel de las organizaciones, particularmente haciendo sentido del significado del uso del dato personal”. Es un llamado casi internacional, una declaración que busca motivar a nivel global atención sobre el tema del dato personal, no sólo sobre su protección, sino sobre el dato en sí. Francisco Rueda ¿Y qué tan real es ese asunto aquí? ¿En qué nos afecta que los europeos tengan una reglamentación si los colombianos no la usan, no la apropian ni la concientizan? Son dos mundos. Precisamente lo que tratamos de hacer en estos foros es mirar
María Consuelo Franky
Jaime Eduardo Santos Vicepresidente Legal y de Gobierno Grupo Colpatria En mi labor diaria de abogado uso los planteamientos de María Fernanda como un norte magnético, como un deber ser regulatorio a escala global, que sirve cuando estamos entre el barro de los casos particulares, explorando nuestra realidad local. Podría decir que en Colombia, con respecto a la información, usando el lenguaje de los físicos, estamos en el gobierno del caos, con su ley de entropía, pues tenemos el desorden más grande con su propio orden, que no es necesariamente el esperado por las regulaciones, y a eso nos enfrentamos cada vez que vamos a realizar una investigación. En la realidad, todas las empresas tenemos una clasificación formal de la información, por lo menos en las del sector financiero y las del mercado público de valores, que tienen reglas y control prudencial.
SISTEMAS
55
Se trata de una respuesta formal de las empresas fundada en el Código de Gobierno o con una certificación tipo ISO 27001, es decir, a todo se responde afirmativamente. Pero, cuando se hace una investigación legal o forense, nada de eso pasa del libro a la cultura corporativa. Eso no va más allá de buenos deseos y buenas intenciones. Teníamos todos los libros escritos en el mundo corporativo y ocurrió la crisis de los mercados desarrollados, y tenemos las políticas de protección de la información y permanentemente ocurre pérdida de datos. Entonces es muy distinto el manejo diario del dato, a lo que debería ser en la realidad formal de las políticas y las reglas. Cuando uno está en una investigación concreta y escucha o lee al académico, se dice a sí mismo: -Un día puedo llegar allá, voy a procurar hacerlo, pero mientras tanto existe una realidad aquí, realidad que está mediada por tres variables: La primera es el derecho. Todos dicen las reglas se están cocinando, ya van a salir, como por ejemplo el fallo de constitucionalidad de la Ley de Hábeas Data; La segunda es la economía. Los datos se negocian como cualquier otro bien, dentro de la demanda y la oferta del mercado; no podemos desconocer que ahí aplica la economía pura. Y dentro de la tercera variable, la empresa, ¿Cómo se maneja esto? Como un activo de información, pero no se valora como otro bien patrimonial, sabemos que ahí están las marcas, los inmuebles y los muebles, pero también hay datos de la clientela y cuando se mira en tal sentido no se encuentra una partida en el balance que les asigne un valor. La contabilidad en sí misma no los reconoce, pero en todas partes dice: “aquí la información es un activo”. Y eso da lugar a que se pongan denuncios porque yo perdí un activo y recibí un daño, pero cuando va a mirar ese activo en la contabilidad no está registrado generando un debate probatorio infinito. Pero, si voy más atrás de ese concepto de activo de información, es que la misma banca ya no maneja realmente dinero, sino datos. Hace 10 años, una sucursal bancaria podía tener en la bóveda setecientos millones de pesos, hoy en día puede que tenga unos pocos pesos, porque el 30% o el 50% de las
56
SISTEMAS
transacciones son por Internet, es decir, datos. Toda la seguridad que era para los billetes se reenfoca hacia los datos. Permítanme insistir en que cuando se hace una investigación sobre la pérdida de datos dentro de las compañías, ya se sabe que se va a proceder dentro del desorden, pero el desorden tiene orden, tiene entropías, y entonces uno también aprende a navegar dentro del desorden, y éste siempre va a superar las reglas y el deber ser de los equipos de abogados. En un momento concreto y por ocasiones, los jueces logran construir hipótesis de responsabilidad, y en este tema se han vuelto más importantes sus decisiones que las normas generales. Hacen derecho. Como se puede leer en la línea jurisprudencial de Hábeas Data. Esto es así porque el operador judicial también se mete en el caos y se encuentra con situaciones singulares como que la prueba estaba mal recaudada, que la cadena de custodia no se cumplió. Un ejemplo es el fallo inhibitorio en el proceso que se adelantó usando como prueba correos electrónicos del computador de Reyes, el guerrillero de las Farc. Es decir, toda esa es la realidad que vivimos en el día a día del litigio con pruebas en datos electrónicos y también la realidad del ciudadano pues le pasa lo mismo, él como titular del dato se siente inseguro y confundido con los derechos y obligaciones en un contexto de alta movilidad de su información, de tal manera que debemos adentrarnos en el uso real del dato y en la práctica diaria. Para cerrar les doy un ejemplo: una empresa puede tener una regla en sus códigos de conducta que advierta: “los computadores de esta entidad sólo se pueden usar para fines de la empresa, y no se puede tener acceso a Internet”. Pero, cuando uno va a la empresa eso no es cierto, porque encuentra información en los computadores que dice: “mi amor nos vemos a las cinco para llevar al niño al odontólogo”, u otro: “le vendo un cachorrito que tuvo mi perrita este fin de semana”. Si uno observa esa telaraña de datos personales y empresariales en la intranet de una empresa cuando adelanta una investigación forense debe clasificar y descartar mucha data. Entonces ¿Qué muestra eso? Que la empresa no es un laboratorio en el que se pueda manejar de
forma séptica la información; indica que las empresas y el mundo están vivos y no puedo esperar que pueda controlar la temperatura, la humedad, nada de eso se controla, ocurre y lo que ocurre es que tengo que aprender a navegar para proteger los intereses que esté representando. Francisco Rueda Pero, ¿no se puede buscar una mejor organización? ¿Es un poco lo que va a pasar con las leyes? Jaime Eduardo Santos No, yo creo que la data aprendió a vivir y evolucionar en el caos. Al parecer sigue la tendencia de la entropía en física, que es pasar del orden (baja entropía) al caos (alta entropía). Por lo tanto, no hace falta adicionar la segunda ley de la termodinámica, pues es querer parar la naturaleza con mandatos sociales que caducan todos los días a manos de la ciencia. Por eso estoy en contra de la regulación intervencionista del universo virtual. ¿Qué logra el ciudadano con leyes diseñadas de un solo lado del río, que no se pueden
aplicar y cuando se emiten ya están caducas? En ese sentido puede ser más eficiente el caos; por ejemplo en el "Hay Festival" de Cartagena en enero de este año, en los conversatorios sobre el movimiento de los indignados, algunos escritores extranjeros decían que Brasil y Colombia se han vuelto objeto de observación de los sociólogos y los antropólogos, y ¿Por qué? Porque ¿cómo ha hecho América Latina para funcionar en el caos? Europa perdió la esperanza y Estados Unidos la ética corporativa en un ambiente altamente regulado. Y entonces un sociólogo dice: -Bueno y ¿cómo funciona un lugar como Ciudad Bolívar en Bogotá? ¿Cómo se gobierna un país en vía de desarrollo con un conflicto interno armado de más de 50 años? En este momento estamos siendo objeto de observación, así como la Amazonía ha sido históricamente objeto de observación para los farmacéuticos, hoy en día nuestra sociedad es objeto de observación. Algo hacemos y no sabemos qué es. Entonces no me molesta el caos como el modelo descrito por los físicos cuánticos y sobre el cual ya existen trabajos sociales como el de Arieh Ben- Nain titulado La entropía desvelada, el mito de la segunda ley de la termodinámica y el sentido común, que les invito a leer.
Los invitados analizaron el contexto colombiano y el impacto que tendrá la ley.
SISTEMAS
57
Jeimy J. Cano A la luz del tema práctico, los impactos que eso va a tener en las empresas, toda vez que se trata de una ley estatutaria que habrá que cumplir o sugerir alguna manera para hacerlo. Jaime Eduardo Santos Los impactos de la Ley serán tomados como el calor en la termodinámica. Es decir, que está presente cuando hay trabajo que transforma energía. Lo sentimos, por ejemplo, cuando nuestro PC está procesando información, al tiempo está generando calor. Javier Díaz Evans Creo que el desarrollo tecnológico y las organizaciones tienen la capacidad de enfrentarse a la protección de los datos, se debe trabajar en procesos operativos para su manejo. Tenemos muchas herramientas y soluciones, los controles de seguridad siguen siendo los mismos de hace varios años, tan solo han evolucionado frente a las nuevas tecnologías. El punto está, más que en la tecnología y los procesos, en lo que denominamos Gobierno. Si la organización no tiene la voluntad para proteger los datos, eso nunca se va a dar. El Gobierno está en que la cabeza de la organización establezca la directriz, las personas, los procesos y la tecnología se encaminen a cumplir y que de vez en cuando monitoreemos su cumplimiento. En esa dirección, lo que falta a las organizaciones y a la comunidad es tener claro que proteger los datos personales es fundamental. Y ahí quiero referirme a cómo vivimos hoy en día. Al ir a cualquier organización, llámese banco, clínica, hasta un supermercado; lo primero que hace la organización es pedir información personal. Pueden pedir registro de nacimiento, número de cédula y muchas veces información que no tiene nada que ver con el servicio que nos van a prestar y ahí radica el problema. Ahí es donde las regulaciones empiezan a funcionar, cuando la persona no tiene la capacidad de enfrentarse a las organizaciones y cuando la pelea es difícil por temas de desequilibrio de
58
SISTEMAS
fuerza, las leyes sí funcionan. En ese momento es cuando el Estado debería entrar a tomar partido para equilibrar dichas fuerzas. Lo que está sucediendo es que la organización le dice al ciudadano: -qué pena con usted, pero yo necesito toda la información para poderle prestar el servicio. Entonces se le deben dar a la persona las herramientas para reclamar y exigir una explicación sobre el uso que se le dará a los datos y cómo serán protegidos. En ese momento es necesario y no se puede dejar el caos, más bien empecemos a implementar modelos cooperativistas y control social. Francisco Rueda Pero en estos países la intimidad es un asunto del que el ciudadano no se ocupa. Estoy tratando es de sobrevivir. Para la mayoría de las entidades el tema de la privacidad quizás no es importante. Que los pongan a hablar de seguridad de pronto sí, pero de intimidad no, ¿qué tan “exquisito” es ese tema para una empresa? Javier Díaz Evans Las empresas las hacen las personas y esto es una ley que a cada uno de nosotros nos interesa. Como miembro de junta directiva, alta dirección o líder de una organización, me preocuparía sobre qué van a hacer con mis datos, para qué los van a utilizar. Si soy consciente de eso y dirijo una organización, voy a hacer lo que sea para que mi empresa responda en ese sentido, porque presto un servicio a la comunidad. Esto es regulación bajo un modelo de control social. María consuelo Franky A pesar de que vivimos en el caos es necesario regular, porque si no lo hacemos quedamos por fuera de la globalización. Entiendo que esto es importante para poder negociar con otros países como Estados Unidos y los países de Europa. Tener esa legislación significa atraer la inversión y poder tener más puestos de trabajo, por ejemplo, en el negocio de los call centers. Esa inversión no ha llegado todavía porque a Colombia lo han visto como muy inseguro al respecto del tema de
Dentro del impacto de la ley en el país, en la mesa de debate fueron contemplados también los costos.
