viernes, 14 de febrero de 2014

Privacidad y seguridad de la información. Desafíos territoriales alrededor de la información

Introducción
En un mundo interconectado y de información instantánea, la privacidad y la seguridad de la información son elementos que se encuentran bajo fuegos cruzados: uno que demanda acceso para generar productos más ajustados a los gustos de las personas, otro que exige conocimiento de sus registros y movimientos de sus transacciones, como prerrequisito de seguimiento y control por parte del Estado y otro como el derecho que demanda una persona respecto de su intimidad y realidad individual.
 
Como quiera que, el flujo de información no se detiene, tanto la seguridad como la privacidad establecen dominios de acción diferentes y complementarios, que requieren un nivel de especialidad particular para desarrollar un conjunto de prácticas que conceptualicen y materialicen el ejercicio de acceso y control que sobre la información se debe asegurar: bien como comportamiento evidente y ajustado a lo especificado, o bien como derecho, que se ejerce y exige frente a la gestión de la información referente a un individuo.
 
En este sentido, la seguridad y la privacidad de la información, enmarcan un reto de ingeniería y de práctica corporativa que debe asistir las declaraciones del gobierno corporativo de una empresa, donde la información se define como un activo estratégico y la fuente de valor para capitalizar nuevas y renovadas estrategias que lancen a la organización en vías emergentes y novedosas que posicionen su nombre en sus mercados relevantes.
 
Así las cosas, establecer los límites de la actuación del encargado de la privacidad y de la seguridad de la información en una empresa, requiere entender en detalle los fundamentos de cada uno de los conceptos y enfrentarse a la dinámica actual de las organizaciones, donde estas dos distinciones hacen carrera, bien por cumplir con un requisito legal o bien por ajustarse con alguna buena práctica internacional, requerida para competir en un mercado particular.
 
Por tanto, el comprender que la privacidad no es confidencialidad y que la seguridad de la información no es privacidad es una reflexión que debemos emprender (FINNERAN, M., FOX, J. y FINNERAN, T. 2014). En este tenor, la privacidad es una connotación de mayor alcance en las organizaciones, toda vez que exige un entendimiento detallado del derecho que le asiste a un ciudadano frente al ordenamiento jurídico de las naciones, mientras la seguridad es una práctica del gobierno de la protección de la información, que sin perjuicio de lo anterior, proporciona formas de cuidar el activo estratégico declarado.
 
En razón con lo anterior, podemos ver que habrá prácticas de seguridad de la información que aplicarán para el ejercicio de la privacidad y conceptos de la privacidad semejantes a los principios que se declaran en seguridad de la información. Por tanto, iniciaremos una revisión de los elementos que distinguen tanto a la privacidad como a la seguridad, con el fin de buscar y analizar posibles alternativas para fundar las áreas de privacidad y seguridad de la información, bien como áreas independientes o conexas con reportes independientes.
 
Seguridad de la información y privacidad de la información. Dos dominios diferentes
Luego de revisar las anotaciones del profesor Lambrinoudakis (2013), del Departamento de Sistemas Digitales de la Universidad de Piraeus en Grecia, queda más claro que la seguridad de la información y la privacidad de la información corresponden a dominios diferentes.
 
Mientras la seguridad de la información se refiere a la protección de la información almacenada, procesada y transmitida para cumplir con las funciones y propósitos de los sistemas de información en una organización, la privacidad de la información está relacionada con la protección de la información de la identidad de un sujeto. De igual forma, la seguridad de la información es una importante herramienta para proteger los objetivos de negocio y sus activos de información, mientras la privacidad se concentra en la salvaguarda del derecho que tienen las personas respecto de su información particular.
 
Actualmente, la privacidad de la información se ha venido tratando como un tema legal, el cual no se ha manejado adecuadamente por los estándares de seguridad, toda vez que el aseguramiento del principio de confidencialidad busca prevenir la revelación de datos sensitivos a nivel organizacional y personal a entidades no autorizadas, pero no se concentra en ocultar la identidad del dueño de los datos o asegurar la imposibilidad de vincular el dato y su dueño.
 
En este sentido, los principios de la seguridad de la información como son la confidencialidad, la integridad y la disponibilidad, no son equivalentes a las características que se deben asegurar en la privacidad de la información como son el anonimato, la imposibilidad para vincular, la imposibilidad para distinguir, la imposibilidad de rastrear y la pseudonimia (PFITZMANN y HANSEN 2010).
 
