¿Alguna vez te has parado a pensar la cantidad de información que se mueve a través de la red? ¿Y la cantidad de veces que aportamos nuestros datos personales, algunos muy íntimos? ¿Qué ocurre con esos datos? ¿Alguien los puede utilizar mal, vender o simplemente descuidar para que cualquiera, sin nuestro consentimiento, los utilice? Todas estas cuestiones son las que nos interesa hoy tratar en Sintetia. El paradigma Cloud Computing, la información, la seguridad son aspectos de gran transcendencia social, pero también económica. Existen normativas muy rigurosas, certificaciones y procedimientos que permiten tener un correcto uso de los datos en los distintos ámbitos. Nunca antes en nuestra historia hemos tenido acceso a tanta información, pero de la misma manera, nunca hemos estado tan expuestos a su uso de forma irregular no respetando los derechos individuales. Por todo ello, es importante analizar estas cuestiones con bisturí y queremos hacerlo con una experta de referencia, Nathaly Rey. De su extenso currículo subrayamos su cargo como Directora General de la Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum. Para esta entrevista contamos con la colaboración de Miguel A. Lubián, socio responsable del área IT en Instituto CIES, que también es un gran especialista en seguridad de la información. A ambos les queremos agradecer la colaboración en Sintetia.
:: La economía ha dado un giro en los últimos años. Los tradicionales activos físicos como representación principal del valor de una empresa están cambiado y aspectos como el capital intelectual se convierte en unos de los principales valores empresariales, por tanto ¿El robo de capital intelectual no debería ser un gran motivo de preocupación para cualquier empresa?
Uno de los factores determinantes en el éxito o el fracaso de una compañía es, sin duda, la adecuada gestión de los riesgos que recaen sobre su capital intelectual, el cual se representa fundamentalmente en datos e información. El capital intelectual es reconocido como el activo más valioso de varias de las compañías más importantes a nivel mundial y constituye el principal generador de valor agregado. Una brecha de seguridad, por ejemplo, puede afectar significativamente desde el valor de las acciones de una compañía, hasta su posición competitiva o su reputación. El buen gobierno corporativo de los riesgos que recaen sobre la información debería estar en la agenda de prioridades de cualquier organización y de su alta Dirección.
:: Por mi experiencia veo que muchas empresas realizan grandes inversiones en la “parte perimetral”, es decir prevenir accesos desde fuera hacia dentro, pero bajo tu punto de vista ¿No crees que muchas veces podemos tener más riesgo en el interior de las empresas (fugas de datos, extracción de información, ex empleados, etc.)? ¿Cómo afecta la reciente reforma del Código Penal al respecto, tanto a la empresa como al trabajador/a?
Cierto, de hecho, la reciente reforma del Código Penal establece la responsabilidad penal de las personas jurídicas por los delitos cometidos por sus empleados en provecho de éstas, como consecuencia de no haber ejercido sobre ellos un debido control. Todo ello, sin perjuicio de la responsabilidad, también penal, en la que pueda incurrir el empleado.
Por parte de la organización, se deberán desplegar las medidas técnicas, jurídicas y organizativas necesarias para minimizar los riesgos de comisión de este tipo de conductas, así como para poder acreditar ante el órgano jurisdiccional, llegado el caso, una diligencia debida. La elaboración de códigos de conducta, la adopción políticas de gestión de logs (por ejemplo, registro de control de acceso a documentos) el que permitan generar evidencias, o la aplicación de un correcto control de accesos que posibilite la determinación responsabilidades sobre acciones o eventos, son algunas de las medidas que no deben faltar en el control interno de una organización.
:: El año 2011 ha sido un año muy intenso, diversos incidentes de seguridad muy sonados y con gran actividad de diversos grupos de hacktivistas como por ejemplo «Anonymous». Según tu opinión ¿Dónde están más seguros los datos, en las propias organizaciones o apoyándose en proveedores externos? ¿Y en caso de un incidente de seguridad, dónde está el límite de la responsabilidad?
