La información del Gobierno de España informando sobre las brechas de seguridad en los móviles institucionales del presidente y distintos ministros y ministras constituye un esfuerzo de transparencia digna de mención. Obviamente, no se trataba aquí tanto de informar sobre el impacto en los derechos de una brecha de seguridad como de poner sobre la mesa un asunto grave que compromete la integridad y confidencialidad de la información que maneja nuestro Gobierno.
Cuando cualquier entidad se enfrenta a una quiebra de esta magnitud es tarea de los profesionales guardar una prudente distancia puesto que, en la mayor parte de los casos, quién la sufre es una víctima que batalla contra una intrusión no consentida. Basta con examinar las últimas memorias de la Agencia Española de Protección de Datos en esta materia para entender las importantes lecciones que pueden extraerse en la gestión de este tipo de incidentes y el valor que aportan a la seguridad ya la garantía de los derechos. Incluso antes de disponer de información adicional el anuncio público del Gobierno contribuye a promover el pensamiento productivo en esta materia. En este sentido, las preguntas que plantea el suceso deberían constituir un punto de partida para revisar nuestras prácticas y movernos a la acción.
La primera de ellas resulta obvia. ¿Cuántos smartphones acceden o usan información susceptible de ser protegida en los sectores público y privado? ¿Qué titularidad y usos corresponden a esos terminales? En relación con ello, el concepto BYOD (Bring your Own Device) es un viejo conocido de los expertos en protección de datos. A nuestro juicio existen como mínimo tres escenarios sobradamente conocidos en relación con el uso de terminales conectados (smartphones, tabletas, wearables etc.):
▪ Uso de terminales de titularidad de la organización para fines estrictamente institucionales o empresariales.
▪ Supuestos de admisión del uso privado de los terminales anteriores ya sea porque son expresamente admitidos ya sea porque así lo decide el usuario.
▪ Uso adicional para fines institucionales o empresariales de terminales de titularidad privada del usuario.
Es obvio, que cuanto mayor apertura exista en el uso de tales terminales para fines propios o privados mayor será la ventana de oportunidad para ser víctima de un ataque.
Existe una segunda cuestión sobre la que insisten significativamente algunas autoridades de protección de datos como elemento crucial para la protección de datos desde el diseño y por defecto: ¿cuál es el grado de formación y concienciación de los usuarios? Y aquí, es posible presumir algunas prácticas que deberían ser mejoradas. En cualquier sistema de información los roles desplegados por los usuarios comportan competencias y capacidades, pero también obligaciones. Por otra parte, las funcionalidades atribuidas a los terminales también se proyectan sobre este escenario. En nuestra opinión en ocasiones los procesos formativos en seguridad de la información presentan fallas en su concepción que podrían generar riesgos. Una de ellas consiste en concebirla de modo formal en lugar de buscar el conocimiento, el empoderamiento del usuario y su compromiso con la seguridad. La segunda se refiere a un inadecuado perfilado de los destinatarios de la formación. El puesto y las funciones desplegadas constituyen un factor muy relevante. Y esto adquiere una significación profunda cuando se dirige una organización y se maneja información estratégica. Así un usuario sin acceso a sistemas de información puede poner en riesgo a toda una entidad. Y aquí cabe plantearse cual sea la formación que reciben los cuadros de dirección política o empresarial, -las personas integrantes de los órganos de gobierno y consejos de administración-, y aquellos que despliegan funciones directivas con acceso a información relevante.
La tercera cuestión que desde la experiencia y el conocimiento podemos compartir atiende al uso de los propios dispositivos. La función “telefónica” de un smartphone tiende a ser residual y en ocasiones se realiza a través de aplicaciones ajenas al proveedor de telecomunicaciones. Un terminal puede utilizarse para acceder a repositorios de información, firmar electrónicamente documentos, monitorizar procesos o personas, gestionar recursos tecnológicos… Los límites de uso se encuentran en la imaginación de los diseñadores. Y, de hecho, basta con que Vd. piense sobre si en su entorno laboral o administrativo existe un chat profesional soportado por una mensajería privada no contratada por su entidad, en la que se comparte información confidencial. Y todo ello sin conocimiento o supervisión de su delegado/a de protección de datos o responsable de seguridad. Disponer de un claro mapa de usos, permisos y autorizaciones puede ser crucial.
Por último, cabe plantearse cual deba ser el grado de control y auditoría sobre estos terminales. Si atendemos a la jurisprudencia del Tribunal Europeo de Derechos Humanos y del propio Tribunal Constitucional, existe una precondición ineludible: la exclusión de cualquier uso privado. Si algo resulta difícil de gestionar en términos de cumplimiento normativo es un instrumento respecto del cual se permiten usos privados. Resuelto este problema, parece que la lección aprendida es muy clara: el smartphone debe ser objeto de controles periódicos y de auditorías de cierta intensidad atendidas sus funciones, perfil de usuario y sistemas de información accedidos.
Es en este ámbito donde las buenas prácticas ponen evidencia los enfoques epidérmicos. Desgraciadamente el escaso grado de coerción para el sector público y un débil tejido en el cumplimiento de la pequeña y mediana empresa en nuestro país hacen pensar en que pudieran ser significativos los riesgos que la desatención a estos elementos puede provocar. INCIBE y el CCN, -en el entorno del Esquema Nacional de Seguridad-, con sus guías, cursos y herramientas, y también la Agencia Española de Protección de Datos, despliegan un esfuerzo considerable. Sin embargo, es necesario seguir empujando.
El asunto del smartphone del presidente debería ser tenido en cuenta como un aviso para navegantes. Si la más alta institución del ejecutivo se expone a estos riesgos cualquiera de nosotros está en riesgo. Y, créanlo, ni siquiera necesitamos algo tan sofisticado como Pegasus, en el día a día del uso de los terminales nos bastamos y nos sobramos para exponernos a múltiples riesgos que deberíamos sin duda evitar.
Profesor en el Departamento de Derecho Constitucional, Ciencia Política y de la Administración y Director de la Cátedra de Privacidad y Transformación Digital. Doctor en Derecho por la Universitat de València. Miembro de la mesa de expertos en datos e Inteligencia Artificial de la Consejería de Innovación y Universidades de la Generalitat Valenciana. Miembro del grupo de expertos para la elaboración de una Carta de Derechos Digitales de la Secretaría de Estado de Digitalización e Inteligencia Artificial del Ministerio de Asuntos Económicos y Transformación Digital. Ha sido Presidente de la Asociación Profesional Española de la Privacidad y responsable del Área de Estudios de la Agencia Española de Protección de Datos.
Todo lo que un Directivo debe saber...
Ha llegado la hora de formar a la Alta Dirección
Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.
Debe estar conectado para enviar un comentario.