DATOS PUBLICOS VS DATOS PRIVADOS

En una sociedad cada vez más invadida por la Tecnología los datos cumplen un rol de gran importancia; dado que existen múltiples formas en las que la información puede ser recopilada, almacenada o publicada, la clasificación de los datos se convierte en un tema crítico de analizar; el cómo discernir sobre qué información es pública o qué información es privada; y esta clasificación se vuelve aún más compleja si diferenciamos entre personas naturales y personas jurídicas donde para éstas últimas, la diferenciación entre dato público o privado se vuelve aún más complejo de identificar ya que las personas jurídicas o empresas tienen bases de datos con grandes volúmenes de información de las personas naturales.

Mucha información vemos por ejemplo en las redes sociales, que no solo son usadas por las personas naturales sino también por las personas jurídicas, empresas que, a través de las redes sociales más populares como Facebook, Twitter, Instagram, Snapchat entre otras, buscan llegar a sus clientes actuales y futuros.

En el caso de las personas naturales, éstas publican en redes sociales muchísima información de su día a día; donde están, donde viven, donde trabajan, familia, amigos, estudios, etc. Convirtiendo a su información privada en información pública.

¿Pero cómo saber si realmente hago bien al convertir mi información privada en información pública? Sea una persona natural o una empresa, la respuesta puede ser muy diversa, ya que depende del ¿para qué?, o del ¿por qué?

Como empresa, ¿para qué publicar información en medios, sean éstos los canales tradicionales o las tan populares redes sociales de hoy?  Normalmente por temas de marketing y publicidad y hasta aquí todo parecería normal y adecuado; sin embargo, las empresas tienen una página web donde no solo se encuentran los productos que promocionan sino también información muy propia de ella como es la misión, la visión, valores, estructura jerárquica, ubicaciones geográficas, direcciones, teléfonos, no solo de la empresa sino del personal que en ésta labora, nuevos productos y promociones, etc. convirtiéndose en un libro abierto de información de fácil acceso y consecución para todos.  Por lo que, como empresa, se debe evaluar cuál es la información que se va a exponer al público en general de acuerdo a la finalidad; primero debemos tener claridad sobre el objetivo y el alcance de nuestra comunicación y publicación para poder definir adecuadamente cuál va a ser la información a exponer; y así conocer cuál será la información privada que la vamos a convertir en pública.  Una buena práctica dentro de las organizaciones es tener departamentos formalmente establecidos con personal capacitado encargados de definir los lineamientos a través de políticas y procedimientos para comunicar y publicar en los diferentes medios y redes sociales solo la información autorizada y necesaria.

Como persona, vamos a hacer una diferenciación de los datos personales en datos personales básicos, como son nombres, apellidos, fechas de nacimiento, dirección, teléfono, patrimonio, créditos obtenidos, entre otros, y otros datos personales sensibles como tipo de sangre, religión, sexo, género, afiliación política, enfermedades, por nombrar algunos, los cuales hoy en día se han convertido en datos públicos y de acceso casi general, ya que las mismas personas se han encargado de publicarlas en las diferentes redes sociales en las que se suscriben o registrarlas por las diferentes organizaciones o lugares a los que concurren, y éstas, los publicaron.

Antes de las redes sociales toda esta información era realmente información privada, ya que solo la persona y su círculo más cercano conocía a detalle esta información, hoy gracias a la tecnología y a los grandes almacenamientos de datos se ha perdido el límite entre lo público y privado, esto prácticamente ha desaparecido por voluntad propia del dueño de esta información; convirtiéndolo en el único responsable de su exposición y las consecuencias de esto.

Adicionalmente, por donde vamos, nos piden un gran cantidad de información personal sobre todo básica, que debemos indicar si queremos formar parte de algo u obtener algo, por ejemplo: si queremos abrir una cuenta bancaria, si queremos solicitar un préstamo o un empleo o comprar un carro, si vamos a un clínica o a una cita médica con un nuevo doctor, nos solicitan una serie de datos nuestros personales básicos y sensibles, que debemos indicar obligatoriamente si queremos ser tomados en cuenta, atendidos, o realizar la comprar y entonces toda nuestra información privada, debe ser entregada a personas o instituciones que nos la piden, muchas veces sin mayor fin que el de llenar un registro.

