LOS EXPERTOS OPINAN: `Privacy By Design en la cultura del Fast, Cheap & Easy´ - CARLOS ALBERTO SÁIZ

Publicado el 30-11-2017      Notícia sobre: Artículos
 

 

     

Carlos Alberto Sáiz 

Vicepresidente de ISMS Forum y director del Data Privacy Institute de ISMS Forum

Hace unos meses tuvimos la ocasión de escuchar la conferencia del gurú de la Ciberseguridad Bruce Schneier en la XIX Jornada Internacional de ISMS Forum.

Como siempre hábil y disruptivo, nos dijo a los profesionales de la Seguridad y la Privacidad que tenemos que intentar desarrollar nuestro trabajo en el contexto que vivimos que es el de "Fast, Cheap & Easy".

 

Es decir:
- Fast: el mundo, las compañías, los nuevos productos y servicios... todo se mueve muy rápido, el time-to-market y llegar el primero es fundamental para posicionarse.
- Cheap: lo más barato posible, la competencia es tremenda y abaratar nuestro producto o servicio en la medida de lo posible es un aspecto nuclear.
- Easy: todo debe ser fácil para el cliente, comenzar a consumir un producto o servicio debe tener los menos pasos posibles, sin trabas, instrucciones ni requerimientos innecesarios.

Vaya, esto se nos pone complicado.
Cuando hablamos de los conceptos "seguridad por defecto" o "privacidad desde el diseño" desde un punto de vista tradicional, los profesionales venimos pensando en:

Slow: "Tranquilos, esto hay que mirarlo bien, con calma, analizar los riesgos, etc.
Expensive: "Para que esto sea seguro y cumpla hay que gastarse dinero. La seguridad no es gratis"
- Difficult: quizá no difícil, pero el usuario tendrá algunas molestias antes de consumir algo (autenticación de doble factor, parametrización segura de un dispositivo, instalación de herramientas extra de seguridad, etc.).

El reto al que nos enfrentamos es fabuloso. Y no podemos esperar a que el usuario sufra el "impacto" (me han robado las credenciales) para que "aprenda la lección" (debería haber cambiado mi contraseña de hace 7 años).

En el entorno de los profesionales de la privacidad y la ciberseguridad siempre nos ponemos de ejemplo la evolución de la seguridad aérea y del automóvil. Todos sabemos que los coches ya introducen medidas de seguridad preventivas que por defecto vienen incluso en el modelo más básico, no como extras. Creo que conviene aprender de esta evolución y debemos considerar varios elementos comunes a esa industria, y que serán importantes en los próximos años:

- Las medidas de seguridad preventiva, visibles e invisibles:
    - Cuando nos damos un golpe importante con el coche saltará el airbag. El conductor no debe hacer nada para que eso ocurra (tampoco le daría tiempo). En cambio el hecho de ponerse el cinturón antes dependerá de una acción suya. De momento, el coche solamente lucha contra el hecho de que no se lo ponga con un pitido (más o menos molesto) que el usuario puede obviar, pero el coche arranca, se conduce y no limita la velocidad de forma automática por el hecho de conducirlo sin cinturón.
    - ¿Cuál debe ser el papel de un usuario utilizando un nuevo dispositivo o servicio on line? ¿Debe contener toda una serie de medidas incorporadas por defecto que sean invisibles para el usuario (pero que limitarán la usabilidad)? ¿Debemos pedir al usuario una acción de parametrización y conocimientos más técnicos para que asuma la responsabilidad por el uso que pretenda hacer de ese dispositivo o servicio?
    - El equilibrio puede resultar complicado en algunos casos. Desde muchas compañías se trabaja para que sus productos salgan al mercado con la mayor seguridad posible incorporada, pero en muchos casos resulta imprescindible una mínima acción del usuario, que debe ser consciente de su responsabilidad y de la importancia del nivel de exposición al que se encuentra su información por utilizar un dispositivo o servicio.

- La palanca regulatoria:
    - Sin duda, vivimos una época de presión normativa que incorpora nuevas obligaciones a las organizaciones para proteger más y mejor la información y las redes de comunicación y los servicios esenciales de los que disfrutamos (LOPD, RGPD, EIDAS, LPIC, NIS, etc.).
    - Debemos ser hábiles en construir modelos de gestión normativa que compatibilicen el desarrollo de los negocios y el cumplimiento de las normas. Si el cumplimiento legal ahoga en requisitos al negocio, no habrá negocio. Si el negocio desprecia las obligaciones legales, seguramente tarde o temprano, tampoco habrá negocio (por pagar multas, defenderse de reclamaciones o perder competitividad y reputación).
    - Sin duda, implantar seguridad y medidas de protección implica inversión. Nuestro trabajo como profesionales debe poner foco en convencer a la Dirección de que ese "gasto" se va a convertir en un "valor" para nuestro producto.

- La concienciación:
    - Se habló mucho de la crudeza de las campañas que la DGT emitía en televisión hace un tiempo. Los datos de accidentes no acompañaban y el activo que estaba en riesgo es el más valorado por todos nosotros.
    - Necesitamos ahondar con más profundidad en las campañas de concienciación sobre las amenazas actuales y los riesgos a los que estamos expuestos en este mundo digital como directivos, trabajadores, consumidores, padres o amigos. A veces se piensa que Internet es un mundo donde el único impacto que podemos tener es virtual e intangible porque afecta a nuestra información o datos. Lejos de eso, muchas de las cosas que ocurren en Internet afectan a nuestra salud, nuestra libertad, nuestra imagen, nuestro honor, e incluso nuestra vida.
    - Asimismo, el mercado irá reaccionando a esto. De por sí, cualquier consumidor querrá comprar algo más seguro que inseguro. La seguridad es un concepto que se interioriza como positivo. En nuestra mano está trabajar para que el mercado no solo acoja, sino que exija productos seguros. El contexto de previsión de crecimiento de todos los dispositivos IoT augura una multiplicación de las conexiones a internet y del volumen de datos que las compañías manejarán sobre sus clientes, por lo que esta concienciación será un aspecto fundamental para el desarrollo de toda esta industria.

- La cultura tecnológica:
    - Mi padre apenas utiliza el móvil para llamar. Mi hija empieza a hacer sus primeros deberes del cole en una tablet. La diferencia generacional y la habilidad para "vivir" dentro de las tecnologías no puede dejar a nadie fuera del ámbito de protección que debemos preservar.
    - Resulta fundamental crear en las organizaciones públicas, las empresas, los juzgados, los colegios, las universidades, etc. una cultura tecnológica si queremos colocarnos en posiciones de innovación y desarrollo digital, pero debe ir acompañada de una cultura de privacidad, ciberseguridad y compliance, para que podamos crear un ecosistema equilibrado de mercado y de respeto de nuestros derechos y valores más fundamentales.

Como conclusión, el alineamiento con el negocio, el cumplimiento normativo, el análisis de los riesgos a los que estamos expuestos, la creación de una cultura de privacidad, la concienciación de las compañías y de sus mercados, la aportación de valor a los productos o servicios con la seguridad y privacidad, etc. son elementos relevantes para aproximarnos (y no morir en el intento) a este contexto de Fast, Cheap & Easy. 

 

Global Gold Sponsor