protección de datos. Entonces sí debemos legislar. Sin embargo, el aspecto más importante es la cultura dentro de las empresas. Todos debemos tomar conciencia sobre cuáles son nuestros derechos y deberes sobre los datos personales, pero dentro de las empresas también. Porque muchos de los delitos informáticos son realizados por los mismos empleados de las organizaciones, quienes manejan las bases de datos. Y ahí debe haber un proceso de cultura, de pronto no son conscientes de que lo que están haciendo es un delito. Hay que escribir, manuales, guías, procedimientos técnicos de seguridad, teniendo en cuenta que en la parte técnica no hay una solución 100 por ciento completa. No creo que en términos técnicos el avance sea apreciable, a pesar de los desarrollos recientes. Siempre va a haber vacíos, hay posibilidades de fraudes de suplantación de la identidad. Mi trabajo se orienta mucho a la seguridad para aplicaciones web y lo que he visto en las interventorías a los sistemas en el país es que existen muchas deficiencias. Son conocidos los temas técnicos de protección por roles para determinar quién se puede autenticar ante un sistema. Pero lo que sucede es que frecuentemente se protegen las páginas web, pero no el resto del sistema que es lo realmente importante. Así que cualquier ha-
cker suplanta las páginas e ingresa a los componentes internos del sistema y por ahí entran fácilmente a la base de datos. Me he referido a la seguridad cuando trabajamos con servidores de aplicaciones. Es lo que hoy en día utilizamos para aplicaciones en la web. No hay protección en muchas aplicaciones; a pesar de que están los elementos para proteger los sistemas, apenas se protege el acceso a las páginas y el vacío es enorme. Ahora con los sistemas en la nube, a veces operan para muchas empresas a la vez y comparten una misma base de datos, así que desde el punto de vista técnico cualquier tipo de consulta que se haga debe llevar un filtro indicando cuál es la empresa que está haciendo la consulta para que ésta no pueda ver los datos de la otra empresa. Pero eso es difícil lograrlo. En resumen, desde el punto de vista técnico, existen elementos para proteger el acceso a los datos de los sistemas, pero, frecuentemente no se aplican y cuando se hace de todas formas no existe la posibilidad de evitar la trampa dentro de la empresa que administra tales sistemas. Jeimy J. Cano Hay una tendencia hacia la privacidad por diseño, relacionada con el tema técnico para introducir estos aspectos dentro del
SISTEMAS
59
tema de seguridad. Ahora nos referiremos a los asuntos jurídicos, la ley en concreto. A la luz de la práctica de dicha ley ¿cuáles son los impactos que ustedes contemplan en su implantación, uno de ellos los costos? No sólo para el sector financiero, sino para todo el mundo, desde el edificio que administra una huella biométrica hasta el señor del supermercado que tiene n datos personales con la famosa tarjeta puntos. En opinión de ustedes ¿cuál sería la crítica constructiva, sumada a los impactos que pueda tener en los sistemas de información? Francisco Rueda Pero cómo hacer para que al ciudadano joven le interese su privacidad, cuando pone fotos, información de todo tipo sin ninguna preocupación. Por mucho que advierta la Comunidad Europea, para los jóvenes del mundo no es una preocupación. María Fernanda Guerrero A la gente joven le interesa ser vista. Se preocupa muy poco por los riesgos, pero esa actitud puede originarse por simple desconocimiento. En todo caso, el cumplimiento de la ley depende de la motivación de querer cumplirla, porque se cree y se comparte sus postulados y mandatos. César Villamizar Por estos días llegó a mi oficina una amiga de vieja data, abogada, y me dijo: “soy penalista y convivir con la delincuencia de cerca no me asusta. Pero, hoy sí estoy asustada porque tocaron a mi hijo a quien le hicieron el paseo millonario.” Deberíamos preguntarnos, entonces ¿cuándo les va a preocupar a las personas el manejo de los datos personales? Ahí es cuando nuestra entidad como brazo de la administración de justicia en la recepción de denuncias -se está evolucionando al entorno de la denuncia no formal, a través de los medios tecnológicos como lo es el CAI virtual-, percibe que desde el más joven hasta el más anciano, pone en conocimiento hechos como
60
SISTEMAS
los siguientes: “-Me robaron los datos personales, me subieron un perfil en Facebook, etc.” A partir de ese momento sí aparecen las preocupaciones. Las causas generalmente corresponden a la mala práctica de diligenciar en la web cualquier formato o formulario, que aunque sea con datos falsos, se ha podido establecer que de 10 formularios, al menos 5 contienen información cierta. Entonces, esos datos se convierten en el insumo fundamental y de utilidad para la ciberdelincuencia. En ese momento sí existe la necesidad de la protección, investigación y acudo a la administración de justicia. A los usuarios no les importa cómo y quién los regule en la navegación, pero el día que pasa algo sí la buscan. Me parece muy importante el tema de los principios, sobre todo para garantizar la integridad, con qué política va a garantizar los datos personales. La problemática es la afectación que se da con el uso de los datos personales, pero insisto, mientras estos no estén en juego no pasa nada. En ese caos vivimos, para compartir la opinión del doctor Jaime Eduardo Santos. Vivamos así que está bien, el problema es cuando se pasa la barrera de los datos personales en su utilización sea para bien o para mal. Si publican algo bueno perfecto, pero si publican algo malo viene el problema. La crítica a la ley estatutaria es que ordena la creación de un organismo para administrar bases de datos, pero está ausente la de crear institución alguna que nos permita identificar dónde están, quien tiene datos personales. En todas partes los datos de cada uno de los aquí presentes están circulando. En ese sentido se quedó corto el legislador en decir, pongámonos en cintura y miremos a ver qué tantas personas tienen datos personales, no todo el mundo se va a someter a la Superintendencia de Industria y Comercio para matricular la base de datos, que es lo que el Gobierno tiene que entrar a reglamentar a partir de la sanción de esta ley. Jaime Eduardo Santos Yo sigo con la hipótesis del caos para responder a César. Usted dice que sí sabe cuándo importa en un caso específico que conoció, y yo le digo que si nos metemos en la física cuántica, que es inherente a los grandes números, no importa esa singularidad en el
caos. Eso lo tienen clarísimo los denominados Numerati, que a toda hora están procesando datos estadísticos para gobernar. Cuando estamos operando en el mundo de bases de datos se está trabajando con grandes números en el lenguaje estadístico, para poder hacer predicciones útiles en torno a asuntos como el diseño de perfiles de riesgo de un segmento de clientes. Entonces, es una forma dura de contestar un evento particular, pero las bases de datos funcionan dentro de los criterios de los grandes números y cuando a uno le sucede algo, claramente le pasa y eso para uno es severo, emocional y patrimonialmente. Eso no es marginal para un ciudadano, en concreto es su vida, es el ciento por ciento. Entonces ningún ciudadano se encuentra por fuera del caos, todos estamos en relación con el caos en un nivel distinto, que era la pregunta de Francisco en relación con los jóvenes. Ellos forman parte también de ese caos, pero en un nivel distinto. O cuando Francisco se refería a los conceptos que emitía María Fernanda como algo muy exquisito de tratar. Yo lo veo con el filtro de la pirámide de Maslov. Si tengo un país en el que la gente no tiene empleo, pues qué le va a importar dónde está su dato o venderlo o prestarlo para sobrevivir. Pero atendiendo directamente la pregunta, creo que el impacto de esta Ley no va a ser nada distinto a un dato más en el caos, y que para que podamos empezar a digerirla, tenemos que trabajar con algún sistema de los que ya están muy cimentados en la banca, como los Sistemas de Administración de Riesgo-SAR,
que tienen un apellido como SARC, SARM, SARO, etc. César Villamizar Pero ese transporte debe tener unas condiciones mínimas de seguridad para poderse movilizar. Jaime Eduardo Santos Si esas condiciones mínimas se desarrollan dentro del caos sin intervención de autoridad. Esa es la diferencia entre lo que desea la regulación y lo que ocurre en las vías. Por la carrera séptima unos circulan en bus, otros en carro, otros en bicicleta, pero todos dentro del mismo caos, uno muy cómodo, otro apretado y otro haciendo equilibrio. Francisco Rueda Cuáles son las debilidades en la ley actual. ¿Cómo la ven? ¿Qué opinan? ¿Se quedó con lo tradicional, sin tener en cuenta el nuevo entorno de las redes sociales, la comunicación móvil, entre otros aspectos? ¿Cuáles son en resumen las grandes críticas, los grandes aciertos de esa ley, desde el punto de vista jurídico? María Fernanda Guerrero De alguna manera la ley solucionó algunos asuntos que teníamos sin resolver de tiempo
María Fernanda Guerrero (izquierda) señala que la protección de los datos debe contemplar un concepto holístico.
SISTEMAS
61
atrás. Por ejemplo, que la protección de datos era exclusivamente para datos del sector financiero. Hay otros datos que ameritan ser protegidos. La mirada debe ser a partir de un concepto holístico, pues todo está relacionado finalmente con datos. Una debilidad muy grande es el tema de la autoridad garante de protección de datos, porque no son autoridades independientes dentro de la administración. Y aunque se han logrado avances el sesgo se mantiene, la ley se enfoca al dato económico almacenado en centrales de riesgos. Es algo así como un poder preferente. Y en el tema constitucional, es decir, el Hábeas Data como derecho constitucional nos quedamos cortos, especialmente frente al ámbito de aplicación de los artículos 15 y 20 de la Carta. Al parecer, quisimos hacerlo mejor, pero finalmente estamos en lo mismo. Pero, soy optimista y espero que pronto tengamos la sentencia de la Corte para salir de las dudas. La motivación de los salvamentos parece contundente y llevaría a pensar que lo mejor habría sido declararla de una buena vez inconstitucional; sin embargo, me embarga la esperanza de que tendremos un mejor marco regulatorio a futuro. Eso depende de nosotros. Javier Díaz Evans En una reunión con el doctor Nelson Remolina le preguntaba sobre cuál es la definición
jurídica de datos personales, cuál va a ser el alcance y qué se va a controlar con la ley de protección de datos personales. El problema radica en que todos tengamos claridad de estas respuestas. No podemos decirle a las personas, a través de una ley, qué pueden o no hacer con sus datos personales. Vivimos en un periodo donde las personas exponen y comparten sus datos personales sin medir el impacto de sus acciones. Pero lo que sí está detrás y lo que sí debemos buscar con esta ley es controlar qué van a hacer las organizaciones (ej.: redes sociales) con dicha información. En las redes sociales y otros sitios en Internet lo complicado es que la información salió de nuestra jurisdicción y nuestras leyes no tienen la capacidad de protegernos, porque se trata de una empresa fuera de Colombia, regulada por leyes extranjeras. Es complejo regular las acciones de los ciudadanos, pero sí las acciones de las organizaciones que pueden afectar a las personas por el tratamiento, manipulación y comercialización de la información personal. César Villamizar Vendría en ese entorno la tercerización de los servicios. Hemos tenido casos en los que la fuga de información no es endilgable a la empresa titular del dato personal, sino a una compañía tercera que vende servicios, seguros, productos, entre otros. Y es allí
César Villamizar (primero, izquierda) se refiere a la tercerización de los servicios.
62
SISTEMAS
María Consuelo Franky enfatizó en aspectos como la prevención y la penalización.
donde hemos visto que como ellos no comulgan con la filosofía de la empresa y no les interesa la administración del dato, entonces es allí donde se fuga la información personal para crear cuentas falsas, para enviar spam, etc. Tiene una gran incidencia la tercerización de los servicios. Francisco Rueda Pero eso se puede interpretar en dos sentidos. Por una parte, existe la experiencia y uno se arriesga a enviar su información. En una empresa como Google o Microsoft, ¿no será que son más seguros los datos allá que aquí en un centro de datos ubicado en el centro de la ciudad? Ahí puede pasar cualquier cosa. Entonces, desde el punto de vista de la tercerización ¿es positivo o negativo para los asuntos que estamos analizando? César Villamizar Para nosotros todos los servidores de correo electrónico no están en el país y son un problema, porque pedimos información y esas empresas nos entregan lo que quieren. Por ejemplo, Hotmail nos entrega datos, a pesar de que en la creación de las cuentas existe información que cada usuario pone, lo único real es la dirección IP, y eso. En torno a las
empresas, sobre todo algunas relacionadas con la banca, tercerizan la administración de los datos. Por ejemplo, algunos call center que administran información de empresas de telefonía celular y de la banca. Es allí donde hemos visto la falencia porque existe el riesgo de pérdida de los datos. No se trata de que los administren bien o no, sino el riesgo de que mi dato, el que le confío al banco X no me lo administre ese banco con quien yo hice el acuerdo, sino un tercero, con quien yo no tengo ningún tipo de contacto. Esa es la problemática, porque qué puedo exigirle a ese tercero si yo no lo autoricé. María Consuelo Franky Pero precisamente ahí es donde el banco es el responsable y no el tercero. Por eso necesitamos también la ley. Me parece importante el aspecto de prevención, pero me parece que aquí lo fundamental es la penalización, en la medida en que no sabemos en dónde están los datos. Cuando ocurre un delito debe haber una legislación al respecto. En esos casos el banco debe ser el responsable. O en el caso de Facebook pues no podemos penalizar allá la empresa que está por fuera del país, pero sí al usuario que puso un perfil con datos falsos. Tiene que ser punitiva la ley en ese sentido, para evitar los fraudes.
SISTEMAS
63
Javier Díaz Evans El control de los proveedores y terceros que apoyan las actividades de las organizaciones es un frente de trabajo fundamental en los modelos de control. El acceso, manipulación y tratamiento de datos personales por terceros debe controlarse sin transferir en su totalidad la responsabilidad en ese proveedor. En la actualidad el eslabón más débil en el modelo de seguridad se ha convertido en el proveedor más débil de la cadena de valor de su organización. Con este entendimiento y preocupación en la industria, se está desarrollando la norma ISO 27036 para la protección de la cadena de suministro. Nuestras organizaciones deben garantizar que todo proceso operativo o cadena de valor esté seguro en cada una de las partes o elementos involucrados (sea una actividad, persona, proveedor, entre otros). Ejemplos de esta preocupación se han dado en los últimos meses. Una empresa de seguridad con mucha reputación dedicada al desarrollo de algoritmos criptográficos fue víctima de un ataque estructurado con el cual los atacantes obtuvieron información de propiedad intelectual lo que afectó a varios de sus clientes que quedaron vulnerables en Internet. Debemos tener cuidado con no diluir la responsabilidad de protección de datos aunque tercericemos la operación o entreguemos información sensible. Sara Gallardo M. Editora Revista Sistemas Y en la práctica, ¿eso sí se cumple? Javier Díaz Evans Realmente no. Las herramientas y servicios de Internet son utilizadas por muchas empresas medianas y pequeñas las cuales firman contratos estándar donde no es posible pedir al proveedor que se cumplan los requerimientos de seguridad propios de cada organización. Cada empresa tiene un nivel de riesgo aceptable, los contratos estándar para unos pueden ser beneficiosos y para otros no. Estandarizar los niveles de riesgo es difícil, porque esto impacta el P y G de las organizaciones. Así que cada empresa debe administrar sus proveedores, su cadena de
64
SISTEMAS
suministros. Si voy a estar en la nube, pues lo mínimo es solicitar que se cumplan mis requerimientos de seguridad. Jeimy J. Cano Esto ha sido un caos benéfico, han ido apareciendo elementos. Y, finalmente el hecho es que la ley viene y las empresas se tienen que preparar. Cuando entró en funcionamiento la circular 052 de 2007, todos los bancos revisaron e hicieron el estudio de cuánto iba a costar la puesta en marcha de la norma y, en ese momento, eso llegaba a dos millones de dólares. Entonces la pregunta es ¿eso va a tener impactos en las organizaciones y van a tener que acudir a las prácticas de seguridad de la información para comenzar a entender cuál es el requerimiento de la ley? Eso va a ser una reacción natural de todo el mercado. Igualmente, en la Academia también hay impacto, particularmente en el desarrollo de software, donde se deberá incluir el concepto de privacidad por diseño. Eso va a ser otro reto, será lo que va a exigir la ley, la protección del dato sensible. Y las personas que están detrás de la tecnología se preguntan ¿cómo esos asuntos se incluyen por diseño? El tema es que la norma va a tener muchos impactos. El primero, a nivel corporativo, porque según la norma quien responde es el que está en el más alto nivel organizacional. Dos, hay que tener un manual de protección de datos personales, oficial, declarado. Tres, los temas de investigaciones judiciales, van a tener otra exigencia que cursar, dado que se trata de un derecho constitucional vía ley estatutaria. Cuatro, el impacto en la Academia sobre cómo se hacen las aplicaciones y qué significa la seguridad por diseño. Y el impacto natural, como lo anota María Fernanda; la norma lo que va a generar es una industria como le ocurrió a España, en el año 1994. En ese entonces en ese país existían sólo dos o tres cursos de seguridad informática. Diez años después, más de 100 posgrados y doctorados, a raíz de la Ley Orgánica de Protección de Datos Personales –LOPD-. Estamos en un momento muy importante en el país, donde
va a haber muchos elementos que se van a conjugar; se van a alinear los planetas para que todos comencemos a hablar un único idioma sobre la protección del dato personal, como derecho fundamental del individuo, sea en investigación, empresa, Academia, o en cualquier ámbito. En ese contexto quisiera que dieran su conclusión sobre lo que hemos conversado, para darle cierre al foro. María Consuelo Franky Desde el punto de vista técnico y de la Academia hemos venido enseñando cómo hacer aplicaciones seguras; pero, otra cosa es que lo apliquen en la realidad profesional. Cuando por la nueva ley se impone el diseño de seguridad desde el principio, las aplicaciones deben contemplar en primera instancia la seguridad. Por ejemplo, el módulo de seguridad es lo primero que debe construirse en una nueva aplicación, más cuando todo hoy en día está relacionado con la web. Pero, uno ve en la práctica que en muchas ocasiones la seguridad se aplica al final del desarrollo de una aplicación. Es decir, están haciendo las cosas al revés. Así que en la Academia tenemos que enfatizar mucho más sobre la manera de hacer estas aplicaciones para la web, y propender porque
los estudiantes una vez se gradúen, estén preparados para trabajar de esa manera. Francisco Rueda ¿Qué tantas modificaciones requiere la circular 052, si se quiere introducir esta Ley en su totalidad? Javier Díaz Evans Esta discusión es muy interesante y hemos profundizado el tema en varios foros con expertos en seguridad. La conclusión es que no podemos continuar nuestro día a día y rol de oficiales de seguridad en las organizaciones, esperando a que llegue una nueva ley para desarrollar un nuevo proyecto de varios miles de dólares. Mi posición personal es que la publicación de nuevas leyes no puede seguir impactando a nuestras organizaciones. Los modelos de seguridad se han consolidado, las primeras regulaciones fueron un apoyo para organizarnos y desarrollar muchas iniciativas de la estrategia de seguridad que estaban detenidas por temas de presupuestos. En la actualidad, los proyectos de seguridad ya no se cumplen por norma o por ley, sino son temas transversales dentro de la organización, la alta dirección y junta directiva comprenden que la seguridad
Javier Díaz Evans (derecha) advirtió sobre la necesidad de que las organizaciones, más allá de la ley, adopten la seguridad como un asunto transversal.