Cuánta información valiosa existe en las bases de datos de las empresas, donde residen millones de datos personales básicos y sensibles de cada uno de sus empleados, de sus dueños, de sus clientes, de sus proveedores, de sus stakeholders; quien entrega la información solo sabe que ha entregado sus datos, pero no sabe cuál es la finalidad de haberlos entregado, ni donde se guardarán, ni quiénes tendrán acceso a ellos y mucho menos que al entregarlos podrían estar implícitamente autorizando a que éstos sean publicados, difundidos o intercambiados.

Y es justamente aquí donde se encuentra la zona gris, donde los derechos al acceso de la información se contraponen con el derecho de la privacidad de la información, por lo que debe prevalecer la razón para poner un límite al derecho de acceso a la información cuando la privacidad de la información de las personas se vea amenazada, encontrando de alguna manera un punto de equilibrio entre éstos.

Esta zona gris se vuelve más crítica cuando la información personal básica y / o sensible pertenece a un presidente de la nación, a un artista famoso como un cantante o compositor, a una celebridad del deporte o religiosa, a un empresario exitoso; por lo que debemos tener en cuenta que mientras más importante es la persona más valiosa es su información personal; y aunque suene contradictorio, la realidad es que mientras más expuesta sea una persona, su información personal es más cotizada y por lo tanto debería ser mejor asegurada.

Pero la información privada o personal, de todas las personas sin importar quienes sean, reside en exactamente las mismas bases de datos de las empresas o instituciones como, por ejemplo: el registro civil, la seguridad social, bancos, hospitales, colegios, universidades, etc. donde la seguridad de la información entendiéndose como privacidad de la información de todos los datos entregados ya sean los básicos o sensibles, no necesariamente está garantizada.

Para garantizar esta privacidad mucho se ha analizado y discutido en un sin número de leyes en muchos países del mundo, de las cuales podemos citar algunas como las más importantes:

Organización de Naciones Unidas (ONU). En 1948, adopta el documento conocido como Declaración Universal de Derechos Humanos, en la que el artículo 12 señala que las personas tienen derecho a la protección de la ley de sus datos personales.

Alemania. En 1970 fue aprobada la primera ley de protección de datos (Datenschutz). En 1977, el Parlamento Federal Alemán aprueba la Ley Federal Bundesdatenschutzgesetz. Estas leyes impiden la transmisión de cualquier dato personal sin la autorización de la persona interesada.

Suecia. En 1973 fue publicada la que fue una de las primeras leyes de protección de datos en el mundo.

EEUU. En 1974 la Privacy Act sobre la protección de datos.

Unión Europea. En 1981, el primer convenio internacional de protección de datos fue firmado por Alemania, Francia, Dinamarca, Austria y Luxemburgo. Es conocido como “Convenio 108” o “Convenio de Estrasburgo”. En los 90’s, se establece una norma común que se denominó Directiva 95/46/CE. La directiva es referente a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

España. En 1999, la ley Orgánica 15, establece la Protección de Datos de Carácter Personal. Está ley ha sido importante para Latinoamérica porque se ha utilizado como firme referente del modelo europeo.

Latinoamérica. En América Latina, las leyes de protección de datos personales surgen como una necesidad derivada del incremento del uso de las tecnologías de la información y el aumento de las vulnerabilidades asociadas. En su mayoría, estas leyes se asemejan al modelo europeo: En Argentina la Ley 25.326 (2000), Chile (1999), Panamá (2002), Brasil (1997), Paraguay (2000), Uruguay (2008).

Rusia. En el año 2006 fue aprobada una exhaustiva ley de protección de datos personales.

Perú. La ley 29.733 del 2 de julio de 2011 es la más reciente ley de protección de datos personales en el mundo.

México. La Ley Federal de Protección de Datos Personales en Posesión de Particulares fue publicada en el Diario Oficial de la Federación el 5 de julio de 2010, entró en vigor un día después y tiene efecto a partir de enero del año 2012.

Y si queremos mencionar a nuestra país, Ecuador, tenemos como las más importantes la Constitución (artículos 11 y 19) y la ley orgánica de transparencia y acceso a la información.

Sin embargo, sin importar las leyes o regulaciones que hubiera y las sanciones establecidas en caso de incumplimiento de éstas, un dato privado publicado, se convertirá en un dato público y no habrá forma de convertirlo nuevamente en privado.

