Hoy en día con la introducción de una gran cantidad de sistemas informáticos en todas las actividades empresariales y personales la protección de datos ha visto un incremento significativo en importancia. Basta con haber realizado una llamada telefónica, operado un smartphone o trabajado directamente sobre Internet, para compartir, casi inconscientemente, información personal o institucional, con un ente público o una compañía privada.
Compartir información personal o institucional puede implicar beneficios. En algunos casos incluso es necesario hacerlo para cumplir con tareas cotidianas y para mantenerse en contacto en la sociedad moderna; no obstante, esto trae asociado ciertos riesgos.
La información propia de las personal o entidades, es cualquier dato relacionado a estos, ya sea que se refiera a tu actuar privado o público. En el entorno en línea, donde una vasta cantidad de información es compartida y transferida alrededor del mundo de forma inmediata, se hace cada vez más difícil para las personas e instituciones mantener un control sobre su información. Aquí es donde la protección de datos entra en juego.
La protección de datos se refiere a las prácticas, salvaguardas y principios fundamentales puestos en ejercicio para proteger la información y asegurar que se mantenga el control de ella. En pocas palabras, se debe tener la posibilidad de decidir si se desea o no compartir ciertos datos, quién puede tener acceso a ellos, por cuanto tiempo, por qué razones, tener la posibilidad de modificarlos y mucho más.
Los gobiernos tienen un interés de seguridad especial en garantizar la protección de sus datos. Los ataques a sus ciudadanos e instituciones gubernamentales suceden cada vez con mayor frecuencia en todo el mundo, por lo tanto, los países deben tomar medidas para proteger la información de forma eficiente.
Las razones fundamentales por la que los gobiernos deben aspirar a la creación de un marco de protección de datos integral pueden expresarse como:
- Las normas empleadas no están actualizadas y, por tanto, no se ajustan a la realidad: desde que internet fue creada, las personas comparten cada vez más información personal en línea; en muchas naciones, existen normas valiosas que protegen la privacidad y la información de las personas, sin embargo, no siempre se encuentran adaptadas para hacer frente a los desafíos que presenta un mundo en constante conexión como el de la actualidad.
- Las regulaciones propias de las compañías no funcionan adecuadamente para proteger los datos: durante mucho tiempo, distintas empresas y entidades han buscado regular la privacidad y proteger sus datos, y para ello, en lugar de aplicar marcos normativo obligatorios, establecen auto-regulaciones, en ocasiones bastante flexibles, que en la práctica no han resultado efectivos para proteger los derechos de los usuarios.
PROTECCIÓN DE DATOS EN LATINOAMÉRICA
Actualmente en casi todos los países hay una conciencia del alcance e identificación de los distintos datos personales, es decir, la información que se considera un dato personal, su tipo y el nivel de protección que requiere. Ante esto el dato por sí solo no requiere ningún tipo de protección, sin embargo, cuando el dato se vincula a una persona, ya no se protege al dato, sino al titular del mismo, a la persona física, por lo que el valor de los datos personales es un hecho absolutamente innegable.
La creación de un marco regulatorio de protección de datos personales que se ajuste a la actualidad es cada vez más necesario en los países de Latinoamérica. Muchos países de la región ya se encuentran en este proceso:
En México, desde la reforma constitucional de 2014, se marcó un cambio trascendental en la protección de los datos personales a nivel nacional, pretendiendo crear un marco normativo que permita establecer estándares mínimos de regulación y protección de los datos personales, tanto por particulares como por dependencias y entidades de la administración pública federal y local.
Para ello se publicó Ley Federal de Protección de Datos Personales en Posesión de los Particulares en 2010 y en 2017 se emitió la Ley General de protección de datos personales en posesión de sujetos obligados.
En Uruguay desde 2008, existe una ley sobre Protección de Datos Personales y Acción de Habeas Data, como legislación que indica que «el derecho a la protección de datos personales es inherente a la persona humana» y, por lo tanto, puede iniciar una acción judicial para conocer todo aquel dato que se refiera a su persona y que conste en una base de datos.
En Argentina, aparte de la emisión de la ley 25.326 para la protección de los datos personales en el año 2000, se creó la Dirección Nacional de Protección de Datos Personales, como órgano de control para la efectiva protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento, sean éstos públicos o privados.
En Colombia, en 2012, el Congreso expidió la Ley Estatutaria de Protección de Datos Personales, cuyo objetivo es garantizar el derecho fundamental a la protección de datos personales, regulando un adecuado tratamiento, tanto para las entidades públicas como para las instituciones pertenecientes al sector privado. Sus disposiciones constituyen normas de orden público y de cumplimiento obligatorio.
De forma general, para la región resulta cada vez más apremiante, la asunción de normas o políticas regulatorias en el ámbito de la protección de la información, alineadas con las buenas prácticas ya establecidas como estándares en otras partes del mundo.
NORMAS INTERNACIONALES VINCULADAS A LA PROTECCIÓN DE LA INFORMACIÓN
La gestión de la Seguridad de la Información, entendida como la aplicación de buenas políticas, así como la implementación de las mejores prácticas, y la definición técnica de componentes tanto de hardware como de software para seguridad, puede ser manejada de muchas maneras; sin embargo, una parte importante de esta gestión, ha sido cubierta por la creación de estándares internacionales, así como por normas nacionales de diversos organismos.