SISTEMAS
65
puede generar valor dentro de las compañías y que una gestión adecuada y uso adecuado de los recursos son directrices claves de la administración y gobierno de seguridad. No nos debería afectar; un impacto mayor a la organización será porque no estaba haciendo la tarea de forma adecuada. La nueva versión de Cobit 5 nos presenta una visión de seguridad de la información más amplia: es un tema transversal, de gobierno, el nivel de seguridad debe tratarse más arriba que solo como un tema técnico u operativo. Creo que nuestra misión y labor como oficiales de seguridad es dejar un poco los temas técnicos, para llevar estos asuntos a un nivel de alta dirección y Junta Directiva en el marco de los objetivos de la organización. La información y los datos son los mismos, pero no existía la claridad sobre la clasificación de datos personales y su protección. Jeimy J. Cano A la fecha se tiene registro de tecnologías novedosas para asegurar datos clasificados, las cuales hablan de almacenamiento cifrado, control de acceso vía hardware con pin de autenticación para discos externos y USB, los cuales representan una oportunidad para el almacenamiento y transporte de información clasificada disminuyendo los riesgos propios de los datos en movimiento. Los proyectos de DLP – Data Lost Prevention-, son otra alter-nativa para el control de la información sensible en las empresas, la cual exige de la organización una práctica de clasificación información base claramente asegurada en sus procesos. Javier Díaz Evans Hace algunos años asesorando a un nuevo banco que iniciaba operaciones en Colombia, un auditor de la Superintendencia Financiera, realizando una revisión del cumplimiento de la Circular Externa 052, solicitaba protección de borrado seguro automático cuando se transportaban datos personales en dispositivos móviles, dicho control podía ser complejo debido a que en esa época, aproximadamente unos 5 años, los datos móviles y el control centralizado de dichos dispositivos no era una solución econó-micamente viable. El interés
66
SISTEMAS
de proteger los datos personales lleva varios años, esa protección requiere de recursos y de una directriz propia de la organización, la cual puede ser una iniciativa propia de la organización o reforzada con una ley como la que hemos discutido el día de hoy. Esperemos que las organizaciones entiendan que es un tema que nos interesa a todos. María Fernanda Guerrero El binomio para mí es seguridad-libertad, el concepto de seguridad implica dos caras. La seguridad que impida la intromisión abusiva, pero también la libertad positiva, hacer las cosas. La fuerza del mercado y de las empresas debe tener de frente la fuerza de los derechos. En la medida en que conozcamos perfectamente tales conceptos, tal vez podamos vivir en una forma más armónica frente a los desarrollos tecnológicos y los demás asuntos relacionados. César Villamizar El juego que damos nosotros desde el punto de vista de policía administrativa y de investigación o judicial es bastante significativo en los asuntos que entran a regir por el legislador. Debemos estar de parte de la seguridad como un principio fundamental de nuestra institución hacia los fines esenciales del Estado, pero también debemos garantizar esa privacidad como principio fundamental. Es decir, también nos tenemos que someter como empresa al tratamiento de los datos personales, porque de hecho nosotros somos administradores de los mismos. Así que lo importante es alinearnos con la ley y la jurisprudencia y, antes que todo, entender conceptos jurídicos como son el hábeas data, la intimidad y el derecho al buen nombre y a la información, puesto que son asuntos diferentes. Son tres autopistas que no se tocan, pero las tres apuntan a lo mismo, hacia la buena administración de los datos personales. Entonces desde la visión de la Policía Judicial es muy importante que las empresas que estén quedadas se pongan al día muy rápido. Para nosotros sería una garantía, porque nos van a certificar los datos que requerimos en las investigaciones, ya no serán erróneos. El
Jaime Eduardo Santos planteó nuevas formas de acercamiento a la problemática de la información y la seguridad.
camino será más expedito y tendremos la confianza sobre los datos personales, desde el punto de vista de la acción penal, porque nos ayudan en esa persecución del que está administrando mal los datos personales, es decir los delincuentes. Lo que quiere decir que cerraremos esa brecha al delito. Jaime Eduardo Santos Entiendo que para mis compañeros de foro el
concepto de caos de la termodinámica no es trasladable para el tratamiento del dato, pero asumí el riesgo de argumentarlo en un foro de ACIS que da el ambiente ideal para incluir nuevas formas de acercamiento a la problemática de la información y la seguridad. Sin embargo, como tesis alternativa propongo diseñar un sistema de riesgo de la información y dentro de ese SARI seguir el ISO 27001, Cobi u otro modelo similar, pues siempre contribuirán a conservar el orden deseado.
Sara Gallardo M. Periodista comunicadora, universidad Jorge Tadeo Lozano. Ha sido directora de las revistas “Uno y Cero”, “Gestión Gerencial” y “Acuc Noticias”. Editora de Aló Computadores del diario El Tiempo. Redactora en las revistas Cambio 16, Cambio y Clase Empresarial. Ha sido corresponsal de la revista Infochannel de México y de los diarios “La Prensa” de Panamá y “La Prensa Gráfica” de El Salvador. Autora del libro “Lo que cuesta el abuso del poder”. Investigadora en publicaciones culturales. Fue gerente de Comunicaciones y Servicio al Comensal en Andrés Carne de Res. Es corresponsal de la revista IN de Lanchile y editora de esta publicación.
SISTEMAS
67
Uno
Los CISO´s opinan Desde su criterio y práctica, se refieren a la realidad de la seguridad de la información en el país. Cinco Jefes de Seguridad de la Información –Chief Information Security Officer- de las más reconocidas organizaciones del país, dieron respuesta a las siguientes inquietudes planteadas: 1. La computación en la nube se ha convertido en una realidad emergente en las empresas colombianas. En este contexto y sabiendo que necesariamente las organizaciones se migrarán a la nube, ¿cuáles son las consideraciones de seguridad de la información en la que el CISO no se puede equivocar, para balancear la necesidad natural de mejorar la ecuación de costos de la empresa, frente al uso de la TI y el aseguramiento de la información clave de la compañía? 2. Las redes sociales se han convertido en un fenómeno concreto del empoderamiento de las personas, frente al uso de la información. En este escenario ¿cuáles recomendaciones de seguridad de la información se deben tener en cuenta para limitar la fuga y/o pérdida de la información o deterioro de la imagen corporativa? ¿Cuáles son las soluciones procedimentales, éticas o tecnológicas? 3. Los activistas de las redes, los grupos emergentes como Anonymous y otros similares reclaman atención sobre sus declaraciones o actividades. En tal sentido, cualquier empresa puede ser susceptible de acciones "activistas informáticas" que impacten la operación de alguno de sus sistemas. ¿Cuál debe
68
SISTEMAS
ser la posición de un CISO frente a esta amenaza social informática? 4. Cada vez más las organizaciones entregan su operación a terceros confiables, los cuales tienen a cargo la información de negocio de las empresas; de ahí que sea necesario incluir dentro del modelo de seguridad de la información tales actores. En esa dirección, ¿cuál debe ser la posición del CISO ante las iniciativas internacionales de certificación en seguridad de la información de estos terceros, en torno a referentes como la ISO/IEC 27036-Guidelines for security of outsourcing? 5. Las soluciones móviles son una clara exigencia de las organizaciones y los procesos de negocio, así como la demanda incremental de los individuos en las empresas, para el uso de sus dispositivos móviles personales. Considerando los riesgos propios del uso de estas tecnologías frente al tratamiento de la información, ¿cuáles son las recomendaciones del CISO para mitigar el riesgo y mantener la movilidad en la empresa? Empresas Públicas de Medellín E.S.P. Manuel Humberto Santander Peláez Arquitecto Seguridad de la Información manuel.santander@epm.com.co 1. Las siguientes: • Las políticas de seguridad de la información no son negociables, pues se trata de la declaración de la gerencia
sobre el uso aceptable de la información y son de obligatorio cumplimiento, para cualquier solución que sea brindada en el marco del desarrollo normal del proceso informático en la compañía. • El CISO nunca puede ir en contra de los objetivos estratégicos de la organización. Siempre debe encontrar una solución que minimice los riesgos a los cuales está expuesto el negocio y que permita que queden en un nivel aceptable, de acuerdo con lo definido en el proceso de gestión de riesgos corporativo. En caso de no existir solución factible para la empresa, es importante obtener la aprobación para incurrir en el riesgo por parte del comité de seguridad y de los dueños de los activos de información afectados. • El proceso de monitoreo debe incluir especial atención en estos riesgos para proceder a detectar riesgos materializados en el acto, de tal manera que el impacto para el negocio sea mínimo. 2. Las siguientes: • Normativas: debe establecerse claramente un reglamento de propiedad de la información que contemple la posesión de la propiedad con respecto a la información generada en las dependencias de la empresa y las respectivas responsabilidades civiles, disciplinarias y penales en las que se incurren, en caso de la violación del mismo. • Tecnológicas: Debe existir un buen sistema DLP en sitio, que permita bloquear proactivamente cualquier intento de fuga de información correspondiente a activos de información críticos dentro de la organización. 3. Esta amenaza siempre ha existido, solo que por primera vez es visible y podemos observar cómo el concepto de asonadas y manifestaciones de grandes grupos de personas ya se trasladó al ámbito virtual, con los respectivos impactos equivalentes. Simplemente, debe ser considerada dentro del análisis de riesgos y mitigada en forma adecuada, de acuerdo con el contexto y el entorno empresarial.
4. De acuerdo con mi experiencia, las compañías que prestan los diversos servicios de outsourcing en Colombia, apenas están empezando a incursionar en tener sus propios sistemas de gestión de seguridad, tanto para procesos internos como externos. Si el negocio considera valiosa la tercerización de uno o más procesos de operación, el CISO está en la obligación de exigir la seguridad requerida a la empresa, en términos del sistema de gestión de seguridad interno, del cual el tercero formaría parte integral. Aunque el estándar ISO 27036 todavía está en desarrollo, es posible incluir dentro del contrato de prestación de servicio, la obligación estricta en el cumplimiento de los objetivos de control de ISO27002 y asegurar la eficacia requerida mediante los indicadores definidos por la norma ISO27004. 5. Las siguientes: • Los dispositivos móviles son una extensión del perímetro de red de la empresa. Por lo tanto, dichos equipos deben incorporar todas las medidas para salvaguardar la confidencialidad, integridad, disponibilidad, trazabilidad y no repudio de la información, tales como suites de protección endpoint contra exploits y malware, cifrado de información y autenticación fuerte, entre otros. • Los protocolos de transmisión deben contar con las características de seguridad necesarias para garantizar el no repudio de las transacciones realizadas desde ellos. ATH S.A. Javier Díaz Evans Director de Seguridad de la Información jdiaz@ath.com.co 1. Es importante resaltar que la Seguridad de la Información debe estar un paso al frente de las iniciativas o soluciones tecnológicas que puedan apalancar a la organización. Dentro de estas soluciones esta la Nube. Su implementación dependerá de las necesi-
SISTEMAS
69
dades de la organización y existen soluciones para un grupo específico de usuarios, procesos transversales, actividades de soporte, estratégicas o misionales; nubes públicas o privadas, entre otros. La función de seguridad es garantizar que se pueda utilizar sin afectar o impactar a la organización. Adjunto los elementos claves frente al control de dicho servicio: • Gestione un inventario de los servicios en la nube: Existen 2 grandes riesgos el primero que no se tenga controlada la adquisición de servicios en la nube y el segundo que no podamos detectar el uso de nuevos servicios. • Incluir clausulas de seguridad en los contratos: No solo para estos contratos sino para todos hay fallas en la inclusión de clausulas de seguridad, se debe tener claridad de la identidad de quienes proveen el servicio, muchas veces se termina dependiendo de un proveedor único. • Análisis de Seguridad del Proveedor: La gestión del proveedor es una actividad fundamental la ausencia de monitoreo y seguimiento de los acuerdos establecidos es un riesgo muy crítico para las organizaciones. Es fundamental incluir las cláusulas de derecho a auditar. • Cumplir con las leyes y regulaciones: Se debe verificar si los datos que se van a enviar a la nube están autorizados por leyes. La privacidad o la regulación de ciertos datos pueden prohibir esta práctica. • Protección de Datos: En la nube puede fugarse información o perder control de su clasificación, resguardo, destrucción, etc. • Actualización de la arquitectura de seguridad: la organización debe soportar el uso seguro de los servicios en la nube. Elementos a • considerar: conexiones seguras, federación de usuarios, uso de sistemas de prevención de fuga de información. • Gestión de Incidentes, Crisis y Continuidad: Se asume que en la nube se eliminan los problemas de continuidad de la información, esto es un error. • Adicionalmente la investigación y los temas forenses se vuelven complicados.