Por lo que llegar a establecer ese punto de equilibrio entre lo que nosotros consideramos como datos públicos y datos privados lo damos nosotros mismos al entregar nuestra información y al igual que como si fuéramos una empresa, cada persona debe evaluar la finalidad o necesidad de convertir sus datos privados en públicos, cada persona debe ser consciente de que mientras más información privada entrega, cada vez tendrá menos privacidad y estará más expuesta lo cual conlleva una serie de riesgos personales y económicos financieros dependiendo de quién es.

Wladimir Dávalos
(AA)

LA SEGURIDAD DE LA INFORMACION EN BASES DE DATOS PUBLICAS

Cuando nos referimos a la información que se encuentra en bases de datos públicas lo primero que pensamos es que podemos acceder sin mayores restricciones a toda la información que ésta contiene; o pensar también que porque un organismo es público toda la información de éste es de carácter público también; sin embargo, no necesariamente es así.

Los organismos dueños de información pública deben pasar por un proceso para determinar qué tipo de información es realmente pública y cuál no, cuáles van a ser los datos que estarán en bases de datos públicas y cuáles no, y cuáles serán los datos que deben ser asegurados y cuáles no, todo esto basado en una serie de análisis que involucrarán a las personas, a los procesos y por supuesto a la tecnología. 

Se debe trabajar en un análisis de riesgos que permita identificar primero cuáles son efectivamente estos datos que debemos asegurar; ya que los organismos, empresas, entidades como las quisiéramos denominar no sólo tienen datos que podrían ser públicos; sino que tienen información de todo tipo; es decir, información pública, información privada o información confidencial y con esta clasificación hemos contestado la primera y más importante pregunta: “¿Qué información dentro de mi organización, es realmente un dato público?”

La siguiente pregunta a responder sería “¿Dónde están mis datos públicos?”, podrían estar almacenados en medios físicos como, por ejemplo: documentos impresos, reportes, etc. o en medios informáticos como por ejemplo en archivos office (Word, Excel, PowerPoint, etc.) o en bases de datos de aplicaciones más complejas. Y junto con esto tendremos que definir el lugar donde mis datos públicos van a estar efectivamente expuestos para acceso público; es decir, debemos conocer o definir el medio de exposición; si es a través de la página web de la organización, o redes sociales, o quioscos de información, o la intranet de la organización, o simplemente una repisa a la entrada del edificio donde cualquiera que pasa puede tomar la información impresa.

Pero vamos a centrarnos en lo siguiente: ¿Qué hacer si mis datos públicos están en las bases de datos de los sistemas de aplicación de mi organización?, con lo que surge la siguiente pregunta que sería: ¿Estas bases de datos solo contienen información pública?  La respuesta a esta segunda pregunta es muy probablemente: “No, las bases de datos contienen la información de la organización, parte de la cual es efectivamente pública y el resto no”.

Aquí comienza el trabajo de definir “¿Cómo vamos a asegurar la información en mis bases de datos?”. La información que efectivamente es pública, “¿Tenemos que asegurarla de alguna manera?”  A lo que la respuesta a esta segunda pregunta sería: “Si, tenemos que asegurarla de alguna manera porque la seguridad de la información se basa en tres premisas que son: confidencialidad, integridad y disponibilidad, así que, si bien la información no es confidencial, tenemos que asegurarnos que la información pública sea íntegra o confiable y esté disponible cada vez que se lo requiera por quien la requiera.

Para responder el cómo existen varios niveles donde la seguridad de la información debe ser establecida y la primera gran clasificación sería la seguridad física y la seguridad lógica.

Al mencionar la seguridad física nos referimos a la seguridad de los equipos, el hardware, los equipos servidores en donde residen las bases de datos; hoy en día ya no necesitamos tener nuestro centro de cómputo en el mismo edificio donde trabajamos; tenemos el cloud computing o la nube, donde la seguridad de nuestros datos depende del tipo de nube y son tres.  “Nubes públicas”, todos los servicios están en servidores externos propiedad del proveedor o dueño de la nube, la información de muchas empresas está mezclada en los servidores, la seguridad de los datos recae totalmente en el proveedor o dueño de la nube. “Nubes privadas”, todos los servicios están en servidores propios dentro de las instalaciones y todo pertenece solo a la organización, la seguridad depende exclusivamente del personal de TI de la organización; por lo que se las considera las más seguras.  “Nubes híbridas”, combinan los dos modelos anteriores; la seguridad de los datos es compartida con el proveedor de la nube pública.  Aquí la seguridad de la información se basa en que sin importar donde físicamente se encuentren nuestras bases de datos, éstas deben estar siempre “disponibles” para lo cual se debe implementar procesos de respaldos de la información, creación de discos espejos, servidores alternos de backup, monitoreo continuo del performance de los equipos, entre otros.

