Evidencia de que existe demasiada información de los ciudadanos en poder del Estado, sobra. Si a esto le sumamos la evidencia de que esta información sensible, está completamente en manos inexpertas y sin las debidas previsiones de custodia, tenemos un escenario alarmante en el País.
No solamente es la información disponible, que el caso Novastrat demostró que era total y sobre todos, sino que una vez en posesión de dicha información, es posible realizar relacionamientos (de familia, trabajo, propiedades, eventos, finanzas, etc), creciendo exponencialmente el universo de opciones... como para que todos nos sintamos amenazados y vulnerables, no solo ante el Estado, sino adicionalmente frente a cualquiera que con un mínimo de experticia técnica, podrá exponernos y potencialmente dañarnos individual y colectivamente.
Los ciudadanos realmente debemos tener mucho recelo y temor por las consecuencias del acceso total e indebido a nuestra información. El peligro al que nos han expuesto no exige solamente cambiar unas cuantas contraseñas... el Estado, irresponsablemente, dejó abierta la puerta para que los ciudadanos quedemos expuestos y en riesgo de inminente ataque.
El Estado debe recabar, directa o indirectamente, la información que le permita cumplir sus funciones. El ciudadano tiene la obligación de proveer la información que le soliciten, en la seguridad de que la misma será empleada exclusivamente para el cumplimiento de las funciones de la institución requirente y de que estará debidamente custodiada para, precisamente, evitar los problemas que ocasionaría su divulgación o incluso el solo acceso indebido.
Con la información disponible y liberada sobre cada uno de nosotros, y una simple acción de relacionamiento, el ciudadano estará expuesto a acciones delictivas como chantajes, extorsiones, apropiación de identidad, vulneración de su intimidad y privacidad con fines delictivos, etc., etc., etc.
La capacidad de asociar familiares, hijos, hermanos, padres, tios, sobrinos, etc., con escuelas, pagos de impuestos, ingresos, propiedades, membresías, etc., permitirá generar patrones para selección de objetivos con garantía de éxito para los delincuentes.
Mientras pasamos una Ley, se deben paralelamente establecer políticas públicas en cada institución que maneje información de usuarios, clientes y ciudadanos, para asegurar que existen procedimientos, responsables y normas para precautelar la información y sancionar su descuido, acceso y uso indebido.
Un primer paso para una institución pública responsable es CAPACITAR a sus funcionarios. Esto de la mano de una AUDITORIA sobre el tipo de información, los sitios de acceso, ingreso, salida y custodia de la información que posee, a fin de determinar la real extensión de la información disponible, su estado y los puntos vulnerables que deben ser cubiertos, esto junto a un permanente monitoreo experto, para mantener segura y accesible la información de cada uno de nosotros.
Ninguna institución debería trabajar sin contar con un plan de custodia y seguridad de la información, que debe seguir estándares internacionales y normativos mínimos, para que el ciudadano recupere la confianza y se evite un desastre mayor al ya ocurrido.
lunes, 23 de septiembre de 2019
lunes, 16 de septiembre de 2019
Protección de Datos y servicios públicos en línea
Toda historia de recopilación de datos de los ciudadanos comienza con una buena idea: Facilitar el acceso a los servicios, mejorar la experiencia del usuario y optimizar la respuesta de los sistemas.
Suena bien no? Pues esta historia como muchas otras no termina bien cuando existe un evidente desconocimiento tecnológico, legal y ético, sobre lo que significa la protección de datos personales de las personas.
En Ecuador, la ausencia total de una política coordinada y única, de protección de datos personales y de cyber seguridad, nos ubica en un entorno de máxima vulnerabilidad para nuestra privacidad, intimidad y seguridad. Los servicios de reconocimiento facial, la digitalización de cédulas, pasaportes, historias clínicas, hoja de vida y de relacionamiento de los ciudadanos, ha quedado expuesta en más de una oportunidad por la débil o inexistente política de protección de datos personales y de aseguramiento de la información.
Si bien las vulnerabilidades existen aun en los sistemas más sofisticados, el deber de quienes custodian la información es mantener sofisticados sistemas de protección y respuesta a incidentes, que aseguren prevenir los ataques o, en el peor de los casos, reaccionar a tiempo ante un ataque para minimizar los daños y parchar las vulnerabilidades antes que cualquier incidente se transforme en desastre. Los sistemas deben permitir determinadas acciones que garanticen los derechos civiles y humanos de los ciudadanos, para que las personas confien, operen e interactuen de modo digital con los gobiernos y empresas, intercambiando datos, información sensible y personal, información financiera, etc.