70
SISTEMAS
2. Las redes sociales pueden ser una herramienta efectiva de colaboración y de apoyo para tareas claves dentro de la organización. Adicionalmente, no podemos seguir haciendo caso omiso sobre cómo operan en la actualidad nuestros colaboradores. Estas herramientas son su interacción con el mundo, su uso no afecta la productividad y el no tener estos servicios puede ser un motivo de inconformismo o rechazo a la organización. Adjunto algunas recomendaciones: • Normas de conducta y uso adecuado de las herramientas. Seguridad de la Información no puede continuar atajando o poniendo límites a las acciones de las personas. Debemos orientar las actuaciones de nuestros colaboradores, dejando claro lo que está bien y lo que está mal y estableciendo políticas de uso adecuado de los recursos. • DLP: los sistemas de prevención de fuga de información son fundamentales. Importante que la organización defina claramente los niveles de sensibilidad de la información y dentro de estos se encuentre la información privada. • Control de contenido: Estas herramientas exponen claramente a la organización y a las personas a riesgos de código malicioso y acceso a contenido no autorizado. 3. Es importante que las áreas de seguridad entiendan que el ciberespacio presenta amenazas que impartan no solamente los criterios de la información como son Confidencialidad, Integridad y Disponibilidad, otros impactos como la reputación la pérdida de mercado, la disminución de la confianza de nuestros clientes son hoy en día las que más nos están afectando. Debemos reforzar nuestros procedimientos de emergencias y respuesta a incidentes, alistarnos para reaccionar a lo que no conocemos. Nuestra organización ha desarrollado un modelo de Ciberseguridad que consta de 4 elementos claves: • Cibergobierno y acuerdos recíprocos. • Inteligencia de Seguridad.
• Conocimiento de nuestras falencias. • Planes de respuesta.
Director de seguridad Informática L.A. carlos.zambrano@terpel.com
El Cibergobierno nos ayuda a tener la capacidad de incluir a otras organizaciones dentro del esquema de Ciberdefensa y se establecen acuerdos con estos, para compartir conocimiento y apoyarnos en estrategias de respuesta.
1. La computación en la nube almacena múltiples riesgos de seguridad y tiene características particulares que hacen necesaria una evaluación de ese contexto frente a la integridad de los datos, la recuperación y la privacidad. De la misma manera, un análisis de las cuestiones legales, toda vez que cada país administra su propia apreciación en la protección de la información, de la cual no hay una única ley estándar en torno a las exigencias de la privacidad de los datos y la ubicación de la misma, a nivel contractual.
4. Todos los esfuerzos que podamos hacer son bienvenidos, pero recomiendo aunque se incluyan elementos como certificaciones del proveedor; hacer un seguimiento, control y monitoreo constante del cumplimiento de los requerimientos de seguridad por parte del proveedor. 5. El consumo o uso de los dispositivos personales para actividades de negocio es una realidad. Las áreas de seguridad deben tener clara la forma de proteger la información cuando se implementen estos lineamientos dentro de sus organizaciones. Se deben definir varios controles, los cuales enumero a continuación: Administrativos: • Establecer la política. • Definir el uso adecuado de los dispositivos personales. • Definir qué tipo de dispositivos son aceptables. • Establecer un proceso para la autorización y aprobación del uso de los dispositivos personales. • Licenciamiento, cumplimiento de leyes y regulaciones, etc. Técnicos: • Definir la arquitectura de seguridad para el uso de dispositivos personales. • Establecer la forma segura de acceder a las aplicaciones y datos. Ej.: Sandbox, segregación lógica de negocio y personal, aplicación de todos los controles de negocio y pérdida de privacidad. · Métodos de borrado seguro de información. Organización Terpel S.A. Carlos Alberto Zambrano Smith
Los clientes deben exigir transparencia en el modelo de despliegue, principalmente en la categoría de sus datos en las zonas Pública, Privada, Híbrido y Comunidades. No podemos dar la espalda, pero las tendencias de las empresas por el nivel de costos y flexibilidad administrativa, hace que la computación en la nube sea atractiva, de ahí que los responsables de la seguridad informática deben buscar un equilibrio entre la operación del negocio y la protección de la información. Este servicio todavía está en la búsqueda de la madurez del equilibrio entre seguridad de la información y operación del negocio. En consecuencia y desde mi punto de vista, basado en las prácticas del entorno de la pérdida de imagen por la fuga de información, es importante que el cliente no exponga su información sensible o del core estratégico de la organización, sino que use el modelo tipo "Escalera"; es decir, ir llevando a la empresa a medida que los proveedores del servicio de computación en la nube respondan a factores tales como: • Cumplimiento a las leyes de protección de la información. • Trazabilidad de los datos y el monitoreo de ambas partes (clientes-proveedores). • Modelo de responsabilidad de la recuperación de datos en los diferentes escenarios.
SISTEMAS
71
El CISO debe definir los lineamientos a los proveedores del servicio sobre el uso adecuado y responsable de la información del cliente, basado en los siguientes criterios: •
•
•
•
72
Los datos confidenciales fuera de la empresa traen consigo un nivel de riesgo, toda vez que los servicios en manos de terceros obvian los controles físicos, lógicos y de personal. Debe obtener la mayor información posible acerca de las personas que manejan sus datos. Y pedir a los proveedores que suministren de manera permanente información específica sobre la contratación y la supervisión de los administradores de privilegiados, y los controles sobre el acceso. Los proveedores tradicionales de servicios están sujetos a auditorías externas y la seguridad de verificación. Los proveedores de computación en la nube deben convertir la tranquilidad de los clientes en el uso de controles tradicionales emergentes, con el objeto de dar trazabilidad a los datos. Aquel proveedor que no acepta este tipo de revisión está dentro de los llamados proveedores sin marco jurídico, en el ámbito de protección de la información. Cuando se utiliza la nube, es probable que no se sepa con exactitud dónde están almacenados sus datos. De hecho, usted ni siquiera sabe en qué país se almacenarán. Hay que pedir a los proveedores que se comprometan a almacenar y procesar los datos en determinadas jurisdicciones, de acuerdo con las exigencias de las leyes de protección de los datos y marco legal de la privacidad. Este punto es fundamental en las cláusulas del contrato. Servicios, almacenamiento y leyes deben ser acordes. Posiblemente, los datos sin importa la naturaleza del negocio, están almacenados de una manera compartida con múltiples clientes. El cliente debe establecer un mecanismo de separación o instrumento lógico a lo denominado segregación de datos.
SISTEMAS
• Frente a la recuperación, un proveedor de la nube debe establecer políticas y procedimientos a nivel contractual y en programas de simulaciones, para responder por lo que ocurrirá con sus datos y el servicio, en caso de un desastre o un riesgo materializado. Además, estudio de análisis de vulnerabilidad, test de penetración u otros mecanismos con reporte al cliente, sobre los hallazgos y el nivel de protección de los datos. • Es complejo un estudio forense informático o investigación sobre un evento de los datos del cliente. Al proveedor de la computación en la nube se le debe exigir todo el apoyo en las investigaciones, de las cuales debe poseer herramientas de trazabilidad y niveles estándares de seguridad, en el acompañamiento de dicha investigaciones. • En conclusión, dentro de este mar de mercado es imprescindible tener en cuenta que, no todos los proveedores de computación en la nube, dicen ser lo que son. Es muy importante saber elegir. 2. Cada día Internet se convierte en una herramienta operativa y estratégica del negocio y, por ende, las redes sociales son un ente similar a un asesor comercial, en donde se exponen los productos e incluso la imagen de la compañía. Es un atractivo instrumento para los intereses en la expansión de mercado. Actualmente, la forma de expandir haciendo uso de las 3Cs (comunicación, cooperación, comunidad), es útil para lograr los objetivos de mercadeo y a nivel comercial. Sin embargo existen riesgos tales como: • • • • •
Suplantación de identidad. Phising. Ingeniería Social. Vulnerabilidades. Publicidad no deseada.
Uno de los casos más sonados es el uso de la red social Twitter, que evidenció su utilización para capturar máquinas y convertirlas en Zombis para ser controlada por Bonet.
En otros países se denomina “rumorología”, es decir, daño contra la imagen, son programas maliciosos. Por lo anterior, es claro que en las redes sociales cualquiera sea su contexto -me enfoco a nivel industrial y comercial- la información privada debe estar fuera de su alcance. El aporte del CISO es ayudar a construir un perfil netamente público, que contemple liberar en Internet información masiva de carácter no confidencial ni sensible y, solo para la comunidad. Así mismo, fortalecer la política de gestión de la protección de la información, para determinar que los recursos informáticos de la organización son propiedad de la misma y que su adecuada administración es responsabilidad del usuario final. Política que también contempla el uso limitado de las redes sociales exclusivamente en las comunidades controladas y aprobadas por el negocio. De igual manera, esa política debe establecer los términos del control para el acceso a las mismas, por parte de los funcionarios de la compañía. A esto se suma que los equipos informáticos deben poseer herramientas tecnológicas de monitoreo, trazabilidad y protección, ante cualquier evento en el uso de estas redes. Recordemos que el objeto no es la prohibición, sino la limitación más una buena cultura de los usuarios, a través de la concientización y buenas herramientas de protección. Un aspecto vital que se debe tener en cuenta es que toda información privada, en las redes sociales es pública y, en consecuencia, los usuarios de la comunidad perteneciente a tales redes renuncian a la privacidad. Y, es ahí cuando el CISO debe focalizar su esfuerzo en la protección de la información clasificada como sensible, privada y confidencial. 3. Existe una relación con las respuestas de las preguntas anteriores basada en el impacto. No obstante, hay un contexto
especial sobre estos ciberactivistas, cuyo objetivo principal es hacerse escuchar sobre cualquier evento de interés público y socioeconómico. Lo vital es que estos grupos publican de manera directa las vulnerabilidades -se evidencia cuando es exitoso el nivel de ataque-, de las empresas y sus intereses, que son aprovechados por atacantes de otros principios y con objetivos distintos. Sin perder el marco de la protección de la información, el CISO debe evaluar cuál es la posición de la empresa sobre el mercado y el entorno social, en donde este último es fundamental de cara a los intereses que aporta la compañía hacia el cliente externo. Una vez identificadas esas variables, se inventarían los diferentes aspectos que la sociedad acepta o rechaza, tales como precios de productos masivos, sector de empresas de energías o de servicios públicos, precios de consumidores, servicios del gobierno, empresas de tecnología, compañías de no aceptación nacional, bancos y otros de naturalezas similares que impactan en la sociedad y pueden llamar la atención a estos grupos activistas. El paso siguiente es evaluar el apoyo de la plataforma tecnológica, estableciendo qué tan vulnerables son ante una negación de servicios, divulgación de informaciones sensibles o críticas, pérdidas de imagen, etc. Recordemos que cualquier persona puede ser miembro de estos grupos de manera directa e indirecta -¿clientes internos?-. En conclusión, el objeto es mitigar el riesgo considerando los siguientes lineamientos: • Hacer estudio constante mediante el test de penetración, con el fin de identificar variables de vulnerabilidades y definir planes de acciones oportunas. • Contar con un sistema de centro de operación de seguridad (SOC) que realice monitoreo y trazabilidad de los registros de las plataformas tecnológicas sensibles, en el aspectos de la información tales como web, correos electrónicos y sistemas de operación del negocio.