Por tanto, mientras en el ejercicio de protección de la información las estrategias que se siguen permiten asegurar el acceso correcto, en las condiciones requeridas y con la calidad esperada; en el diseño de la protección de la privacidad se demanda oscurecer los datos para evitar que se identifiquen, desarticular toda clase de vínculos entre los datos y su dueño, facilitar el uso de pseudónimos y nombres alternos, que permitan un acceso de forma anónima.
 
Habida cuenta de lo anterior, los sistemas de información que cuenten con mecanismos de seguridad y control no necesariamente serán cumplidores de las exigencias de privacidad. En este sentido, la privacidad de la información, como el establecimiento de reglas que gobiernan el tratamiento de la información personal, demanda que las empresas diseñen mecanismos alternos para salvaguardar la identidad de las personas y el acceso a su información sensible, en procura de evitar que el uso de ésta pueda provocar discriminación o afectar su intimidad.
 
Así las cosas, diseñar un sistema de información con privacidad por defecto, no será posible exclusivamente con mecanismos de seguridad de la información. Hará falta integrar las condiciones enumeradas previamente (que en inglés se establecen como: unlinkability, untraceability, unobservability, anonymity), asistiendo al usuario final, entre otras acciones, para: (LAMBRINOUDAKIS 2013)
·   Informarle el estado de la privacidad en el sistema de información.
·   Establecer operaciones y lenguaje sencillo de aprender y entender sobre las opciones de privacidad que tiene disponibles.
·   Confirmar opciones que debe verificar antes de proceder con acciones que puedan ser contrarias a su privacidad.
·   Proveer salidas efectivas de cualquier opción seleccionada en cualquier momento de la ejecución para proteger su privacidad.
·   Destruir cualquier información personal que se haya utilizado en desarrollo de una sesión de trabajo.
En resumen podríamos decir:
 

VARIABLES
SEGURIDAD DE LA INFORMACIÓN
PRIVACIDAD DE LA INFORMACIÓN
Fundamento
Es un proceso
Es un derecho
Finalidad
Protección de la información empresarial
Protección de la información personal
Características que se deben asegurar
Confidencialidad, integridad y disponibilidad
Anonimato, la imposibilidad para vincular, la imposibilidad para distinguir, la imposibilidad para rastrear y la pseudonimia
Responsable
Chief Information Security Officer (CISO)
Delegado de Protección de Datos personales (DPDP) / Chief Privacy Officer (CPO)
Foco
Centrado en los datos
Centrado en la persona
Buenas prácticas
Serie ISO 27000, Documentos del NIST y del ENISA
ISO/IEC 29100 Information Technology –Security Techniques –Privacy framework
Reporte
Independiente
Independiente
Tabla No.1 Seguridad Vs. Privacidad
 
El Oficial de Seguridad de la Información y el Oficial de Privacidad
Entendiendo que estamos ante dos dominios de conocimiento diferentes, pero complementarios entre sí, es importante detallar los dos roles o cargos que son responsables tanto por la seguridad de la información como por la privacidad. En este ejercicio organizacional, es clave comprender los objetivos claves de cada figura, sus alcances y los retos que tienen, para visualizar aquellos puntos comunes y divergentes en cada caso.
VARIABLES
Chief Information Security Officer
Chief Privacy Officer
Fundamento
Asegurar un proceso
Asegurar un derecho
Finalidad
Protección de la información empresarial
Protección de la información personal
Aspectos claves que debe cuidar
Protección de activos de información
Foco en el valor para el negocio
Asesor de confianza
Cumplimiento de prácticas de protección de información
Garantías para el ejercicio del derecho de la privacidad
Programa de privacidad
Verificación del cumplimiento de prácticas de privacidad
Perfil
Inteligencia política
Experiencia comprobada en seguridad y control (mínimo de 12 años)
Lenguaje negocio y técnico
Inteligencia táctica y jurídica
Experiencia comprobada en privacidad (mínimo de 12 años)
Lenguaje jurídico y técnico
Foco
Centrado en los datos
Centrado en la persona
Buenas prácticas referentes
Serie ISO 27000, Documentos del NIST y del ENISA
ISO/IEC 29100 Information Technology –Security Techniques –Privacy framework
Formación requerida
Profesional en cualquier disciplina
Posgrado en negocios
Profesional en derecho y/o tecnología de información
Posgrado en derecho y/o en negocios
 
Reporte
Independiente
Independiente
Tabla No.2 CISO Vs. CPO (Adpatado de: ROSE (2013) y SHEY (2012))
 
Como podemos observar, estos dos cargos, requieren habilidades y condiciones particulares que exigen de la persona que lo ocupen, credenciales que permitan enfrentar las situaciones complejas que cada uno de los dos mundos analizados exigen.
 
