Alberto Ramírez Ayón, CISM, CISA, CRISC síguelo en @cyberpostpunk
La información es un conjunto organizado de datos, que juntos forman un mensaje que cambia el estado de conocimiento de quien recibe el mismo. El dato por sí mismo, podría no representar información o conocimiento. Es decir, podrían ser mensajes cuyo significado sería imposible adivinar sin el resto de la información, algo así como:
Pues son datos que no dicen mucho… pero si yo les digo que:
Comienza a tener más sentido, ¿no?
Ahora, si yo les digo que esos datos, le pertenecen a quien escribió este artículo, en otras palabras, son mis datos, mi información, pues cobra más relevancia, o al menos debería.
<<Hago una aclaración antes de que regresen a leer nuevamente “mis datos” (sobre todo aquellos relacionados a la cuenta bancaria o el seguro social), pues no, no son míos, ni los de nadie más. Éstos son datos ficticios para poder ejemplificarles un poco la diferencia entre datos, información e incluso: conocimiento>>
Podríamos decir que una vez que se entrelazan algunos datos, se van convirtiendo en información y ésta comenzará a cobrar más importancia. Muchas empresas grandes o internacionales, están sujetas a diferentes marcos legales, jurídicos, regulatorios, etcétera, dependiendo del giro o Core business.
Particularmente en México, la Ley Federal de Protección de Datos Privados en Posesión de Particulares (LFPDPPP) tomará mucha fuerza. Pero ¡mucho ojo! Hoy en día muchas empresas cuentan con proveedores, socios de negocios, outsourcing y en general terceras partes (individuos o compañías) que apoyan en diversas actividades y para las cuales terminan teniendo acceso a información confidencial, privada o personal; para procesarla o almacenarla. Algunos ejemplos: la nómina de una compañía tal vez la lleve una empresa especializada en esta materia; despachos jurídicos que apoyan en el ámbito legal; los servicios médicos que contienen historiales clínicos; las empresas que se dedican a almacenar cintas de respaldo o el archivo muerto, Centros de Datos que están con un tercero, las empresas que hacen hosting y la lista pueda continuar.
Como mencioné, estas compañías (y muchas otras más) que soportan diversos procesos operativos o estratégicos de las empresas, seguramente tienen acceso, procesan o almacenan información confidencial o privada. Creo que es responsabilidad de cualquier compañía, el asegurarse que sus proveedores, socios –y en general terceros con los que existe alguna relación donde la información se comparte- tengan las medidas necesarias para resguardar y proteger los datos e información de la manera que aplique. No sólo es cuestión de firmar una cláusula de confidencialidad o un NDA (Non-disclosure agreement). Implica tener procedimientos y políticas a la observación de que terceras partes tengan niveles suficientes o mínimos de seguridad. ¿Cuánto es suficiente o mínimo? Dependerá del tipo de datos o información manejada, de regulaciones que apliquen, de políticas corporativas. ¿Deberíamos exigirles a terceros tener al menos las mismas medidas de seguridad que uno tiene en la empresa? Antes de responder, creo que deberíamos ponernos en el papel de cliente frente a la empresa que tiene nuestros datos e información, y si por una razón operativa la tiene que compartir con un tercero adicional nosotros, como clientes y dueños de la información, ¿queremos que nuestra información esté bien protegida en esta tercera parte? ❒ No ✔ Sí
Recientes casos de fugas de datos y hackeos (de acuerdo a reportes e información publicada):
Casos públicos, pero cuántos casos existirán que NO fueron dados a conocer al público o a usuarios afectados al menos. O inclusive de los cuales la empresa no tuvo ni la menor de idea de que sus datos fueron vulnerados. Definitivamente, las empresas deberían obligar a sus terceras partes a operar con medidas de seguridad para acceder, almacenar o procesar datos e información privada, personal o confidencial de una manera apropiada, previamente definida. Tal vez podría estar por contrato y, sobre todo, estar sujeto a revisiones, pruebas, monitoreo o auditorías periódicas y constantes por parte de la empresa.
En este proceso será vital, primeramente, identificar terceras partes que tengan acceso, procesen o almacenen datos o información confidencial, personal, privada o sensible. ¿Qué información puede ser personal o privada? – ¡Mucha!
Ejemplos de información privada, personal, confidencial o sensible: dirección física, e-mail, teléfono, número de seguro social, números de cuenta, historial de transacciones, números de tarjetas de crédito o débito, contraseñas, reportes de buró de crédito, recibos de nómina u honorarios, género, estado civil, edad, fecha de nacimiento, religión, nacionalidad, información médica, aspectos de origen racial o étnico, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual, estado de salud (pasado, presente o futuro), información de clientes y proveedores, estrategias de negocio, adquisiciones, ventas, compras, reportes de auditoría, código fuente de software, bases de datos, presentaciones para clientes y un sinfín más.
¿Creen que algunos de sus proveedores o terceras partes tengan alguno de los datos o información mencionados arriba? Si la respuesta es afirmativa, entonces les pregunto: ¿ustedes o su empresa se aseguran de que estos datos o información sean protegidos de manera apropiada?
Si jugáramos al juego: “¿Quién no tiene los datos privados y confidenciales de clientes, empleados y de la propia empresa bien protegidos?”
¿Podrían ustedes decir?: Un, dos, tres por mí y por todos mis proveedores
Mind the Information Security Gap!
SÍGUENOS
© 2011 Netmedia S.A. de C.V.
Políticas de privacidad
Sócrates 128 4to piso, Polanco
CP 11560, México D.F.
Tel: 2629 7260