SISTEMAS
73
• Las plataformas tecnológicas deben dar cumplimiento a las normas estándares de seguridad sobre los servicios y desarrollos. • En ningún caso garantiza prevenir un ataque -mitigar es el principal logro-. Sin embargo, las compañías deben contar con una matriz de escalamiento DRP (Plan de recuperación desastre) o un BCP dentro del marco de recuperación de plataforma, cuando este se vea afectado de cara a la prestación de los servicios hacia el cliente externo e interno. • Definir claramente políticas de gestión de la protección de la información, con medidas que logren establecer madurez en la organización. Las empresas conviven con estas redes de activistas y no podemos ignorarlo ni pensar que estamos exentos; lo que debemos es convivir con buenos controles de seguridad y un programa constante de validación que aporte a la mitigación, ante cualquier evento en los sistemas de información. 4. La información es un activo vital para la estrategia, operación y continuidad de las empresas. En consecuencia, debe existir un método claro, documentado y con unos objetivos de seguridad paralelo a las evaluaciones de riesgos. Al involucrar la transferencia de una función del negocio a un proveedor externo, no solo debemos establecer la relación clientetercero a través de las condiciones de servicios (SLA), sino, ir más allá de esta relación en el tratamiento adecuado, integral, de disponibilidad y, sobre todo, en la confidencialidad de los datos. A pesar de que la gestión y operación en el tratamiento de los datos y de los servicios está en manos del proveedor, la responsabilidad sigue siendo del CISO. De ahí que a nivel contractual debe quedar plasmado que el cliente, a través de las áreas responsables, tenga el rol de administración del outsourcing con el objeto de establecer métodos claros de trazabilidad, monitoreo y auditoría de los servicios
74
SISTEMAS
que presta el tercero y la integridad de los datos. Sin embargo el CISO debe ser estratégico desde el punto de vista del negocio en donde debe dar respuestas dentro de la compañía sobre cuál es la madurez de la empresa al entregar sus servicios al outsourcing; cuál es el nivel de criticidad de su operación, entre otros aspectos. Si no existe claridad en tales aspectos, no es oportuno tercerizar y el CISO establece frente a las directivas los criterios de los diferentes riesgos. En caso contrario, es decir, si los aspectos señalados son claros, se le facilitan al CISO los diferentes controles que debe aplicar, con el objeto de generar trazabilidad y estructurar el monitoreo de los servicios a prestar por parte del outsourcing. En este orden de ideas y de acuerdo con la naturaleza y el tamaño de la empresa, el proveedor de outsourcing debe poseer certificaciones de normas o estándares de seguridad con el objeto de lograr la confianza entre las partes, además de proporcionar una línea entre los recursos y el valor de la cadena del negocio. 5. Siendo los dispositivos móviles una herramienta de flexibilidad para los directivos, en el sentido de tener acceso a la información de la empresa e incluso a aprobaciones de pagos o actividades financieras, la gestión de la protección de la información se ha convertido en un “verdadero dolor de cabeza” para los líderes de la seguridad informática. En una de las investigaciones en el campo tecnológico, llega a mezclarse la necesidad con la moda del uso de estos dispositivos, pero a medida que pasan los días crece más la necesidad de tener la información a primera mano, como apoyo instrumental. Estos dispositivos móviles son de gran de interés para los ciberdelincuentes, toda vez que en sus distintas gamas se bajan aplicaciones gratis las cuales, en su mayoría, son programas maliciosos encaminados a robar información, contraseñas y
otros datos de interés de la organización. El CISO debe definir en los dispositivos móviles los alcances y las limitaciones en su uso. La mejor alternativa es crear conciencia en los usuarios sobre su administración. Con el fin de mitigar los riesgos se debe crear una cultura asociada con los compromisos de la gestión de la protección de la información, que permita lograr la madurez. En otras palabras, que el usuario sea consciente del uso netamente profesional del dispositivo móvil. En forma paralela, se deben implementar herramientas de seguridad de los móviles, con el objeto de hacer trazabilidad y bloquear de manera inmediata cualquier evento que afecte la integridad de los datos corporativos. Los profesionales de seguridad de la información deben definir controles sobre: • Acceso al correo corporativo. • Acceso a los aplicativos corporativos. • Almacenamientos y edición de documentos laborales. Que el usuario no use el dispositivo con fines no relacionados con el negocio. Deceval Francisco Pacheco Alfonso Director de Seguridad de la Información fpacheco@deceval.com.co 1. Las herramientas de hardware y software de seguridad informática de una u otra manera son algo claras, lo que indudablemente no lo es tanto, son las medidas de disponibilidad, aseguramiento de las condiciones de los productos, las medidas contingentes de los servicios ofrecidos y las alternativas para migrar a otros proveedores o volver a las condiciones individuales con que contaban las compañías, antes de tomar la decisión de ir a la nube. Con respecto a la confidencialidad de la información considero que las empresas
deben empezar a tomar soluciones de encripción de datos, que les permitan hacer todo el ciclo (grabación, procesamiento, copia y recuperación) de una manera natural y no quedar dependientes de los servicios ofrecidos. 2. Particularmente, considero que no es conveniente integrar las redes corporativas con redes sociales, toda vez que es incierto todo lo referente a la seguridad en este tipo de redes. De otra parte, para nadie es un secreto que las redes sociales son un mecanismo utilizado por los atacantes para hacer ingeniería social previa, antes de decidir tomar sus objetivos. Por ahora, las redes sociales deben tomarse como mecanismos para hacer publicidad complementaria de la empresa, pero no integrada a su red corporativa. Es decir, tenerlas cerca, pero lo suficientemente lejos para no verse afectada. 3. Indudablemente, el trabajo de los CISO hoy en día, se debe centrar en la creación de alternativas contingentes para los diferentes servicios de Infraestructura tecnológica, complementada con procedimientos de atención y respuesta ante incidentes presentados, detectados o con alta probabilidad de ocurrencia. 4. Es la misma problemática que se tiene con un empleado contratado de manera directa e indefinida; lo único que lo diferencia es un tercero que funge como intermediario sobre quien gira todo el peso del contrato. Considero que el modelo de seguridad sugerido por la BS7799 (ISO 27000) cubre de manera adecuada este aspecto. 5. WIFI (AP) debe ser integrado con el Directorio Activo, aspecto que restringe y cierra la gran vulnerabilidad del uso de estos elementos. Por otro lado, se deben buscar alianzas con las TICs que permitan integrar elementos propios de seguridad informática de la red corporativa, como: filtros de contenido, IPS de Red, FW de Aplicación, entre otras, cuando se utilicen este tipo de tecnologías móviles.
SISTEMAS
75
Cámara de Comercio de Bogotá Andrés Ricardo Almanza Junco Coordinador de Seguridad de la Información andres_almanza@hotmail.com 1. En este sentido es muy importante tener presente que las relaciones contractuales son los elementos claves con los cuales las ecuaciones se balancean; hoy por hoy tenemos diferentes propuestas de prestación de servicios en la nube, plataforma como servicio, software como servicio o infraestructura como servicio. Cada una con unas consideraciones de seguridad para tener presentes desde el punto de vista de la tecnología, metodología con la cual se pueda llevar a cabo una estrategia clara de protección. Pero ellas tienen en común una propuesta a la que muchos responsables tanto de TI como de Seguridad de la información, no hemos prestado la respectiva atención, y son las relaciones contractuales que deben ser definidas en cada uno de esos escenarios, en los cuales el receptor del servicio debe tener claramente definido qué esperar del mismo, máxime con las crecientes necesidades de abaratar los costos empresariales de TI, y una creciente e implacable avalancha de amenazas tecnológicas que las organizaciones hoy poseen. Por tanto es necesario aprender sobre cuáles deben ser las consideraciones y qué definir como parte de los acuerdos contractuales para garantizar una adecuada prestación de servicios de esta naturaleza, cumpliendo con nuestras necesidades. 2. La sociedad digital es algo que las organizaciones han visto como mecanismos de expansión de sus operaciones. Se ha escuchado decir que muchas de las redes sociales son potencializadas como parte de los propios CRM para convertir ese enfoque como parte de las estrategias de marketing, y relacionamiento con el cliente. En este sentido pienso que son muchas las acciones por emprender, dado que las responsa-
76
SISTEMAS
bilidades frente a la protección de la información, va más allá de la misma tecnología. Así que tener una posición clara de la organización, frente al uso y su presencia en los medios sociales, es uno de los primeros pasos, para que de una manera controlada la organización entienda los riesgos que pueden ser asumidos por tener una postura frente al uso de los medios sociales. Por otro lado, las medidas tecnológicas necesarias sumadas a un análisis claro de la información de la entidad encaminado de manera factible y con un balance en la prestación de los servicios de las redes sociales, para controlar cuáles contenidos de información se pueden o no manejar en los medios sociales. Y, en tercera instancia, un esfuerzo continuo e intenso por tratar de hacer entender a todos y cada uno de los miembros de la entidad, la forma en cómo son responsables de la postura frente al uso responsable de los medios sociales, de tal forma que la información de la organización, no sufra frente a estos nuevos riesgos a los que las organizaciones se exponen. 3. Muchos en este sentido, menosprecian el “hacktivismo” y las actividades de las comunidades de hackers, que ya no corresponden a un reto consciente al intelecto, existen demasiadas motivaciones que en muchos casos tienen un orden social. La postura de monitoreo y seguimiento cercano a estos movimientos, debería estar dentro de las estrategias de protección de la información, para poder estar preparado y saber qué hacer; no para evitarlo, porque realmente es poco probable evitar un ataque de estas magnitudes. Es necesario que hagamos seguimiento consciente, disciplinado y continuo de los diferentes movimientos “hacktivistas”, de tal manera de poder direccionar los esfuerzos en cuanto a una situación no deseada que pueda llegar a presentarse 4. Los terceros como buenos jugadores en la prestación de servicios de TIC's que las
organizaciones utilizan, deben ser adaptados al modelo de protección de la información que la empresa posee. Es por esa razón que debemos preocuparnos porque existan mecanismos claros con los cuales podamos integrar de manera segura a los terceros, dentro de la operación del negocio. Un estándar internacional como la ISO/IEC 27036 es un excelente mecanismo que permitirá a las organizaciones homogeneizar la forma de transferir la seguridad corporativa hacia nuestros terceros, de tal manera que procuren garantizar el cumplimiento de un modelo propuesto frente a la información de la entidad. 5. Nuevas tecnologías, sinónimos de nuevos riesgos, que acrecientan el panorama de protección de la organización, estrategias móviles, así como estrategias BYOD (bring your own device), son escenarios que no podemos desconocer, que requieren de nosotros los esfuerzos necesarios, para saber cuáles deben ser los mecanismos de protección necesarios. Requiere de nosotros estudiar la necesidad de la movilidad, de quién y por qué, abordar este tipo de estrategias. En primera instancia, demanda de los CISO's la responsabilidad de tener un marco metodológico construido en la entidad en los temas de la protección de la información; tener definidas unas políticas de uso de la
tecnología; así como de las responsabilidades de todos y cada uno de los miembros de la empresa frente a la información, sin importar el medio que se utilice para ella. Es necesario que los CISO's comprendan de una manera clara el flujo de la información y el negocio, para advertir de manera clara cuáles son los escenarios posibles de uso, pero también de riesgos al involucrarse en estrategias de esta naturaleza. Requieren del CISO un esfuerzo de trabajo conjunto con las áreas de TI, Control Interno, Riesgos, de tal forma que se articulen los trabajos para poder integrar este tipo de estrategias en la consecución de un negocio. Demandan del CISO un esfuerzo total frente a la forma en cómo estas tecnologías serán entregadas a los usuarios. Es necesario que el CISO pueda hablar todos los lenguajes de la entidad, el de los usuarios comunes y corrientes que demandan estas tecnologías, entender el lenguaje del negocio que busca de cualquier manera una expansión y disminución en los costos de la operación. Entender además, el lenguaje del riesgo y control al que la entidad se debe enfrentar, para con ello construir la estrategia con la cual se pueda abordar este tipo de iniciativas, en donde todas las partes interesadas se sientan cómodas y se logre el objetivo propuesto.
SISTEMAS
77
Uno
Retos de seguridad en redes inteligentes Las redes inteligentes de distribución eléctrica tienen potencial para generar grandes beneficios económicos y ambientales. Sin embargo, también constituyen un ambiente en el que emergen múltiples retos para garantizar la seguridad de la información que se maneja. Sandra Julieta Rueda Rodríguez Las redes inteligentes de distribución de energía eléctrica, llamadas Smart Grids en inglés, recolectan y registran información en diversos puntos de su infraestructura y, con base en los datos recopilados, toman decisiones para mejorar la eficiencia de los mecanismos de distribución. Incluso, podrían reducir la pérdida de energía y el costo de producción y distribución, beneficiando al medio ambiente y a los consumidores. Considerando las ventajas que ofrecen las redes inteligentes, los gobiernos y los operadores de energía, varios países ya han puesto en marcha planes para la instalación y desarrollo de sus redes. En la Unión Europea las diferentes iniciativas en el área están encaminadas a la integración de las redes de distribución de los diferentes países de la Unión [4], a actualizar la infraestructura y extender el número de clientes de la red [9]. La iniciativa gubernamental en los Estados Unidos está encaminada a actualizar la infraestructura e integrar los diversos consumidores a la red [2]. En cuanto a nuestros vecinos de América del Sur, los 78
SISTEMAS
gobiernos de Brasil y Chile cuentan con sendos planes para apoyar el desarrollo de sus redes inteligentes. Finalmente, en Colombia la iniciativa en el desarrollo de redes inteligentes está liderada por diferentes empresas del sector eléctrico y universidades que adelantan diversos proyectos en tecnología de redes inteligentes. Aunque los expertos en el área de distribución de energía creen firmemente en las ventajas del desarrollo de la tecnología de redes inteligentes, los expertos en seguridad informática han llamado la atención sobre algunos riesgos de seguridad que emergen, riesgos que se relacionan con el servicio mismo, así como con la privacidad de los usuarios. Infraestructura de las Redes Inteligentes. La columna vertebral de una red inteligente es una red de datos que recopila información sobre consumo constantemente y la comunica a un punto de control para que allí se tomen
decisiones que mejoren las condiciones de distribución. Una red inteligente tiene dos partes, una red de distribución y una red de datos. La red de distribución de energía está compuesta por las líneas de distribución y las fuentes tradicionales de generación de energía, como las hidroeléctricas. Además, tiene la capacidad de integrar la red de generación y distribución fuentes alternativas de energía, como páneles solares y granjas de viento. La red de datos está integrada por medidores inteligentes, recolectores y centrales de datos. Los medidores inteligentes, conocidos en inglés como Smart meters, son dispositivos electrónicos con hardware de capacidad limitada, instalados en los puntos de consumo para medir y registrar uso de energía. Las características de hardware de un medidor inteligente varían dependiendo de la empresa que lo fabrica; algunos de los medidores disponibles actualmente en el mercado tienen procesadores de 32 bits con velocidades que varían entre 50 y 100 MHz, aproximadamente 256KB de memoria RAM, 512KB de memoria flash y un mecanismo para transmisión y recepción
inalámbrica de datos. Además de enviar información, el medidor puede recibir y ejecutar comandos. Los medidores se comunican periódicamente con un recolector, un dispositivo que recibe y almacena los datos de un área geográfica relativamente pequeña, un barrio, por ejemplo. Los recolectores a su vez se comunican, en uno o varios pasos, con la central de datos del operador de distribución de energía. La Figura 1 presenta el esquema de una red inteligente. Figura 1. Esquema de la infraestructura de una red inteligente. La red está integrada por una red de generación y distribución de energía y una red de datos. La red de datos cuenta con medidores inteligentes (dispositivo azul en la figura) en los puntos de consumo, que miden y registran el uso de energía de forma continua. Los medidores envían la información a un punto de recolección (dispositivo rojo en la figura) que almacena información de varios medidores y luego la envía a la central de manejo de datos del operador de distribución de energía (anillo verde en la figura). La central toma decisiones para optimizar la distribución.