Por un lado, si revisamos los factores que influencian la gestión de los riesgos de privacidad, encontramos que el ISO 29100 (ISO 2011), establece un marco de acción que cubre temas como factores legales y regulatorios, factores contractuales, factores de negocio y otros temas relacionados con sistemas de control interno, estándares técnicos y gestión de los datos personales.
 
En este entendido, el encargado de la privacidad tendrá amplia interacción con el área jurídica, quien deberá ser una aliado clave para implementar y desarrollar la distinción de privacidad en una organización, sin perjuicio que en el ejercicio de su función, debe sintonizarse y hacerse pieza de los sistemas de control interno corporativos, como parte de las exigencias de cumplimiento legal que afecta la empresa de manera transversal.
 
De otro lado, cuando hablamos del ejecutivo de seguridad de la información, generalmente (y de manera equivocada) se piensa en una persona con un perfil eminentemente técnico. Sin embargo, el responsable de seguridad de la información, se mueve bajo la declaración de que la información es un activo, que los riesgos claves están asociados con pérdida y/o fuga de información y que como anota ROSE (2012)  debe asegurar los aspectos de cumplimiento, seguridad y control frente a los requerimientos regulatorios y legislativos, tanto interno como externos.
 
Así las cosas, el oficial en jefe de seguridad de la información debe establecer el umbral de riesgo permitido por la organización frente a la materialización de los riesgos identificados que atenten con la protección de la información. Esta declaración deberá estar mediada por una análisis de impactos de negocios, así como por las expectativas del primer nivel gerencial de la empresa, con el fin de establecer los derroteros que son necesarios para mantener un nivel de exposición conocido y asegurar en su gestión diaria, los elementos que le apunten a gestionar los riesgos identificados.
 
Estas dos figuras organizacionales, de acuerdo con SHEY (2012) y ROSE (2012), son cargos que deben reportar al primer nivel de la empresa, toda vez que las responsabilidades e impactos de su gestión, afectan directamente el gobierno corporativo empresarial, llegando a comprometer la imagen y el buen nombre de la corporación.
 
Mientras el oficial de privacidad busca identificar los puntos de responsabilidad que puede tener la organización frente al tratamiento de los datos personales, el oficial de seguridad identifica y asegura la información relevante de la organización. (SWIRE y AHMAD 2012) Ambos, deben desarrollar cultura organizacional de seguridad y privacidad, establecer un marco referente para identificar, monitorear y analizar las amenazas emergentes y verificar la correcta aplicación de las prácticas claves para cada uno de sus dominios.
 
Oficial de Seguridad de la Información y Oficial de Privacidad, ¿juntos o separados?
Existe actualmente una tendencia internacional que busca establecer una vista consolidada de las áreas de cumplimiento corporativo. En este ejercicio se visualiza un ejecutivo de primer nivel corporativo que reúne todas las temáticas que exigen cumplir con requisitos tanto legislativos como prácticas internacionales, con el fin de entregar una vista unificada del estado del cumplimiento empresarial. (CANO 2013)
 
En este tenor, los Vicepresidentes de Cumplimiento Corporativos aparecen como los responsables empresariales de manifestar al primer nivel de la empresa, que tan bien se aseguran las prácticas corporativas frente a los diferentes temas como seguridad de la información, privacidad, fraude, ética, lavado de activos, cumplimiento de referentes internacionales requeridos para operar, entre otros, indicando los puntos efectivos y aquellos de mejora, donde se evidencie con mayor claridad una mayor exposición de la empresa, que pueda generar una no conformidad que comprometa las metas de la organización.
 
Una vista unificada permite aunar esfuerzos de intervención de cultura, simplificar prácticas, ajustar y sintonizar controles, aumentar la efectividad y confiabilidad de las operaciones, sin comprometer su eficiencia. Como quiera que cada tema exige una especialidad particular, el VP de cumplimiento corporativo, tendrá que comprender la variedad de temas que tiene bajo su responsabilidad, buscando integrar una vista conjunta que revele aquello que es clave para organización, sin perder la especialización del conocimiento de cada tema revisado.
 