La información estará mejor protegida en aquella infraestructura que cuente con las mejores prácticas en materia de seguridad, la tecnología más adecuada, y la mayor cualificación del personal que opera el servicio. Estos elementos se pueden conseguir en una infraestructura propia o en la de un tercero. En cuanto a las responsabilidades entre las partes ante incidentes relacionados con la seguridad de la información, hay que diferenciar el ámbito a
nglosajón del continental. En caso de contratos sometidos a legislación de sistema anglosajón, son frecuentes las limitaciones de responsabilidad de los prestadores de servicio y, en particular, la determinación de una cantidad económica que limita la responsabilidad. Dichas previsiones son contrarias a las legislaciones del sistema continental, las cuales permiten la limitación por culpa, pero no por negligencia o dolo.
Bajo mi punto de vista, el proveedor debería obligarse a mantener indemne al prestatario, además de frente al dolo y la negligencia, frente a aquellos fallos de seguridad que hubieran podido preverse según el estado de la ciencia y de la técnica, en el momento de la producción del daño. El proveedor podrá asumir el riesgo por sí mismo, o trasladarlo a un tercero, por ejemplo, a una entidad aseguradora.
:: Recientemente hemos visto el famoso caso “Megaupload” donde la fiscalía de Estados Unidos anunció que los datos empezarán a ser borrados, miles de personas tendrán grandes dificultades de acceso a su información. ¿Cuál es tu opinión al respecto? En términos generales en qué situación se encuentra una empresa que precisa reclamar el acceso a su información cuando el proveedor se encuentre fuera de la UE (con sus propias regulaciones, como por ejemplo Ley Patriota de Gobierno de los Estados Unidos)?
En una relación B2B, la articulación jurídica de una prestación de servicios como los que ofrecía Megaupload, es, en principio, libre en virtud de la autonomía de la voluntad que rige la contratación. Por tanto, habrá que revisar el clausulado de los contratos que se suscribieron entre Megaupload y sus clientes corporativos para determinar las jurisdicción competente a efectos de realizar eventuales reclamaciones por incumplimiento de contrato y, en su caso, por daños y perjuicios. En cualquier caso, resultará complicada la resolución de cualquier controversia en el ámbito civil, mientras el proceso penal esté abierto y los bienes de esta empresa estén embargados.
La corte de Virginia decidirá en las próximas semanas sobre el destino de los datos de buena parte de los usuarios de Megaupload, al menos de los 75 Petabytes que se encuentran alojados en los servidores Carpathia Hosting, en calidad de data Processor o encargado del tratamiento. No parece razonable que se ordene un borrado indiscriminado de datos pues, entre otros aspectos, se deberá determinar si los contenidos violan o no derechos de propiedad intelectual y habrá que valorar posibles daños económicos que se pudieran derivar de un borrado indiscriminado.
:: Son muchos los artículos que hablan sobre las grandes ventajas del paradigma del Cloud Computing (Nube), incluso como medida de ahorro económico en tiempo de crisis. ¿En realidad, cómo definirías este paradigma y cuáles son sus principales ventajas?
El Cloud Computing es un nuevo paradigma para ofrecer software, plataformas e infraestructuras como servicio, de una forma fácilmente escalable y flexible a través de Internet, y todo ello sin grandes inversiones iniciales para el usuario. Se perfila como un modelo disruptivo que cambiará la forma de entender las tecnologías de la comunicación por parte de los usuarios, que potencia la eficiencia en la gestión tecnológica y brinda a las organizaciones la posibilidad de acceder a un gran número de recursos digitales y de disponer de una enorme capacidad de procesamiento y almacenamiento, sin necesidad de instalar infraestructura localmente, ni de invertir previamente en licencias de software. Pero hay que tener muy presente que para que esta tecnología se desarrolle y la confianza empresarial ante ella crezca, es necesario asegurar que el Cloud Computing se implante y gestione de forma responsable, incluyendo los controles de seguridad apropiados.
:: Desde el punto de vista de la seguridad de la información, ¿Cuáles son los principales aspectos que una empresa debe de conocer antes de subirse al Cloud?