Conocer e implementar las normas de seguridad desarrolladas por la Organización Internacional para la Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) es fundamental para garantizar la calidad y seguridad de los procesos de las empresas y organizaciones a nivel mundial.
Las normas ISO de Gestión de la Seguridad de la Información se denominan familia de normas ISO/IEC 27000, y constituyen un conjunto de estándares de seguridad (desarrollados o en fase de desarrollo) que proporciona un marco para la gestión de la seguridad.
Contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI), utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
Conocer e implementar las normas de seguridad de la familia ISO/IEC 27000 es fundamental para garantizar la calidad y seguridad de los procesos de las empresas y organizaciones a nivel mundial. Dentro de este conjunto están:
- ISO/IEC 27000: Vocabulario estándar para el SGSI para todas las normas de la familia. Se encuentra en desarrollo actualmente.
- ISO/IEC 27001: Certificación que deben obtener las organizaciones. Norma que especifica los requisitos para la implantación del SGSI. Es la norma más importante de la familia. Adopta un enfoque de gestión de riesgos y promueve la mejora continua de los procesos. Fue publicada como estándar internacional en octubre de 2005.
- ISO/IEC 27002: Previamente BS 7799 Parte 1 y la norma ISO/IEC 17799. Es un código de buenas prácticas para la gestión de seguridad de la información. Fue publicada en julio de 2005 como ISO 17799:2005 y recibió su nombre oficial ISO/IEC 27002:2005 en julio de 2007.
- ISO/IEC 27003: Directrices para la implementación de un SGSI. Es el soporte de la norma ISO/IEC 27001. Publicada en febrero del 2010, No está certificada actualmente.
- ISO/IEC 27004: Métricas para la gestión de seguridad de la información. Es la que proporciona recomendaciones de quién, cuándo y cómo realizar mediciones de seguridad de la información. Publicada en diciembre del 2009, no se encuentra traducida al español actualmente.
- ISO/IEC 27005: Normativa dedicada exclusivamente a la gestión de riesgos en seguridad de la información. Proporciona recomendaciones y lineamientos de métodos y técnicas de evaluación de riesgos de Seguridad en la Información, en soporte del proceso de gestión de riesgos de la norma ISO/IEC 27001. Es la más relacionada a la actual BS 7799 parte 3. Publicada en junio de 2008.
- ISO/IEC 27006: Requisitos para la acreditación de las organizaciones que proporcionan la certificación de los sistemas de gestión de la seguridad de la información. Esta norma establece requisitos para la certificación de SGSI.
- ISO/IEC 27007: Guía para auditar al SGSI. Se encuentra en preparación.
Es bueno destacar que como antecedentes a la familia de normas ISO/IEC 27000 se sucedieron la norma británica de seguridad de la información BS 7799, publicada su primera parte en 1995, y en 1998 su segunda.
La parte primera era un conjunto de buenas prácticas para la gestión de la seguridad de la información (no certificable), y la parte segunda especificaba el sistema de gestión de seguridad de la información (certificable). La parte primera BS 7799 es el origen de ISO 17799 e ISO 27002, y la parte segunda de ISO 27001.
IMPORTANCIA DE LA SEGURIDAD DE LA INFORMACIÓN
Los gobiernos, las empresas, y las personas en general, comienzan a entender la necesidad de proteger su información privada, donde el establecimiento del conjunto de estándares que propone la norma ISO/IEC 27000 puede resultar útil, como procedimientos de buenas prácticas certificadas. Entre los beneficios que genera su implantación, se puede resumir en los siguientes puntos:
- En el ámbito de la propia empresa: porque se establece un importante compromiso con la seguridad de la información, pues existen distintos registros y medidas de control que posibilitan la seguridad de la información, es decir, que se encuentre garantizada en la organización y que todos los esfuerzos realizados puedan demostrarse.
- En el cumplimiento de la legislación: porque se manifiesta la conformidad de la empresa con el cumplimiento de los requisitos legales que se apliquen en la región en la que se encuentra ubicada.
- En la gestión de riesgos: porque la organización conoce a la perfección su empresa y los sistemas de información que emplea, los problemas que se presentan, y los medios de protección que son aplicados.
- En el aspecto comercial: porque genera credibilidad y confianza entre los clientes de la empresa, pues en una sociedad, la falta de confianza de los clientes puede afectar las ventas de la entidad, y la calidad y la funcionalidad de los productos.
- En el mundo financiero: porque las organizaciones deben conseguir una disminución de sus costos para mitigar incidentes de seguridad.
- En cuanto a las personas: porque se genera una cultura personal en relación con la importancia de la correcta manipulación de la información, a la aplicación adecuada de medidas de seguridad, y a la responsabilidad del personal y de la organización con relación a la información de que disponen.
Las empresas exitosas deben aprovechar las buenas prácticas de las normas ISO/IEC 27000 para diferenciarse del resto de la competencia; incluso, si su deseo es obtener buenas relaciones comerciales internacionales, deben de certificarse, pues le permite a la entidad el poder de demostrar que tiene un elevado nivel de seguridad de la información.