En consecuencia, pensar en un área unificada de seguridad de la información y privacidad de la información sugiere ventajas como las mencionadas previamente, sin embargo advierte limitaciones que deben ser analizadas y conocidas, no para mitigar los riesgos propios de esta fusión, sino para gestionar los mismos con acciones concretas que mantengan un nivel de exposición conocido y los procedimientos declarados para actuar cuando éstos se materialicen.
 
El mundo fusionado de las dos áreas de conocimiento, seguridad y privacidad, se enfrenta en primer lugar al ordenamiento jurídico. Mientras la privacidad es un derecho fundamental frente a la autodeterminación informática, la seguridad es una buena práctica. Por tanto, el nivel de importancia y valoración de un incidente frente al nivel ejecutivo se ve enfrentado por sus impactos, dejando posiblemente que prime uno u otro ante una situación, comprometiendo la visibilidad de alguno de los dos.
 
De otra parte, esta unión de dominios de conocimiento, demanda perfiles especializados o conocedores del tema, que al estar en una vista conjunta deberán privilegiar las exigencias de cumplimiento empresariales, sobre la relevancia e importancia que tiene cada tema para el desarrollo de los negocios de la empresa. Es decir, habrá que construir una distinción que sume las bondades de las prácticas de ambos temas y se compensen los esfuerzos allí donde alguno es dominante y el otro no lo es.
 
Los impactos a nivel tecnológico frente a la fusión de estos dos temas, pueden generar sobre cargas y controles excesivos en la ejecución de los procesos empresariales soportados por sistemas de información, si no se establecen sinergias entre estos dos dominios. Podemos advertir una pérdida de velocidad empresarial que puede desdibujar el esfuerzo que hacen ambas áreas para proteger la empresa frente a situaciones que comprometan su imagen y buen nombre.
 
Así las cosas, fusionar las dos áreas, es una decisión que debe ser informada, es decir consciente de las potencialidades y riesgos que esto supone, para armonizar dos temas de cumplimiento, claves en el ejercicio de gobierno de la información en una empresa y garantes del gobierno corporativo.
 
Reflexiones finales
Estamos en un momento de la historia donde la seguridad de la información y la privacidad se enfrentan en un desafío territorial donde los datos se convierten en la esencia de esa conquista. Mientras la seguridad piensa en términos de autorizaciones y control de acceso, la privacidad reflexiona y exige consentimiento explícito e informado para el tratamiento de la información.
 
En este contexto, la privacidad sin la seguridad, se vuelve un ejercicio estéril de derechos que no encuentra un asidero real de implementación práctica que le permita a la persona, exigir el adecuado tratamiento de la información. La seguridad sin la privacidad, es una disciplina de protección de la información, que se concentra en la custodia de un activo clave, pero no, como una práctica que trasciende hacia las implicaciones de este ejercicio en la persona.
 
Así las cosas, tanto la privacidad como la seguridad requieren ejercicio de construcción conjunta, que permita equiparar la relevancia de ambos dominios, para desarrollar una visión conjunta, donde primen los datos como fuente de la ventaja competitiva. Esto es, articular las relaciones inherentes entre personas, procesos y las tecnologías, para incorporar prácticas adecuadas que muevan la cultura organizacional hacia la preservación de los datos como base de la estrategia empresarial.
 
Referencias
PFITZMANN, A. y HANSEN, M. (2010) A terminology for talking about privacy by data minimization: Anonymity, Unlinkability, Undetectability, Unobservability, Pseudonymity, and Identity Management. Disponible en: http://dud.inf.tu-dresden.de/literatur/Anon_Terminology_v0.34.pdf (Consultado: 13-02-2013)
LAMBRINOUDAKIS, C. (2013) Evaluating and enriching information and communication technologies compliance frameworks with regard to privacy. Information management and computer security. Vol.21. No.3
SWIRE, P. y AHMAD, K. (2012) Foundations of information privacy and data protection. A survey of global concepts, laws and practices. IAPP Publication.
FINNERAN, M., FOX, J. y FINNERAN, T. (2014) The privacy engineer´s manifiesto. Getting from policy to code to QA to value. Mcafee. Apress Open.
ROSE, A. (2012) Role Job Description: Chief Information Security Officer. Forrester Research. March 5.
SHEY, H. (2012) Job Description: Chief Privacy Officer. Forrester Research. August 23.
ISO (2011) ISO/IEC 29100 Information technology – Security techniques – Privacy Framework.
CANO, J. (2013) Inseguridad de la información: Motivador de práctica de cumplimiento corporativo. ISACA Journal. Vol.6