Figura 1
SISTEMAS
79
La “inteligencia” de la red se basa en su capacidad para medir el consumo en múltiples puntos de la infraestructura y reaccionar de acuerdo con la información recolectada. Los puntos en los que se toman medidas son diversos, por ejemplo, hogares, edificios, centros comerciales y fábricas. La reacción de la red también puede variar, por ejemplo, la red puede reenrutar recursos para cumplir con una demanda alta en horas pico, en un área determinada o puede reducir la producción en ciertos puntos cuando la demanda es baja. Un operador de distribución también puede usar la información recolectada para crear modelos de distribución que incorporen mecanismos de resistencia y recuperación a fallas, optimicen la distribución e integren a la red, de forma coordinada, fuentes diversas de generación de energía. Los modelos también pueden predecir la demanda durante ciertos periodos de tiempo, lo que le permite a la red hacer algunos ajustes en su capacidad de distribución de forma proactiva. Además, pueden detectar los puntos en los que es necesario mejorar la infraestructura (crecer) porque la demanda se acerca mucho o ha llegado al límite de la capacidad de distribución. Un usuario también puede usar sus propias medidas, las que se toman con un medidor inteligente a la entrada de su casa, para tomar decisiones que lo beneficien. Por ejemplo, si un operador de distribución establece tarifas altas para horas pico, un usuario puede ajustar su consumo durante estas horas y reducir costos. Riesgos de Seguridad Los beneficios económicos y ambientales de las redes inteligentes son evidentes y los expertos en el área de transmisión y distribución de energía creen firmemente en las ventajas de esta tecnología. Sin 80
SISTEMAS
embargo, los expertos en seguridad informática resaltan los retos que emergen en este ambiente y trabajan en el desarrollo de mecanismos de protección. Manipulación de la información. De acuerdo con investigadores en los Estados Unidos, los medidores inteligentes son un objetivo muy atractivo para los adversarios. Si los medidores son comprometidos, los adversarios pueden montar ataques remotos a gran escala con consecuencias como manipulación masiva de información, fraude y denegación del servicio [6]. De hecho, investigadores en ese país desarrollaron un gusano de prueba que se podía propagar entre medidores inteligentes para mostrar de forma conceptual que el riesgo es real [3]. Sin las medidas de seguridad apropiadas, los adversarios pueden atacar, además de los medidores inteligentes, la información transmitida entre los medidores y los recolectores. Seguridad de la infraestructura. La manipulación de información y del servicio no es el único objetivo que puede atraer a los adversarios. El año pasado diversos medios publicaron detalles técnicos de Stuxnet, un gusano cuyo propósito era atacar un conjunto definido de sistemas de control industrial, conocidos en inglés como Supervisory Control and Data Acquisitionsystems, SCADA. Los investigadores de Symantec señalan que el gusano se valía de varias vulnerabilidades, incluyendo una vulnerabilidad desconocida hasta el momento (zerodayexploit) para ingresar a un sistema y propagarse, además incorporaba técnicas sofisticadas para evadir programas antivirus. Una vez el gusano entraba en un sistema, era capaz de reprogramarlo ocasionando daño físico a algunos componentes [8]. Stuxnet demuestra que un programa malicioso puede ocasionar daño físico a algunos elementos del mundo real. Aunque los expertos en programas maliciosos están de acuerdo
en que Stuxnet es sumamente sofisticado y seguramente no se produzca un programa malicioso de calidad semejante con frecuencia, el riesgo es real, un gusano con las características de Stuxnet podría alterar o dañar componentes físicos de una red inteligente. Privacidad del usuario. Aunque la información que los medidores inteligentes registran para cada usuario se recolecta y procesa con dos objetivos claros, calcular la factura de consumo y optimizar la distribución, esta información puede ser usada con fines diferentes. Quienes trabajan en el área de seguridad informática seguramente están acostumbrados a encontrar situaciones en las que un sistema que se diseña con un propósito especial, termina siendo usado para un propósito totalmente diferente. En el caso de las redes inteligentes, la información de consumo describe el comportamiento del usuario o de los usuarios a quienes pertenece [7]. A partir de esta información es posible obtener información privada, como el número aproximado de personas que viven en un hogar, la hora a la que salen, la hora a la que regresan y en algunos casos, la lista de electrodomésticos instalados. En cierta forma, este problema no es exclusivo de las redes inteligentes. A comienzos de este año el Supervisor Europeo de Protección de Datos, la entidad de la Unión Europea para la protección de datos, pidió a Google un tiempo para revisar su nueva política de seguridad y las consecuencias que ella podría traer para los ciudadanos de la Unión. La nueva política de Google explica la intención de recolectar y procesar los datos de los usuarios para prestar un mejor servicio. Estos datos incluyen información que el usuario facilita por voluntad propia, al registrarse por ejemplo, así como información que Google deduce a partir del acceso a uno de sus servicios,
por ejemplo información del dispositivo, ubicación física y cookies que Google comparte con sus socios de negocios. Desde un punto de vista técnico, la situación de Google y de las redes inteligentes es la misma: una organización recopila información que describe con cierto detalle el comportamiento de sus usuarios. El objetivo es prestar un mejor servicio, pero la información puede ser usada con fines diferentes por la entidad que almacena la información o por terceros maliciosos que la obtienen de forma ilícita. Preparación para la llegada de las redes inteligentes En la Unión Europea y los Estados Unidos los planes para el desarrollo de la tecnología de redes inteligentes ya están en marcha. En Colombia la empresa privada, algunos operadores y las universidades lideran el desarrollo. Lo cierto es que el gobierno, los operadores de distribución y los usuarios deben prepararse para la llegada de esta tecnología. Políticas. El uso y expansión de Internet como soporte a diversas tareas del quehacer diario ha llevado a los gobiernos a estudiar el desarrollo de leyes para la protección de los datos personales de sus ciudadanos. La Unión Europea, por ejemplo, cuenta con la directiva de protección de datos, la cual establece límites sobre los datos personales que una entidad puede recolectar y cómo los puede procesar. El Gobierno de los Estados Unidos define ciertos lineamientos, pero prefiere que los proveedores de servicios y los usuarios se autoregulen porque aunque sus ciudadanos creen firmemente en su derecho a la privacidad, principios fundamentales de su constitución protegen el libre flujo de información. [1] SISTEMAS
81
En Colombia, la Corte Constitucional recientemente “avaló gran parte del texto de la futura ley de protección de datos personales” [5], la cual dicta disposiciones para la protección de los datos personales en Colombia. De acuerdo con el texto del proyecto de ley, un dato personal es cualquier información vinculada o que pueda asociarse con una o varias personas naturales determinadas o determinables. La ley establece que la información sujeta a tratamiento se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. La definición de dato personal parece aplicar de forma natural a la información que pueda ser recopilada por una red inteligente en los hogares y negocios de los ciudadanos Colombianos, para luego ser procesada con la intención de ofrecer un mejor servicio. El Gran Hermano. En la novela 1984 de George Orwell, el gran hermano vigila constantemente a las personas e intenta controlar todas sus acciones y pensamientos. Si bien la tecnología de redes inteligentes de distribución tiene el potencial de generar beneficios económicos y ambientales, hay quienes se preocupan por la información que pone en las manos de los operadores de distribución de energía y de las organizaciones que tendrían acceso “legal” a tal información. Sin embargo, deberíamos reconocer que hoy en día ya hemos entregado “voluntariamente” una gran cantidad de información acerca de nosotros mismos. Usamos a diario teléfonos celulares, buscadores, redes sociales y servicios web que recopilan nuestra información y construyen un perfil para ofrecer un mejor servicio. Las redes inteligentes solamente generarían una porción adicional de información. 82
SISTEMAS
Percepción de los Usuarios. Mientras los ciudadanos de la Unión Europea y los Estados Unidos consideran gran variedad de datos como datos personales y por tanto privados, los colombianos parecen tener una percepción diferente. Como parte de un trabajo sobre privacidad de datos en Internet, los estudiantes del curso Seguridad de Aplicaciones Web del Departamento de Ingeniería de Sistemas y Computación de la Universidad de los Andes encuestaron a 140 personas con diferentes perfiles (edad, ocupación, manejo de tecnología). Aunque la muestra no es suficiente para sacar conclusiones sobre la percepción de la población en general, esta deja ver una tendencia. La mayoría de los encuestados dan gran importancia a la protección de datos bancarios (número de cuenta, tarjetas de crédito, etc.) y de su información en redes sociales (cuenta de usuario, fotos, lista de contactos, etc.). Sin embargo, un tercio de los encuestados (48/140) dice que sus hábitos de navegación son información pública y no necesitan ser protegidos. Esta percepción es extraña, considerando que los hábitos de navegación de una persona pueden revelar detalles de su vida privada. Así como un tercio de los encuestados no considera que los hábitos de navegación son datos personales, es posible que algunos ciudadanos consideren que su perfil de consumo de energía es público y no necesita ser protegido. El gobierno, los operadores de distribución o las organizaciones de protección del consumidor deberán asumir la tarea de educar a los usuarios para defender su privacidad o al menos entender los riesgos. Mecanismos de protección. Muchas industrias y universidades en diferentes países adelantan proyectos de investigación y desarrollo para mejorar la tecnología de las redes inteligentes. Tales proyectos incluyen, entre otros, diseños de medidores inteligentes con coproce-
sadores eficientes para cifrar y descifrar la información, tratando de mantener un consumo bajo de poder, desarrollo de herramientas que las empresas que manufacturan los medidores inteligentes pueden usar para adelantar evaluaciones de penetración de forma semiautomática y algoritmos para ajustar el perfil de consumo, de tal manera que resuma la información que el operador de distribución necesita, mientras elimina las características que revelan detalles del comportamiento del usuario.
ce,1997. http://www.w3.org/TR/NOTEframework-970706#privacy, consultado en Abril 2012. [2] US Energy Independence and Security Act. EISA, 2007. [3] Recoverable Advanced Metering Infrastructure. Mike Davis. Black Hat, 2009. [4] Grid+ Project. www.gridplus.eu, consultado en Abril 2012. [5] Observatorio de Protección de Datos Personales en Colombia. www. habeas data.org.co, consultado en Abril 2012.
Conclusión Las redes inteligentes de distribución eléctrica están diseñadas para tomar decisiones, de forma proactiva, que mejoren la eficiencia de sus mecanismos de distribución. Los expertos en distribución y transmisión de energía están de acuerdo sobre los beneficios económicos, sociales y ambientales que las redes inteligentes pueden generar. Sin embargo, los expertos en seguridad informática llaman la atención sobre las políticas y mecanismos de seguridad necesarios de implementar para proteger la infraestructura y a los usuarios. La lección que nos queda es sencilla: la llegada de la tecnología de redes inteligentes está cerca y es ventajosa, simplemente debemos prepararnos de forma adecuada para manejar los problemas de seguridad que pueden surgir en este nuevo ambiente.
[8]Stuxnetworm hits industrial systems. Robert McMillan. www.computerworld. com, consultado en Abril 2012.
Referencias [1] William Clinton, Albert Gore. A Frameworkfor Global Electronic Commer-
[9] Smart GridsEuropean Technology Platform (SmartGridsETP). www.smart grids.eu, consultado en Abril 2012.
[6] Security and PrivacyChallenges in the Smart Grid. Patrick McDaniel y Stephen McLaughlin. Revista IEEE Seguridad y Privacidad (IEEE Security and Privacy), Mayo-Junio 2009. [7]ProtectingConsumerPrivacyfrom Electric Load Monitoring. Stephen McLaughlin, Patrick McDaniel y William Aiello. Conferencia ACM en Seguridad de Computadores y Comunicaciones (Computer and Communications Security), Octubre 2011.
Sandra Julieta Rueda Rodríguez. Profesora asistente, Departamento de Ingeniería de Sistemas y Computación, Universidad de Los Andes, Colombia. PhD en ComputerScience and Engineering de The Pennsylvania StateUniversity, Estados Unidos. Áreas de interés: seguridad de sistemas de software, modelos de control de acceso y verificación semiformal de políticas de seguridad.
