驴Inciden los principios de la seguridad de la informaci贸n en los principios de la protecci贸n de datos?
El 28 de enero, se celebra el día internacional de la privacidad, y a propósito de ello nuestra firma, VELASCO & CALLE D´ALEMAN – ABOGADOS, quiere compartirles este e-book que puede ser de su interés. En el 2014, en el Congreso Europeo de Protección de Datos en Bruselas se publicó un documento por varias instituciones: la International Chamber of Commerce de Bélgica, ISACA capítulo Bélgica, entre otras. Se trata de una interesante publicación en forma de “Guía de Ciberseguridad” que incluye una serie de pautas y reglas sobre la seguridad de la información.
1.
Es inherente la relación que existe entre la protección de los datos personales y la seguridad de la información, primero, porque la información personal es un tipo de dato que debe ser protegido bajo estándares muy altos de exigencia por parte del legislador; y segundo, porque en la mayoría de los casos esa información personal constituye una fuente de nuevos negocios basados en los datos de clientes, usuarios y consumidores.
2.
Las normas vigentes en Colombia tienen como lineamiento las normas europeas, guardando también relación con las normas adoptadas en Latinoamérica. Estas consagran una serie de principios o reglas básicas que deben ser objeto de cumplimiento por todas las organizaciones públicas y privadas que traten datos personales.
3.
En relación con la guía de Ciberseguridad que se menciona, la cuestión que quisiéramos abordar es la de observar cómo pueden adecuarse o hacer coincidir estos principios de la norma de protección de datos personales, con los principios que se plantean en esta publicación y que se consideran la guía para adoptar un sistema de seguridad de la información al interior de una organización.
4.
Miremos entonces cuáles son esos 10 principios que presenta la guía y la relación que guardan con los principios que rigen la protección de datos personales. Los 10 principios claves que propone la guía están inmersos en 3 áreas de gobierno de la seguridad de la información, a saber: - La visión - La organización y los procesos - Y la mentalidad o lo que entendemos como actitud de la organización.
5.
1. MIRE MÁS ALLÁ DE LA TECNOLOGÍA Lo que demuestran los estudios sobre ataques de ciberseguridad es que las políticas de seguridad deben combinar a las personas, a los procesos y a la tecnología misma, debido a que buena parte de los ataques se presentan por incidentes y descuidos de las personas, más que por ataques malintencionados.
6.
La protección de la información personal se exige a través de normas y leyes, en Colombia concretamente por medio de la Ley 1581 de 2012 y el Decreto 1377 de 2013, además de la adopción de políticas, normas y procesos que comprenden el tratamiento de los datos personales que hace la organización. Sin embargo, en este último caso es fundamental entender que los datos son tratados por un gran número de funcionarios de la empresa en diferentes niveles y en relación con diversos stake holders.
7.
Por tanto, las políticas y normas del tratamiento de este tipo de información deberán estar alineadas con las de seguridad de la información y armonizarse con los procesos y acciones que implica su uso de forma concreta, mirando mas allá del área de informática y de las herramientas que permiten controlar el uso de los datos personales. Se requiere más que esto para asegurar este tipo de información.
8.
2. EL CUMPLIMIENTO NO ES SUFICIENTE La seguridad de la informaciรณn y de los derechos estรก otorgada por leyes, normas, y estรกndares de industria, los cuales se tornan insuficientes si no se implementan de una manera efectiva en la empresa y si no se adoptan prรกcticas seguras dentro del negocio que faciliten el cumplimiento.
9.
En el caso de la información personal el cumplimiento de los principios para un adecuado tratamiento de los datos es un imperativo legal. Es decir, en el caso de esta información el cumplimiento proviene de normas legales que además prevén sanciones fuertes si no son aplicadas. Sin embargo, ese cumplimiento como lo indica la guía, no se da solo con la existencia de una política y de una norma, pues debe reflejarse en los procesos y prácticas de los colaboradores de la empresa.
10.
3. TRASLADE LA META DE SEGURIDAD A LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN La seguridad de la información es un problema del negocio, no de tecnología. El marco de la seguridad de la información debe crearse desde la política misma sobre seguridad con intervención del staff directivo, para que la seguridad sea una práctica de toda la organización.
11.
En lo relacionado con el tratamiento de datos personales la seguridad de éstos constituye un principio per se. Ésta debe alinearse con la política de seguridad de la información de toda la organización, y debe entenderse, como lo plantea la guía, desde la alta dirección, de manera que, sea un asunto de toda la empresa y no sólo del área de tecnología que provee los mecanismos informáticos de seguridad.
12.
4. ASEGÚRESE DEL COMPROMISO DE LA ALTA DIRECCIÓN Solo así puede ser capaz de adecuarse la política e implementarse buenas prácticas de seguridad de la información. Pero al mismo tiempo a la alta dirección le interesa la efectividad de las prácticas que se implementan para lo cual debe reportarse formalmente a través de métricas y reportes que muestren a la alta dirección los beneficios del programa de seguridad.
13.
En complemento del principio antes expuesto, se precisa que la dirección de la organización esté comprometida con la seguridad de la información personal como un deber de protección de tales activos y como una forma de mitigar los riesgos que supone el indebido tratamiento de la misma y que pueden comprometer su propia responsabilidad. Será de gran relevancia la creación de estructura administrativa de gobierno que se exige además legalmente, para el tema de la privacidad y la protección de datos personales.
14.
5. CREE UN ROL VISIBLE DE SEGURIDAD E INCLÚYALO EN LA RESPONSABILIDAD DEL PERSONAL Es preciso elegir las personas que estarán a cargo de la seguridad de la información capaces de interactuar con otros compañeros de otros stake holders, de manera que lideren buenas prácticas y hagan realidad las políticas ya definidas.