Cuando nos referimos a seguridad lógica el espectro a considerar es mucho más amplio, ya que para implementar la seguridad de los datos en las bases de datos debemos tener en cuenta también la seguridad en el sistema operativo donde se encuentra instalada la base de datos y las seguridades en el sistema de aplicación al que pertenece la base de datos; con estas consideraciones la “integridad” o “confiabilidad” de los datos se verá resguardada.

Los puntos claves para establecer la seguridad en los sistemas operativos; sin importar si es un Windows, Unix, o cualquier otro, reside en la importancia que se les da a los usuarios administradores que vienen por default en el momento de instalar el sistema operativo o los que son creados para el personal de TI.  Buenas prácticas en este sentido son, por ejemplo: cambiar las claves que vienen por default en los usuarios “admin”, “administrador”, “root”, etc. de los sistemas operativos, asignar la responsabilidad de administrador a una sola persona del área de TI, no crear usuarios con permisos de administrador para usuarios que no son el administrador, cambiar periódicamente las claves por cada usuario, parametrización de complejidad de claves, definiciones de acceso remoto solo para el personal técnico autorizado, habilitar exclusivamente los puertos necesarios, entre las principales; mientras más usuarios existan a nivel de sistema operativo mayores parametrizaciones de seguridad se deben implementar.

Tenemos también que establecer la seguridad a nivel de la base de datos, existe una diversidad de bases de datos que se utilizan como por ejemplo Oracle, MS SQL, MySQL, Sybase, Hana, etc. que al igual que los sistemas operativos, en el momento de instalarla se crean por default usuarios administradores y no administradores que debemos parametrizar de forma correcta; es decir la administración de los usuarios en la base de datos es primordial.  Además, para garantizar la integridad y confiabilidad de los datos que van a residir en ella se deben considerar los permisos a los recursos compartidos que podrían existir y también, una buena práctica es el establecimiento del monitoreo a través de logs que deben ser revisados en forma periódica por personal independiente de los administradores; ya que ellos también deben formar parte de los usuarios a ser monitoreados.

Luego tenemos la seguridad a nivel del sistema de aplicación, donde establecer la seguridad a este nivel depende de algunas aristas como son: 

Accesos por usuario, cuya seguridad se define dependiendo del perfil del usuario o rol dentro de la aplicación de acuerdo a sus funciones dentro de la organización; con esto correctamente definido podemos decir que el personal podrá realizar en el sistema aplicativo solo lo que está autorizado hacer de acuerdo a sus funciones y así la información que ingresa, cambia o elimina será la que efectivamente debe administrar. 

Parametrización de contraseñas, las buenas prácticas a aplicar son muy parecidas a las que se aplican a nivel de sistema operativo y bases de datos.

Tipo de aplicación e interfaces, si la aplicación es centralizada, distribuida, en entorno web, en nube, mobile, si se integra o no con otras aplicaciones, según todo esto la definición de las seguridades para los datos se verá afectada también.

Un punto adicional es asegurarse contra ataques de inyección SQL ya que éstos lo que buscan es burlar las restricciones de acceso a las bases de datos en aplicaciones web; estos ataques se evitan a través del uso adecuado de sentencias sql en los lenguajes de programación que desarrollan aplicaciones web como por ejemplo: Java, C#, Php.

Y por último y no menos importante está la seguridad en la red donde reside la base de datos la misma que sin importar si es una red LAN, WAN, VLAN, o Wireless;  lo más importante son los permisos de accesos a los usuarios autorizados, los puertos que deben estar habilitados o no y el monitoreo continuo de éstos.

Como conclusiones podemos decir que una base de datos pública debe ser asegurada para minimizar el riesgo de sufrir incidentes como:  ataques externos (integridad), caídas o fallos sea de hardware o software (disponibilidad) y acceso por usuarios no autorizados (confidencialidad) estableciendo niveles de protección desde las capas más básicas del sistema que deben ser monitoreados en forma permanente.