SISTEMAS
83
Dos
Mitos del hacking El hacking, ha sido injustamente relacionado con ilícitos y los hackers son confundidos con delincuentes, debido a diversos mitos que resultan equívocos, toda vez que ser hacker implica desarrollar un pensamiento diferente, y hacking, una actitud loable hacia la creación y el conocimiento compartido, en cualquier campo. Federico Gacharná Gacharná, MSc. El término "hack", se traduce como hachazo o golpe. Antes de los años 60 se llamaba hackers a los leñadores, pero luego del auge tecnológico y surgimiento de las redes de computadores, se dio un giro a este término, principalmente para designar a personas relacionadas con tecnología e informática. En la actualidad, no hay consenso en la definición formal, y el vocablo no está incluido en el diccionario de la Real Academia Española de la Lengua. En la red, se encuentran definiciones muy disímiles, no oficiales ni consensuadas, respecto al hacking o los hackers, esto compone el primer mito. Probablemente, el término se usó por primera vez para designar un grupo de estudiantes del MIT1 que en 1959 lograron operar una computadora IBM 407 mainframe, desde un mini ordenador, precursor del actual PC, dada la dificultad y demora que implicaba esperar los resultados del operador un par de días, para conocer el resultado de un programa escrito con tarjetas perforadas. Hacker, hacking, hackear, se derivan del término pero se emplean con un sentido que, en opinión del autor, es equivocado o por lo menos no exacto. En los siguientes párrafos se argumentarán las razones de dicho equívoco, el cual es debido al uso inadecuado por parte de periodistas mal informados y medios de comunicación tendenciosos y parcializados, 1
84
que apenas si investigan acerca del hacking y lo aplican como no es o en un contexto ambiguo, logrando desinformar a la opinión pública. Evolución del hackerismo y lo ilícito Es necesario aclarar que los conceptos de tecnología relacionados sobre todo con Internet, van evolucionando diariamente y son dinámicos, porque su entorno así se desarrolla. Con el tiempo, algunas de sus características pierden relevancia o cambian de contexto, por ello resulta lógico deducir que no es lo mismo un hacker de hace cinco décadas, a un hacker contemporáneo; ni son lo mismo las redes ni sus usuarios, los servicios y las costumbres, los cuales cambian con el discurrir de los años. En los orígenes del hacking informático no había bandos de buenos y malos, sólo hacking y hackers, y todos eran buenos, como debe ser, como en realidad es. Pero entonces, ¿cómo se llegó a relacionar los hackers y el hacking con actividades de propósitos oscuros? No es sencillo responder este planteamiento. Básicamente, se han construido mitos alrededor de las actividades y consecuencias del hacking, que han originado su relación con acciones contrarias a la ley. Por ejemplo, la búsqueda “hacker roba”, produce resultados como: “hacker roba banco”, induciendo a pensar que quien robó el banco lo hizo por ser hacker y no por ser un delincuente. Compárelo con el titular
MIT, del ingles Massachusetts Institute of Technology / Instituto Técnico de Massasuchetts
SISTEMAS
“arquitecto roba banco”. Parece carecer de sentido, no se percibe mucha relación entre arquitecto y robo; la diferencia es que el término hacker se ha asociado en forma continua con diversos delitos, y arquitecto no. Esto le hace mucho daño al hacking y a los hackers, pero esta realidad no es muy fácil de corregir. Otro ejemplo que ilustra muy bien este malentendido es la búsqueda “hackers famosos”, con resultados tan disparatados como: “Grace hooper” y “Kevin Mitnick”. De la misma forma, como es posible comparar: “…Una ingeniera contralmirante de la marina americana, precursora del compilador B.0, que hizo posible sentar las bases de los lenguajes de programación modernos, al traducir instrucciones del inglés a un lenguaje de programación, e inspiradora del conocido COBOL…”, con “…Un delincuente que ha estado recluido en varias cárceles, en más de seis ocasiones con cargos de fraude corporativo por computador, robo de software, terrorismo electrónico, intrusión indebida, posesión ilegal de códigos de acceso y uso ilegal de acceso telefónico, además de violar en repetidas ocasiones su régimen de libertad condicional, y que causó pérdidas millonarias con sus acciones a diferentes corporaciones…”. Lamentablemente, para un espectador neófito ambos podrían ser hackers, pero lo cierto es que no hay punto de comparación, entre un hacker y un delincuente. Durante la historia de la evolución de Internet, desde que se concibió como el proyecto militar Arpanet hasta ahora, el hacking se ha ido transformando, y sus propósitos como descubrir fallas en los sistemas operativos, protocolos y aplicaciones implicados en la transmisión de datos, se han mantenido, sólo que hace cinco décadas no había disponibilidad de dominios ni hosting gratuitos y, por ello, algunos hackers comenzaron a realizar pruebas en sitios disponibles que precisamente eran militares u oficiales en su mayoría (CIA, Pentágono, NASA). Es pertinente aclarar que en aquel tiempo no existía una legislación particular sobre lo que era permitido o lícito en este terreno, pero para desgracia del hacking. Fue entonces cuando empezaron a publicar fallos que posteriormente explotaron, una de las razones por las que se le da al hacking una connotación delictiva. También esto marcó una constante lucha entre
quienes descubrían los fallos y los reportaban sin ninguna pretensión distinta a informar sobre la existencia de la misma, y otros que se dedicaban a explotarlos, publicarlos u ofrecer servicios para su solución. Clasificaciones de los hackers Una vez que surgen intereses mezquinos, se inicia una puja entre académicos realmente motivados por el conocimiento y otros con intenciones de beneficio propio. Para marcar diferencia, se han hecho ingentes esfuerzos. La primera clasificación conocida fue la de hackers y crackers, buenos y malos. Pero luego, hacia los años 80's, se conocieron White Hat, Gray Hat y Black Hat, según su actuación fuera buena, mala o combinada. Más adelante, con el progreso de Internet, se conoció toda una fauna de hackers por sus actividades: lammers, script kiddies, newbies, wannabe, defacer, copyhacker, bucaneros, coders, carders. Con el paso de los años, y de acuerdo con las tendencias, los hackers fueron clasificados según su principal habilidad y reconocidos como hackers de web, bases de datos, voz sobre IP, servidores, aplicaciones, cajeros automáticos, y celulares. Más recientemente se han conocido puristas, a quienes llamaremos en este contexto verdaderos hackers, con un propósito netamente académico, que realizan pruebas en ambientes controlados y nunca sin permiso previo; crean herramientas para pruebas que liberan en la red, observan las buenas prácticas, reportan confidencialmente los fallos descubiertos al fabricante o dueño, y su intención es mantener una actitud de entusiasmo hacia el conocimiento y nunca causan daño en el desarrollo de sus actividades, toda vez que su objetivo es la seguridad. Todas estas clasificaciones han existido, algunas se utilizan comúnmente y otras son menos conocidas, y gracias al dinamismo conceptual que las acompaña, se puede observar en muchos textos combinaciones de ellas, incluso si están en desuso, porque no hay un consenso o autoridad que regule al respecto. De ahí que muchas de ellas se mantendrán. Lo anterior se considera un mito, porque las diversas clasificaciones de los hackers se mezclan con ciberdelincuentes y se usan para designarlos, creando así en una persona sin mucho conocimiento del tema, la idea errónea de que los hackers se dedican a delinquir.
SISTEMAS
85
Comportamiento y personalidad de los hackers Mucho se ha dicho sobre la personalidad de los hackers y su comportamiento, pero, ¿qué hay de verdad? Es importante dejar claro que un hacker es un experto en el tema en el que se desempeña. En otras palabras, no es posible ser hacker informático de redes, si no es primero un experto en redes. De esta afirmación se deriva que el hacker es especialmente “juicioso”, o dedicado. Además de ello, es curioso, lo caracteriza una fuerte pasión por descubrir, conocer, crear y compartir conocimiento. Tal vez las características más deseables en un hacker son la rectitud, su responsabilidad con sus acciones y el apego a las normas, lo que significa respeto por los bienes ajenos (información), sin llegar nunca a causar un daño o perjuicio, como consecuencia de sus actos. Por otra parte, no corresponde a una profesión, actividad u oficio, porque el hacking es una actitud hacia el conocimiento; una forma de pensar que se acerca al pensamiento lateral y que ejemplifica muy bien Pete Herzog en su escrito “Jack of All Trades”, donde explica que un hacker debe pensar de manera diferente al común de la gente. Es decir, que en lugar de detenerse en cómo funciona y falla una cosa, debe razonar en cómo no funciona y cómo hacer que falle. Esta visión permite al hacker informático explorar y descubrir nuevos usos para los que no fue concebida la tecnología, además de fallas en la programación, diseño u operación de sistemas operativos, protocolos y aplicaciones. Sobre los rasgos de personalidad de un hacker se ha escrito mucho, basta citar la “Biblia del Hacker”, “El Manifiesto Hacker”, “El Libro Negro de los Hackers”. Uno de los textos más aceptados globalmente ha sido el “Hagakure, código Samurái”, conocido mejor como “Bushido”, escrito por Tsunetomo Yamamoto, a finales del siglo XIX, que se puede resumir en siete principios básicos, a saber: Rectitud y Justicia (GI), Valor (YU), Benevolencia (JIN), Cortesía (REI), Veracidad (MAKOTO), Honor (MEYO) y, El deber de la Lealtad (CHUGO). Los principios del Código Samurái reflejan muy bien las características deseables en un hacker y, por ello, algunos se asignan un NICK de Samurái, para dar a entender que conoce, entiende, acepta y respeta este código.
86
SISTEMAS
El hacking ético Se conocen diferentes modalidades de hacking ético como análisis de vulnerabilidades, hacking ético y pruebas de penetración. En el primero, se hace un análisis superficial para conocer los peligros a los que está expuesta una infraestructura de red o sus servicios y usuarios. En hacking ético se realizan pruebas de estrés, de inseguridad, de intrusión, además de pruebas de concepto para determinar la eficacia y eficiencia de un esquema. En pruebas de penetración son adelantados análisis de fondo, considerando la mayor cantidad de variables posibles y sólo para sistemas a los cuales ya se les han aplicado técnicas de seguridad, con el fin de conocer si aún es posible ejecutar vectores de ataque exitosos. Para esta labor normalmente se requiere todo un equipo de expertos. Comercialmente, se establecen condiciones como el permiso previo por escrito, el conocimiento pleno de las pruebas a ejecutar, la presencia del encargado del sistema a evaluar, y la consideración de contingencias en caso de fallos. Este mito es uno de los más publicitados y conocidos. En otras palabras, el hacking ético no existe, es una figura comercial, se acuñó el término con el propósito de introducir el tema empresarialmente, para ofertar pruebas de seguridad y penetración a sistemas de información, orientados a conocer sus debilidades e informarlas para corregirlas; así se reducía el efecto nocivo que hasta el momento se asocia al ejercicio del hacking. Cuando este tipo de consultoría surgió era muy complicado que una persona no familiarizada con tecnología, lograra entender que un hacker no es un delincuente y, por ello, se hacía referencia a que la ética acompañaba al hacking. Significado e implicaciones de un verdadero hacker Hacker no es una persona, “ser hacker” implica trabajar muy fuerte en adquirir la habilidad del pensamiento lateral, desarrollando una actitud correcta en la creación, aplicación y compartición del conocimiento, en el que el hacker es experto. Así mismo, significa que las actividades del hacking y sus consecuencias, nunca deben ocasionar daño o perjuicio a ninguna persona o bien material. Existen entonces el hackerismo y el hacktivismo. Como hackerista se designa a cualquier persona dedicada al hacking; y, como hacktivista a quien persigue un fin político. Pero, no se
pueden calificar de hacktivismo o hackerismo, acciones relacionadas con delitos, esto no es hackear, sino delinquir. Conclusiones El término hacker no debe ser utilizado para referirse a un delincuente, porque afecta el buen nombre del hacking y de los hackers. No es correcto acompañar el término hacking con el adjetivo “ético”, toda vez que las actividades de hacking con fines ilegales son delictivas y, en otro caso, siempre se actúa con diligencia y en pro de mejorar la seguridad. Para la mayoría de personas, esta asociación resulta confusa. En materia tecnológica, los conceptos no suelen ser absolutos, son dinámicos, y es fácil caer en errores que se difunden con rapidez y se asumen como correctos. Antes de publicar una información de índole tecnológica en medios de circulación masiva, es muy recomendable (¿obligatorio?) realizar una investigación rigurosa, para no incurrir en la propagación de mitos que afecten la veracidad y causen confusión. Cualquier persona puede ser hacker en su campo de conocimiento, si aplica a su oficio, la actitud y la forma de pensamiento del hacking. Un mismo vector de ataque utilizado en forma académica, con fines de aprendizaje, realizado en un ambiente controlado y permiso previo, puede convertirse fácilmente en un delito, cuando se replica en ausencia de alguna de estas condiciones y, sobre todo, si se presenta daño o perjuicio en contra de un bien o persona.
Al movimiento del hacking se atribuyen muchos de los avances tecnológicos disponibles hoy en día, los cuales fueron aportes de hackers que han sido motores de desarrollo y progreso constante y veloz en la historia. Finalmente, un hacker es una persona apasionada y dedicada con juicio a un campo de conocimiento, en el cual permanentemente explora, descubre, crea y comparte su labor; además, es poseedor de cualidades éticas elevadas, por lo cual debe ser respetado. Referencias [1] Ríos, Rubén H, La Conspiración Hacker: Los Robinhoods de la cibercultura, Longseller, 2003. [2] Vieites, Gómez Álvaro, Enciclopedia de la Seguridad Informática, Alfaomega, 2007 [3] Sallis, Caracciolo Rodríguez, Ethical Hacking, Alfaomega, 2010 [4] Winkler Ira, El Zen y el arte de la seguridad de la información, Grupo Editorial Patria, 2008 [5] Jimeno García María Teresa, Miguez Pérez Carlos, Matas García Abel Mariano, Pérez Agudín Justo, La Biblia del Hacker Edición 2009, Anaya [6] Himanen Pekka, La Ética del Hacker y el espíritu de la era de la información, Ediciones Destino, 2001 [7] Flor, Monsiriu Mar, Técnicas del Hacker para papas, Alfaomega, 2008 [8] Watson Jr., Thomas J, Petre, Peter, Padre Hijo & Cía.: Mi Vida En La IBM y Mas Allá, Editorial Norma, 1990
Federico Gacharná Gacharná. Ingeniero de Sistemas, Consultor Sénior en Inteligencia Informática; Hacking Ético e Informática Forense para entidades de seguridad del Estado en Colombia, Guatemala, Panamá, Perú, y Salvador. Instructor Internacional en Hacking Ético, Computación Forense y Seguridad en Redes. Maestría en Seguridad Informática, universidad Oberta de Catalunya; Diplomado en Docencia Universitaria, universidad Minuto de Dios; Diplomado en Investigación, universidad Cooperativa; Director del Área de Seguridad de la Información del Programa de Tecnología en Redes y Seguridad Informática y, Director del Diplomado en Seguridad Informática, universidad Minuto de Dios; organizador del Congreso Nacional de Hacking Ético y Computación Forense. Presidente de Elite Hackers.
