La ingeniera Marta Beltrán, experta en ciberseguridad y privacidad, incide en la importancia de seguir la pista de los datos. La profesionalidad y la corresponsabilidad -incluso entre varias empresas- son claves para evitar las fugas de información.
Marta Beltrán, especialista en ciberseguridad y privacidad, que impartió la charla Privacidad desde el diseño y el despegue, proteger los datos en la era del Big Data en el Centro de Innovación BBVA de Madrid, afirmó que hoy en día ya no se puede hablar simplemente de fuga de información de datos y que hay que hablar de brechas.
Pero, ¿quién tiene la responsabilidad de estas brechas? La especialista destacó que es una responsabilidad compartida y que en cualquier proyecto hay que incorporar desde el principio aspectos preventivos asociados a seguridad y privacidad. “Pero no solo hay que pensar en la prevención, también en la detección y en la respuesta”, aconsejó durante el evento que organizó Cátedra I4S-URJC.
La ingeniera incidió en que a la hora de ponerse a trabajar en un proyecto “uno se da cuenta de que hay diferentes partes que caen en distintas organizaciones y en donde colaboran desarrolladores, analistas, científicos de datos e incluso diferentes empresas”. “Es muy extraño”, añadió “que solo participe una organización en un proyecto. Suele haber más de 10 agentes y cada uno tiene que tener su responsabilidad en lo que se refiere a seguridad y privacidad”.
Lógicamente las empresas no cuentan con toda la tecnología ni con todas las licencias necesarias y recurren a proveedores externos en proyectos de Big Data. Por eso, explicó Beltrán, desde el principio hay que hacer un dibujo muy claro de cuáles son las responsabilidades de cada agente en seguridad y privacidad.
Aunque no es fácil: se puede dar el caso de que el proveedor al que se acude tenga sede en un país pero sus centros de datos estén ubicados en otro. En este contexto, según Beltrán, hay que intentar coordinar a todo el mundo y buscar un marco común.
La experta también destacó en la importancia de evaluar el riesgo de los datos en cada trabajo “que no puede ser alto o bajo, sino que debe estar definido en porcentajes” para, al cuantificarlo, dibujar un mapa y saber cómo priorizar controles en nuestra estructura.
Metodología para evaluar los riesgos en privacidad
Lo que tienen en común las metodologías de análisis de riesgo cuando son específicas para privacidad es que tienen en cuenta el marco regulatorio, el factor humano y el ciclo de vida de los datos. Como explicó la experta, “no es lo mismo el riesgo en proyectos con datos muy dinámicos. Por ello cuando se hace un análisis de riesgo de privacidad es importante tener en cuenta todo el ciclo de vida”.
Beltrán puso de ejemplo la metodología Nist para evaluar el riesgo en los proyectos. “Nos pide que comencemos dibujando el proyecto con todas las fuentes de información, cataloguemos todos los agentes responsables, apuntemos el tipo de operación que se hace con los datos y que seamos tremendamente exhaustivos con el tipo de datos que recogemos: metadatos, ficheros…” También, añade, “obliga a dibujar el flujo de datos, las etapas por las que pasan los datos, cómo se van transformado desde que se recogen hasta que finalmente se utilizan”.
Aparte de por cuestiones éticas o de responsabilidad, la profesora recordó que la evaluación de riesgo de la privacidad en los proyectos de Big Data se va a tener que realizar en 2018 por temas normativos.
¿Cuáles son las principales amenazas?
Beltrán señaló que en el momento que se externaliza perdemos el control, que cae en manos de un proveedor y entonces es difícil saber cómo se están haciendo las cosas. Otra fuente de riesgo es la heterogeneidad de los datos, y por eso hay que seguir la pista de los datos desde el comienzo al final.
Aunque no todo es tecnología, y tampoco hay que olvidarse de la parte humana: siempre hay que preguntarse por el impacto para las personas si nuestra empresa sufre una brecha y hay fuga de datos. La especialista incidió en que uno de los retos más complicados a los que se enfrentan las empresas es conseguir que las personas implicadas sean conscientes de la importancia de velar por los datos.
“Cuando mucha gente participa en algo es difícil que se asuma la responsabilidad. Hay dejar muy claro desde el inicio del proyecto los roles y las responsabilidades de cada uno”. En este aspecto Beltrán es tajante: “Por ejemplo los científicos de datos no tienen que tener acceso a los datos en todo momento. Si están fuera del horario laboral o de vacaciones no tiene sentido. Hay que diseñar una arquitectura que sea por defecto respetuosa con la privacidad y con los usuarios”. A estos últimos la experta también les otorga responsabilidad: “Tienen que informarse y hacer un seguimiento -aunque a veces sirva para poco- de los datos que ceden”.