El diseño de un sistema de manejo de datos personales debe incluir:
La articulación de los actores corresponde al Estado. Las instituciones y empresas públicas y privadas, deben estar obligadas estrictamente a divulgar sus prácticas de recolección, custodia y uso de los datos.
La tecnología es imprescindible y más aún para los países en vías de desarrollo como Ecuador. La confianza que generen los sistemas empleados por instituciones y empresas, debe ser total y el rol del Estado debe estar completamente claro y ejercerse con autoridad y responsabilidad para que funcionarios, empresarios, gobiernos usen apropiadamente la información personal y los delincuentes y los responsables de las fallas en la custodia, sean alcanzados por la justicia como corresponde.
En Ecuador estamos demasiado expuestos y vulnerables. Los organismos de inteligencia del Estado han orientado sus esfuerzos a la persecución y espionaje, siendo hora de que actúen para protección de los ciudadanos y sus instituciones, dejando de ser meros reproductores de noticias que todos podemos leer en la prensa.
Suena bien no? Pues esta historia como muchas otras no termina bien cuando existe un evidente desconocimiento tecnológico, legal y ético, sobre lo que significa la protección de datos personales de las personas.
En Ecuador, la ausencia total de una política coordinada y única, de protección de datos personales y de cyber seguridad, nos ubica en un entorno de máxima vulnerabilidad para nuestra privacidad, intimidad y seguridad. Los servicios de reconocimiento facial, la digitalización de cédulas, pasaportes, historias clínicas, hoja de vida y de relacionamiento de los ciudadanos, ha quedado expuesta en más de una oportunidad por la débil o inexistente política de protección de datos personales y de aseguramiento de la información.
Si bien las vulnerabilidades existen aun en los sistemas más sofisticados, el deber de quienes custodian la información es mantener sofisticados sistemas de protección y respuesta a incidentes, que aseguren prevenir los ataques o, en el peor de los casos, reaccionar a tiempo ante un ataque para minimizar los daños y parchar las vulnerabilidades antes que cualquier incidente se transforme en desastre. Los sistemas deben permitir determinadas acciones que garanticen los derechos civiles y humanos de los ciudadanos, para que las personas confien, operen e interactuen de modo digital con los gobiernos y empresas, intercambiando datos, información sensible y personal, información financiera, etc.
El diseño de un sistema de manejo de datos personales debe incluir:
- Un marco legal ágil y dinámico.
- La obligación de no requerir del ciudadano sino la información estrictamente necesaria para la función o servicio a prestar.
- La certeza información recopilada de modo directo o indirecto en el ejercicio normal de una función, de ningún modo será compartida, excepto bajo consentimiento expreso de su propietario o con orden de un juez y, en ambas situaciones, bajo la supervisión estricta sobre su uso y destino.
- La política de que no se requerirá del ciudadano información que el Estado ya tenga sobre él.
- La garantía de que figuras como el Habeas Data, el derecho al olvido, a la intimidad y otros relacionados, se aplique sin restricciones, de modo imperativo e inmediato, so pena de sanciones para quien se niegue a cumplir este deber.
- La certeza de que las fallas por acción u omisión en la custodia de datos, tenga responsabilidades legales y administrativas
- La garantía de que existirá la constante actualización normativa, de política y tecnológica de acuerdo a la dinámica de la era digital y a las demandas de los ciudadanos.
- La garantía de que se contará con unidades especializadas, personal y recursos para prevenir y responder a las amenazas, ataques y vulnerabilidades relacionadas con datos e información y con las consecuencias delictivas del acceso no autorizado o uso ilegal de los mismos.
- La garantía de que existirá la suficiente y permanente socialización y comunicación sobre el acceso a información personal de cualquier tipo.
La articulación de los actores corresponde al Estado. Las instituciones y empresas públicas y privadas, deben estar obligadas estrictamente a divulgar sus prácticas de recolección, custodia y uso de los datos.
La tecnología es imprescindible y más aún para los países en vías de desarrollo como Ecuador. La confianza que generen los sistemas empleados por instituciones y empresas, debe ser total y el rol del Estado debe estar completamente claro y ejercerse con autoridad y responsabilidad para que funcionarios, empresarios, gobiernos usen apropiadamente la información personal y los delincuentes y los responsables de las fallas en la custodia, sean alcanzados por la justicia como corresponde.
En Ecuador estamos demasiado expuestos y vulnerables. Los organismos de inteligencia del Estado han orientado sus esfuerzos a la persecución y espionaje, siendo hora de que actúen para protección de los ciudadanos y sus instituciones, dejando de ser meros reproductores de noticias que todos podemos leer en la prensa.
Suscribirse a:
Entradas (Atom)