SISTEMAS
87
Tres
La privacidad de los datos: un reto empresarial técnico-jurídico Jeimy J. Cano, Ph.D, CFE Introducción Considerando los recientes informes internacionales (BURT 2012) sobre seguridad de la información, es evidente que aunque las organizaciones mejoran cada vez más en sus prácticas de seguridad, los atacantes se adaptan mejor a las condiciones de un entorno más asegurado, obligando a que su capacidad creativa se renueve y sus técnicas asimétricas nos vuelvan a sorprender. De acuerdo con el reporte de la empresa Verizon (2012) y el estudio realizado por el Instituto Ponemon (2012) (patrocinado por la empresa Symantec), confirman que más del 50% de los ataques impactantes son causados por código malicioso o Malware y por atacantes internos. Esta realidad, nos habla de dos condiciones claves para tener en el radar organizacional. Una que nos interroga sobre nuestra capacidad de prevenir y enfrentar las fallas técnicas propias de las plataformas de las aplicaciones que tenemos en la actualidad, y otra, sobre las tendencias e inquietudes humanas frente a las necesidades, juicios sobre los valores y cultura organizacional. En consecuencia, la información como elemento fundamental de las organizaciones modernas, adquiere cada vez más relevancia en el contexto estratégico de las juntas directivas,
88
SISTEMAS
toda vez que cualquier atentado contra ella, que la ubique en una situación que vulnere alguno de sus principios como son la confidencialidad, integridad o disponibilidad, será objeto de sanciones o multas que pueden impactar de manera negativa la reputación y/o posición estratégica de la compañía. Así las cosas, entender la información en un contexto más amplio y multidisciplinario, es advertir un giro importante en su gestión dentro de las organizaciones, que no solamente se preocupa por su calidad, seguridad y conservación, sino que incorpora una condición legal, de corte constitucional, que demanda el cumplimiento de un derecho fundamental, denominado en el ordenamiento jurídico internacional como hábeas data. En este sentido y considerando la próxima formalización de la ley estatutaria de protección de datos personales en Colombia (Congreso de la República 2010), se detallarán algunos aspectos relevantes para desarrollar la función de privacidad de los datos en las organizaciones, para lo cual se tomarán algunos referentes metodológicos y experiencias internacionales, que nos orientan sobre aquellas cosas en las que no nos podemos equivocar, para dar cumplimiento a la exigencia de convergencia de dos mundos: la seguridad de la
información como buena práctica de negocios, y la privacidad, como garantía constitucional de los ciudadanos. Roles frente a la protección de los datos Las buenas prácticas internacionales en seguridad de la información señalan que podemos tener diferentes roles frente a los datos. Cada uno de tales roles establece responsabilidades y exigencias que deben ser conocidas, entendidas y aplicadas, toda vez que no hacerlo, significa dar lugar a brechas de seguridad que claramente pueden exponer a la empresa a circunstancias inestables, para dar cumplimiento a las condiciones que la normatividad interna o externa le impone frente a los datos. Los roles más conocidos son los de creador o dueño, usuario y custodio de los datos. Cuando las organizaciones comprenden lo que significa ejercer cada uno de estos roles, es menos probable que tengamos situaciones inesperadas o amenazas de fuga que no tengan claramente identificados a los responsables y sus roles asociados. Las empresas en la actualidad, al no incorporar este tipo de roles caminan sobre una cuerda floja, sin malla de protección, jugando con las probabilidades de ocurrencia de un hecho, cuando en realidad, lo único necesario es reconocer que la posibilidad siempre está. El creador de los datos, es aquella persona que genera los mismos, es el individuo que establece las condiciones de uso de la misma y detalla los permisos de acceso y/o actualización, requeridos para mantener la integridad del registro. En este sentido, el creador es el responsable de mantener una vista homogénea de los datos, para que ellos representen y mantengan la realidad que los trajo a la vida. El usuario, como su nombre lo indica, es el que acoge y cumple las condiciones que el creador ha impuesto sobre los datos generados. El usuario es responsable de conocer y aplicar las condiciones de acceso establecidas por el dueño, teniendo en cuenta que todo atentado contra las reglas establecidas por el creador, serán objeto de sanciones o cierre de acceso, sin perjuicio de acciones disciplinarias, penales o administrativas que se puedan derivar de la gravedad de las acciones del posible atacante. El custodio, es la entidad o individuo que atiende con claridad las condiciones de conservación y acceso que ha establecido el
creador, para crear el ambiente requerido que permita su materialización y monitorización, de tal forma, que cualquier usuario autorizado cuente con las herramientas y el entorno adecuado para acceder a los datos previamente creados. Es claro que el custodio, deberá implementar mecanismos de alerta y seguimiento de accesos no autorizados o actividades no contempladas, para contar con la trazabilidad de las acciones que se han cursado frente a los datos. Reconocer y aplicar estos roles frente a los datos determina con claridad los compromisos que cada individuo tiene y los impactos que se pueden derivar del incumplimiento de las mismos, lo que necesariamente nos habla del régimen sancionatorio que deben existir, siempre y cuando los datos se encuentren claramente clasificados según su importancia corporativa o su nivel de confidencialidad, condiciones que generalmente son comunes frente a este ejercicio. Principios de protección de datos y derechos Sabiendo que la definición y aplicación de roles frente a la(os) información/datos es una condición base para la protección de éstos y siguiendo la experiencia internacional de España frente a su Ley Orgánica de Protección de Datos Personales –LOPD-, revisamos a continuación algunos elementos relevantes del reglamento del desarrollo de esta norma, que leído en clave del ordenamiento jurídico colombiano, se traduce como el decreto reglamentario donde se detalla el proceso de aplicación real de una ley. De acuerdo con el reglamento de la LOPD, declara los principios fundamentales de la protección de la información personal, que como bien anota García Rambla (2009, pag.48), recogen aspectos asociados a la solicitud, el uso o almacenamiento de datos personales. Los principios establecidos son: • Calidad de los datos. • Consentimiento para el tratamiento de los datos y deber de ser informado. • Responsabilidad y encargado del tratamiento. La norma citada entiende la calidad de los datos de la siguiente forma: “Se considera indispensable que el interesado conozca el fin para el cual se recogen sus datos
SISTEMAS
89
y por lo tanto que éstos serán sometidos a tratamiento. Cualquier desviación de su utilización original constituye una falta en el uso de la calidad de los datos. En el caso de finalización del tratamiento para el cual fueron recabados, deberán ser cancelados y, por lo tanto, finalizar su utilización. No podrán de esta forma conservarlos, una vez superado el período necesario para los fines originales. Se excluyen de este tratamiento aquellos que puedan proporcionar valor histórico, estadístico o científico. (…)” (García Rambla 2009, pag.26) De otra parte, el deber de ser informado es declarado por la norma como sigue: “Cuando sea solicitado un dato, deberá expresarse previamente y de forma clara, el motivo de dicha solicitud y el tratamiento o finalidad para el cual será utilizado. Entre los datos facilitados, se encontrará información respecto de las capacidades del individuo para ejercitar sus derechos, así como la identidad y dirección del responsable del tratamiento o su representante. (…)” (idem, pag.27) Seguidamente la LOPD establece qué es el consentimiento del interesado: “Toda manifestación de la voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. (…) Cualquier empresa que utilice datos sin que su dueño haya dado su consentimiento, se encontrará cometiendo una infracción y por lo tanto sujeta a sanción por parte de la Agencia Española de Protección de Datos – AGPD. (…)” Finalmente, el encargado del tratamiento, la norma lo define como: “La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trata datos personales por cuenta del responsable del tratamiento. Cualquier organización que mantenga y trate datos personales, presentará una serie de sujetos físicos y jurídicos encargados de las diferentes operaciones sobre los mismos. Estos encargados del tratamiento estarán sujetos a diferentes normativas por parte de la empresa y dependerán directamente del responsable del fichero que disponga la organización. (…)” (idem, pag.26) Como podemos ver, la norma citada conjuga una serie de directrices que definen con claridad lo que una empresa debe considerar cuando del tratamiento de un dato personal se requiere. Lo
90
SISTEMAS
anterior fusiona las necesidades propias del estado para proteger la privacidad de la información personal, con las condiciones necesarias requeridas para su acceso, sumando las condiciones técnicas exigidas para darle cumplimiento a sus definiciones en un contexto conocido de una empresa. Detallando un programa de privacidad de datos Para hacer realidad los principios detallados y operacionalizar las definiciones de los roles frente a los datos en el escenario de las empresa, se requiere especificar un programa concreto y sistemático que permita incorporar dentro del ADN corporativo, la función de privacidad de los datos, no sólo como un requisito de cumplimiento, sino como aquel reconocimiento constitucional de la privacidad, principio fundamental para el buen uso de la información de terceros. De acuerdo con los estudios realizados por el CIO Executive Board (2010), un programa de privacidad de los datos es la base esencial de la incorporación de una distinción extendida de la seguridad de la información, que ahora recae en el escenario corporativo donde se identifiquen fuentes de información de esta categoría (es decir personales asociados con personas jurídicas o naturales), el cual deberá operar al más alto nivel de la empresa, pues es allí donde el compromiso con el respeto a la Constitución y las leyes se debe dar, así como en cada uno de sus empleados en el adecuado tratamiento de los datos personales. Desarrollar un ejercicio de este tipo, representa para una empresa la disposición de recursos, tiempo y esfuerzo, y es necesario definir una serie de etapas y entregables que permitan avanzar en la formulación de la estrategia, para hacer de la protección de los datos personales, una real consideración corporativa para aumentar la confianza de los terceros frente a la forma en la cual una organización materializa la promesa de valor de su negocio. Las etapas y entregables propuestas por el CIO Executive Board son: 1. Establezca una estructura de gobierno Establezca claramente el propietario de la función para el desarrollo e implementación del programa, así como el cargo que va a atender las diferencias y reclamaciones frente a este tema, bien un Oficial en Jefe de Privacidad o un Ombudsman de Privacidad.
2. Determine las leyes y regulaciones aplicables Establezca un inventario de normativa aplicable, las directrices internas relacionadas con tecnología de información, control de seguridad físicos, entrenamiento monitoreo basado en el tipo de información que se recolecta y sus locaciones geográficas. 3. Desarrolle un valoración de los datos Establezca un diagnóstico de la información personal recolectada, almacenada y utilizada dentro de la empresa. 4. Cree y distribuya políticas y procedimientos Establezca el cuerpo fundamental sobre principios y condiciones sobre el manejo de la privacidad en la organización. Defina y detalle políticas y procedimientos para el tratamiento de diferentes tipos de datos personales (clientes, empleados, comunidades y proveedores) 5. Despliegue el programa de entrenamiento y concientización Desarrolle cursos y capacitaciones en línea sobre los principios de privacidad y respeto por los datos personales, así como entrenamientos dirigidos a segmentos de la población de más alto riesgo en el tratamiento de la información personal. 6. Verifique los protocolos de seguridad de la información Establezca las medidas de seguridad y control que incluyan entre otros aspectos: almacenamiento, cifrado, autenticación, permisos de acceso, seguridad en bases de datos y redes de computadores. 7. Desarrolle protocolos para transferencia de datos Detalle en las cláusulas contractuales acuerdos y condiciones para la transferencia de datos personales. Utilice algunas prácticas internacionales como la certificación Safe Harbor o reglas corporativas vinculantes que gobiernen la forma como se transfiere información personal entre empresas o dentro de la compañía. 8. Asegure el cumplimiento de sus prácticas con los terceros involucrados Defina y asegure el cumplimiento de las prácticas de seguridad de la información requeridas con los terceros. Audite y
certifique la efectividad de las medidas de seguridad implementadas por los terceros. Incluya en los contratos las consideraciones de privacidad requeridas para el tratamiento de la información personal. 9. Desarrolle un plan para atención de los incidentes de seguridad de los datos Detalle un plan de acción y el equipo que atenderá los incidentes de seguridad de los datos personales. Documente claramente la investigación y los mecanismos de notificación que aseguren una respuesta clara y oportuna de los mismos. 10. Monitoree y audite el desempeño del programa Desarrolle métricas concretas y verificables que midan la efectividad del programa. Mantenga un seguimiento interno del programa auditando las prácticas establecidas frente a los requisitos normativos y el cumplimiento de metas propuesto por la alta gerencia. Si se sigue esta guía metodológica, la función de privacidad de la información tendrá elementos formales que poco a poco se irán incorporando dentro de la dinámica de cumplimiento propia de las empresas, haciendo tanto de la seguridad de la información como de la privacidad, una vista convergente que forme parte del respeto por los datos de los individuos y el aseguramiento de los procesos de la empresa, para alcanzar sus metas corporativas. Reflexiones finales Afirma Shaw (pag.16, 2011) que para el desarrollo de un debido cuidado en la protección de la información, en las empresas modernas se requiere un esfuerzo multidisciplinario conjunto, con el concurso de al menos tres grupos de profesionales: • Profesionales de la seguridad de la información para evaluar los impactos relevantes de las amenazas y vulnerabilidades de la información. • Profesionales en tecnologías de información para implementar las soluciones adecuadas en los ambientes técnicos establecidos. • Profesionales de las ciencias jurídicas para analizar y recomendar frente a las obligaciones legales y contractuales, así como de los aspectos de cumplimiento requeridos frente a ordenamientos nacionales e internacionales.
SISTEMAS
91
En este contexto, la tentación de encargar el programa de privacidad de la información al área de seguridad de la información se debe desdibujar, toda vez que alcanzar la efectividad del mismo exige un compromiso de la alta gerencia y de las áreas de cumplimiento empresarial, donde se conjugan las responsabilidades y retos de seguimiento para que la organización asuma y encuentre en este programa, una forma de avanzar tanto en las prácticas de seguridad como en el reconocimiento jurídico de la importancia del buen tratamiento de los datos personales. Aunque la experiencia española nos dice que el proceso de reglamentación de una norma de protección de datos implica necesariamente incorporar nuevas prácticas en las empresas que den cumplimiento a las garantías constitucionales, es importante reconocer que este esfuerzo debe ser acompañado de la sensibilización e interiorización sobre las exigencias de la protección de los datos personales, como esa distinción que verifica que nuestros derechos terminan donde empiezan los de los otros. Entrar en la era del cumplimiento de la protección de los datos personales, que no es otra cosa que hacer evidente el principio constitucional de la privacidad, es movernos en una esfera multidisciplinaria que, atenta a los cambios y motivaciones tecnológicas de la sociedad, es capaz de entender y confrontar las amenazas de una realidad altamente interconectada, de información instantánea y generalmente almacenada en la nube, para encontrar nuevas estrategias y acciones que permitan vincular los derechos de los titulares de la información, las condiciones de las regulaciones vigentes y las expectativas de la alta gerencia, de manera homogénea, para desarrollar una visión holística en la protección de la información empresarial.
Referencias [1] VERIZON (2012) 2011 Data breach investigation report. Disponible en: http://www. verizonbusiness.com/resources/reports/rp_dat a-breach-investigations-report-2011_en_xg.pdf (Consultado: 25-03-2012) [2] PONEMON INSTITUTE (2012) 2011 Cost of data breach study. United States. Disponible en: http://bit.ly/xBF6vr (Consultado: 25-03-2012) [3] BURT, J. (2012) IBM: Security is improving, but cybercriminals are adapting. Eweek Magazine. Disponible en: http://www.eweek. com/c/a/Security/IBM-Security-Improving-butCyberCriminals-Are-Adapting-757749/ (Consultado: 25-03-2012) [4] CIO EXECUTIVE BOARD (2010) CEB Guidance: Key components of a data privacy program. Legal and compliance practice. Compliance and ethics leadership council. (Requiere suscripción). [5] CONGRESO DE LA REPÚBLICA (2010) Informe de conciliación al proyecto de ley No.046 de 2010 Cámara, 184 de 2010 Senado. Gaceta del Congreso. Senado y Cámara. No. 1101. Año XIX. Diciembre [6] GARCÍA RAMBLA, J. (2009) Aplicación de medidas para la implantación de la LOPD (Ley Orgánica de Protección de Datos Personales) en las empresas. Medidas técnicas y organizativas. Ed. Informática64. [7] SHAW, T. (2011) Information security and privacy. A practical guide for global executives, lawyers and technologists. American Bar Association. ABA Section of Science & Technology.
Jeimy J. Cano, Ph.D, CFE. Miembro investigador del Grupo de Estudios en Comercio Electrónico, Telecomunicaciones e Informática (GECTI) de la Facultad de Derecho y Profesor Distinguido de la misma Facultad. Universidad de los Andes. Colombia. Ingeniero y Magíster en Ingeniería de Sistemas y Computación de la Universidad de los Andes. Ph.D in Business Administration de Newport University, CA. USA. Executive Certificate in Leadership and Management del MIT Sloan School of Management, Boston. USA. Egresado del programa de formación ejecutiva Leadership in 21st Century. Global Change Agent, de Harvard Kennedy School of Government, Boston. USA. Profesional certificado como Certified Fraud Examiner (CFE) por la Association of Certified Fraud Examiners.
92
SISTEMAS