15.
En materia de protección de datos, es fundamental crear la estructura administrativa responsable para dar cumplimiento a las normas sobre protección de datos personales; y al mismo tiempo crear una cultura de respeto por estos derechos en toda la organización para lo cual es indispensable contar con un programa permanente e idóneo de capacitación a todos los colaboradores de la organización cuyas actividades involucren el tratamiento de datos personales.
16.
6. MANTENGA LA SEGURIDAD DE LA INFORMACIÓN TAMBIÉN CUANDO SUBCONTRATE El outsourcing de servicios, especialmente en tecnología, es un modelo de negocios importante que se tiende a imponer. Pero se debe considerar que estas terceras partes también deben cumplir con los principios de la seguridad de la información, permitiéndole mantener su política y brindando la seguridad adecuada. Este principio debe tenerse presente al momento de la suscripción de un acuerdo y no puede olvidarse de hacerlo cumplir efectivamente.
17.
La subcontratación para procesos que involucran tratamiento de datos personales tiene así mismo un requisito especial en Colombia, pues el Decreto 1377 de 2013 exige que se suscriba con terceras partes un contrato que legitime la transferencia de los datos, incluso cuando involucra a un proveedor internacional que tratará datos en servidores ubicados en otros países que pueden llegar a tener la condición de “países no seguros” para la ley colombiana.
18.
7. GARANTICE LA SEGURIDAD DE LA INFORMACIÓN PARA LA INNOVACIÓN La seguridad de la información no puede convertirse en un obstáculo o en fuente de temor para la empresa al momento de adoptar nuevas tecnologías o bien desarrollar proyectos innovadores. Lo importante es alinear los requerimientos de las nuevas tecnologías o desarrollos con las políticas y prácticas de seguridad de la información y así mismo, obtener el compromiso de proveedores y encargados de la innovación dentro de la empresa.
19.
Este principio constituye la base para que la información de carácter personal pueda ser tratada en iniciativas que incluyan analítica de datos o minería de información, cada vez mas frecuentes en proyectos de innovación basados en datos personales, y que por ende suponen que la seguridad de la información de carácter personal esté prevista desde el principio, no sólo desde la concepción misma de este tipo de proyectos, sino también en la creación de las herramientas de tratamiento de datos.
20.
8. SÍGASE RETANDO A USTED MISMO Las prácticas y los procesos pueden quedar fuera de foco o pueden caer en desuso, por eso hay que estar en permanente creación y movimiento alrededor de la seguridad de la información. De igual manera hay que crear una cultura abierta, de manera que cuando sucedan los incidentes las personas los reporten y no sientan miedo.
21.
La cultura de tratamiento y seguridad de información personal tiene un reto muy importante cuando se trata de alinear los propósitos de la ley y de las normas, con las prácticas empresariales. Las normas se reglamentan y van modificando aspectos frente a los cuales se debe estar actualizado permanentemente. La capacitación y formación en estos temas constituye entonces un foco fundamental para la creación de cultura en esta materia.
22.
9. MANTENGA EL FOCO Toda la información de la compañía es muy importante pero solo una parte de esta puede ser vulnerable y tal vez causar el mayor daño a la empresa. Por tanto, mantenga su atención y esfuerzo en proteger la más valiosa, pues es imposible eliminar el 100% de los riesgos y realmente no se requiere.
23.
Este principio nos lleva a considerar la clasificación de activos de información que hace la compañía y a pensar sí dentro de esta clasificación la información de carácter personal tiene una ponderación acorde con los riesgos que supone un indebido tratamiento de esta. Al mismo tiempo los datos personales que se tratan por la organización también deben ser objeto de clasificación, de manera que le permita determinar y cualificar cuáles de esos datos son relevantes y valiosos y por ende, deberían sujetarse a la mayor protección exigida normativamente.
24.
10. ESTÉ PREPARADO PARA MANEJAR LOS INCIDENTES DE SEGURIDAD Lo importante no es el ataque, sino cómo se responde a él. Una buena respuesta a incidentes incluye una apropiada estrategia de comunicación al interior y si es del caso, a las partes externas que deban participar.
Y recuerde, poner en conocimiento de las autoridades el incidente es obligatorio en algunos casos.
25.
Justamente y tratándose de fuga de información personal en relación con datos personales, es obligatorio en Colombia reportar los incidentes que se presenten a la autoridad administrativa, en este caso la SIC (Superintendencia de Industria y Comercio), lo que supone además expresar cómo fue atendido el incidente y cómo se gestionó su menor impacto. Dentro del principio de seguridad en relación con el tratamiento de datos personales, la atención correcta de los incidentes es fundamental para lograr una adecuada respuesta y defensa ante las autoridades y titulares del dato.
26.
De lo que hemos visto podríamos concluir lo siguiente:
La seguridad de la información debe ser una actitud y decisión permanente de una organización que entiende cuáles son sus activos valiosos en el siglo XXI.
Dentro de ella, la seguridad y protección de los datos personales exige desde las normas mismas un regulación y desarrollo que debe alinearse con las directrices de seguridad de la información que ya tiene la organización.
27.
Finalmente todas estas cuestiones llevan a pensar en varios de los aspectos que deben tenerse en cuenta al momento de crear un Programa de Responsabilidad Demostrada dentro de las organizaciones, tendencia mundial que supondrá además la implementación de los procesos, políticas y toma de decisiones que se acomoden mejor a la realidad de cada organización, bien sea pública o privada.
28.