Comienzo con un par de noticias que me hacen reflexionar sobre la
cantidad de información y datos personales que se comparten con terceras
partes, ya sea por Outsourcing, por ‘tercerizar’ servicios, o alguna otra
razón, como la del viernes 30 de marzo donde
información de millones de tarjetahabientes fueron robados tras hackeo a Global
Payments afectando a clientes de VISA, MasterCard y American Express o esta
última: “Empleado
roba 228,000 registros de pacientes y los manda a su mail personal”.
De acuerdo a Miguel
Tijerina Schon de Buró de Crédito, a
diario hay alrededor 880 denuncias por robo de identidad y tiene su
origen en tres causas principales: la física, la telefónica y la electrónica.
El IFAI
está consciente de que hay un tráfico de datos pero comenta que es difícil
integrar una averiguación ya que se desconoce en dónde están ubicados los
comercializadores de las bases. Tengo mucha fe en que la Ley Federal de Protección de Datos Personales en Posesión de
Particulares (LFPDPPP) ayudará
bastante a regular, pero por sí sola no pasarán las cosas y seguramente no en
el corto o mediano plazo. Platicando con personas de diferentes niveles, en
distintos contextos, se percibe una sensación de el tema se ha estado
diluyendo. “Primero porque no salía el
reglamento, después porque la fecha llegó y a nadie le pasó nada a nadie, ni
una multa, ni un periodicazo.”
El pecado original
¿A cuántas empresas le has dado tus datos personales, sensibles o
información confidencial? ¿No tienes idea? Quizás podríamos empezar por tu
banco o bancos, tu escuela o tu trabajo, médicos y hospitales donde hayas
estado, créditos donde hayas aplicado, la lista puede ser tan grande como tu
memoria te dé. Hace un par de semanas paseaba en un parque donde mucha gente
lleva a sus mascotas y me abordó una persona ofreciendo un producto natural y orgánico
para perros, me regaló una muestra y me pidió datos para llevar un registro y
poder hacer marketing. Entre los datos que pedía estaban: nombre, dirección,
teléfono, email. Quizás algunos piensen que no tiene nada de malo tener esos
datos y concuerdo (parcialmente). Con cuántas personas o compañías
compartiremos nuestros datos, así, de manera “casual” porque “no tiene nada
de malo”. Es altamente probable que esta vendedora no vaya a hacer mal uso
de mi información, pero la realidad es que no podemos darlo por hecho y sobre
todo, no sabemos dónde estarán nuestros datos, con quién serán compartidos y
con que otros posibles fines.
¿Qué pasa si un amigo, familiar o conocido, te pone como referencia
personal para algún crédito bancario, para algún posible empleo, para un curso
o certificación, etc.? Uno no tiene control sobre esto. Recibir llamadas o
correos electrónicos sin que tú lo hayas solicitado explícitamente. Hay datos e
información que nosotros mismos hemos decidido hacer públicos en Internet; sin
embargo hay otros donde nosotros no tuvimos la oportunidad de decidir. Me llamó
la atención algo que leía: “Algunos
expertos señalan que los datos que circulan en internet, en la nube, redes
sociales, emails, smartphones o sistemas de geo-localización, conforman una
extensión de nuestro propio cerebro, de nuestra alma, y en su conjunto una
inteligencia colectiva digital.” O sea, que habría una extensión de nuestro
propio cerebro, de nuestra alma, en la red. ¿Será? O_o
Promiscuidad de datos en Sodoma, Gomorra y Outsourcing
Quiero hablar de la ‘promiscuidad’ de datos corporativa que se da
cuando un servicio o actividad es ‘tercerizada’ en Outsourcing y la privacidad
podría ponerse en duda sin los controles adecuados. Vivimos en mundo
globalizado donde el intercambio de información es masivo, rápido y transfronterizo. Las empresas hoy en día subcontratan personal u
otras empresas para que realicen, usualmente, actividades que no son el “core” del negocio, como limpieza,
infraestructura, reclutamiento, etc. Y aquí es donde comienza a ver intercambio
de datos e información de usuarios, empleados, clientes, socios y otros.
è Si una persona X, hace un contrato bancario o hipotecario con Banco
A.
è Banco A tiene subcontratados algunos servicios como Infraestructura
con empresa B y además procesa y almacena los datos con su matriz en otro País
C
è Empresa B, a su vez, subcontrata con Empresa D servicios de personal
y tienen su sitio de procesamiento con Empresa E
è Además, Banco A venderá otro tipo de servicios por lo que
subcontrata a Empresa F quien hará la labor de venta a través de diferentes
medios por lo que requiere “outsourcear” servicios con otra empresa, la G y H
por los diferentes perfiles que manejará.
Podría llenar de más viñetas el ejemplo, y aún así seguiría siendo
completamente preciso y real. Pero les quiero ejemplificar que donde una
persona X tiene sólo un crédito bancario, sus datos probablemente están siendo
accedidos, almacenados, procesados, transferidos, por las empresas A, B, C, D,
E, F, G e incluso fuera del país… Quizás este escenario es normal, hoy en día;
pero los controles de información entre las empresas mencionadas, posiblemente diverjan.
Es todo un inception de datos. ¡Ja!
Me parece falaz argumentar que para eso existirá la LFPFPPP porque
si bien normará lo que respecta a privacidad de datos personales en México, aún
hay desconocimiento, pero sobre todo lo que me preocupa es cuando hay intercambio de datos, especialmente en
el transfronterizo y en el que
involucra una o más empresas de Outsourcing.
¿Qué intento transmitir en este texto? Que la responsabilidad de los datos NO se puede endosar a otra empresa.
Si la empresa A es con quien el usuario X tiene una relación, aunque A tenga
outsourcing con B y B tenga subcontratados a las empresas C y D y éstas sean
manejadas con persona de E… los datos del usuario X son responsabilidad, ante
el usuario, de la empresa A, quien tendrá que asegurarle al usuario y a las autoridades
que los controles de privacidad y seguridad, son los mínimos requeridos tanto
en la propia empresa A, como con en el resto de las empresas con quien los
comparte, como B, C, D, E, F, G, Sodoma y Gomorra; y es responsabilidad también
de Empresa A, asegurarse, hacer revisiones y auditar que éstas últimas tengan
dichos controles.
Mind the Information Security Gap… always.
Alberto Ramírez Ayón,
CISM, CISA, CRISC, CBCP
No comments:
Post a Comment