En primer lugar, previamente a la adopción de un servicio de Cloud, se deberá proceder al análisis de los requisitos de cumplimiento normativo a los que está sometida la organización contratante, para así poder determinar, entre otros aspectos, la información corporativa susceptible de ser almacenada en la Nube y el tipo de despliegue según cada tipología de activos de información (información financiera y contable, datos personales, información clasificada, etc.).
También hay que analizar profusamente los requisitos que se deberán exigir al proveedor contractualmente para garantizar la seguridad de los activos de información y el cumplimiento de las obligaciones que recaen sobre los mismos.
Es importante poner en valor el papel del profesional que interviene en el proceso. De hecho, en el ISMS Forum, impulsamos la primera certificación profesional en castellano sobre Seguridad de la Información en Cloud Computing, el Certificate Of Cloud Security Knowledge (CCSK). Consideramos imprescindible asegurar que los profesionales con responsabilidad relacionada con el Cloud Computing tengan conocimientos acreditados de las amenazas a la seguridad y de las mejores prácticas para abordarlas. Este tipo de iniciativas promueve la confianza empresarial ante Cloud y, por tanto, el aprovechamiento de sus ventajas.
:: Debido al progreso tecnológico y a la globalización, la Comisión Europea propone una reforma general en el marco normativo de la protección de datos de la UE. Esta situación apunta a que en breve dispondremos de una nueva normativa de protección de datos en España, ¿Para cuándo y cuáles son sus cambios esenciales?
Se impondrá un conjunto único de normas sobre protección de datos de aplicación directa en toda la UE. Estas normas podrían aplicarse a las organizaciones activas en el mercado de la UE que ofrezcan sus servicios a ciudadanos de la UE. Se eliminarán requisitos administrativos como las obligaciones de notificación para las empresas (ficheros, transferencias internacionales de datos, etc.). Se flexibilizarán las normas, por ejemplo las relativas a las transferencias internacionales de datos, a cambio de una mayor responsabilidad y rendición de cuentas ante posibles incumplimientos. Las empresas deberán contar con un Data Proteccion Officer y las brechas de seguridad deberán ser notificadas. Por su parte, se pretende garantizar que los ciudadanos tengan derecho al olvido en Internet y consagrar el derecho a la portabilidad de los datos en el marco de servicios de sociedad de la información. Es importante reseñar que la cuantía de las sanciones podría aumentar considerablemente.
:: Recientemente se ha constituido una nueva iniciativa denominada Instituto Español de Ciberseguridad que pretende contribuir a mejorar la seguridad en España y su estado de concienciación. ¿En qué consiste esta iniciativa?
El Instituto Español de Ciberseguridad nace con la misión de impulsar y contribuir a la mejora de la Ciberseguridad en España y concienciar acerca de la necesidad de una adecuada Ciberseguridad y gestionar el riesgo que genera el uso omnipresente de las TIC. Para ello, realizará y difundirá estudios y fomentará debates e intercambio de ideas y conocimientos, entre los principales actores y expertos implicados en la Ciberseguridad en España.
:: Nos puedes indicar las principales iniciativas en las que estáis trabajando para 2012 desde el ISMS?
Para este año 2012 entre nuestros objetivos principales están la creación de la Fundación de la Privacidad y la consolidación del Instituto de Ciberseguridad. Este último, es una apuesta de ISMS Forum en vista de la gran importancia de la ciberseguridad y el interés que se demuestra en la sociedad ante estos aspectos, cuyo fortalecimiento es necesario para asegurar la seguridad nacional, el crecimiento económico y el suministro de los servicios esenciales a la sociedad, provistos por las Infraestructuras Críticas.
Actualmente, ISMS Forum organiza su actividad a través de distintas iniciativas. Las Jornadas Internacionales de Seguridad de la Información, que inauguraron la Asociación, se han visto complementadas por las actividades del Data Privacy Institute, el capítulo español del Cloud Security Alliance y el proyecto de ciberconcienciación Protegetuinfomacion.com, que continúan desarrollándose.
