Archivo de la categoría: Recién llegado

Datos abiertos en El Salvador

No es un concepto novedoso, ni un principio ajeno en las políticas de Sociedad del Conocimiento que muchos países con vocación para compartir información, o una visión más acorde con los tiempos que vivimos, llevan ya implantando algunos años. El Salvador ha hecho pública recientemente su Política Nacional Datos Abiertos (PNDA), lo que constituye un paso importante y valioso en este sentido.

De acuerdo a esta misma política, la definición de Datos Abiertos se refiere a “aquellos datos digitales de carácter público, accesibles en línea que pueden ser utilizados, reutilizados y redistribuidos libremente por cualquier persona, y que pueden compartirse de la misma manera”.

La filosofía y el racional que da soporte a la decisión de abrir las bases de datos de diversas entidades públicas, y en algunos casos, privadas, es que la construcción y compilación de dichos datos se realiza con fondos provenientes de los impuestos que los ciudadanos pagamos, y por tanto, la información, los datos, las bases de datos, el trabajo invertido en construirlas y mantenerlas actualizadas, e incluso el soporte físico donde son almacenados, son todos propiedad pública, nos pertenecen a todos.

El ámbito de aplicación de estas acciones comprende, en el caso de El Salvador, y según la misma política, a las entidades que forman parte del Órgano Ejecutivo: Ministerios y sus dependencias, Secretarías de la Presidencia, Instituciones autónomas y sociedades de economía mixta y personas jurídicas que manejen recursos o información pública para su funcionamiento.

Principios de datos abiertos

La PNDA ofrece un compendio de los principios que deben cumplir los conjuntos de datos y las bases para que se consideren abiertos (en la política aparecen descripciones más amplias de estos principios):

  1. Íntegros: Los datos deben ser completos con respecto a cada tema y contener los metadatos necesarios.
  2. Primarios: Deberán ser datos principalmente de fuentes primarias. Los datos abiertos tienen que ser detallados y vírgenes, sin haber pasado por ningún filtro o estar procesados.
  3. Oportunos: La información generada o recopilada por la entidad deberá ser publicada de inmediato y se dará prioridad a los datos sensibles al tiempo.
  4. Accesibles: Las entidades deberán proporcionar los hipervínculos o interfaces para que los usuarios puedan localizar y descargar los datos fácilmente.
  5. Procesables por máquinas: la información debe ser almacenada en formatos de archivo ampliamente.
  6. No discriminación: los datos deben ser accesibles a cualquier persona sin necesidad de identificación, inscripción o justificación por parte de los usuarios.
  7. Libre de licencias de formato: los formatos en que se presenten los datos deben ser preferiblemente abiertos para que el usuario no necesite adquirir licencias.
  8. Libre de licencias de contenido: debe quedar claro que la información es pública, como obra de la entidad.
  9. Permanencia: los datos que se publican, de acuerdo al sector y tipo de información, deben estar disponibles hasta el máximo del tiempo estipulado en las normativas nacionales vigentes.
  10. Calidad del Dato: deben ser depurados y confiables.

Con estos diez principios se trata de cubrir todas las características que deben mostrar los datos abiertos del gobierno, una vez implementada y reforzada la PNDA en todas las instituciones bajo su ámbito de aplicación.

Lineamientos para los datos abiertos

Para que esta política sea una realidad, se cuenta con un portal de datos abiertos, ubicado en www.datos.gob.sv, donde se pueden acceder y descargar las bases de datos, clasificados por área, y manipular, en el buen sentido de esta palabra, estos datos crudos. Adicionalmente, la política agrega algunos lineamientos adicionales, que se resumen a continuación:

  • Marco Administrativo: Crear una Comisión Institucional de Datos Abiertos (CIDEA), que será la responsable de implementar los lineamientos de esta política.
  • Inventario Institucional: Identificar los datos que la entidad produce y determinar las excepciones, de acuerdo a la Ley de Acceso a la Información Pública.
  • Seguridad de los Datos: Definir el nivel riesgo y seguridad adecuado para sus datos de acuerdo a la guía de clasificación de información de Gobierno.
  • Datos Interoperables: Garantizar que su inventario de datos puede ser integrado con el Portal Nacional de Datos Abiertos.
  • Apertura de los Datos: Cumplir aspectos legales y técnicos enel manejo de los datos públicos garantizando que la información producida cumpla con elementos de integridad, veracidad y autenticidad. La apertura de datos se clasificará en:
  • Apertura legal: asegurar que los datos puedan ser utilizados sin incurrir en problemas legales.
  • Apertura técnica: evitar que existan obstáculos técnicos al acceder y utilizar los datos producidos.
  • Establecer alianzas: Establecer relaciones de colaboración multisectorial, creando alianzas en los ámbitos de sus competencias.
  • Potenciar el uso: Impulsar la institucionalidad de los Datos Abiertos a través de la identificación y categorización de la información.
  • Aprovechar datos Abiertos: Fomentar el uso de las Tecnologías de la Información y espacios colaborativos, utilizar herramientas digitales, portables u otros mecanismos tecnológicos para potenciar la colaboración multisectorial.
  • Gestión del Cambio: Fomentar la Gestión del Cambio Institucional adoptando nuevos modelos de competencia.
  • Planificación de Recursos: Gestionar fuentes de financiamiento, las entidades deben promover acciones y recursos necesarios para asegurar la adecuada implementación de la política.
  • Divulgación y promoción: Potenciar la colaboración con la ciudadanía, empresas, organismos del sector no gubernamental y sector académico.

Lo que sigue es que esta política sea realmente observada en forma continua, sistemática y sosteniblemente por la mayor cantidad de entidades públicas, y las privadas que lo deseen hacer. Es importante luego hacer difusión y capacitar en las formas y métodos para sacarle provecho, a estudiantes, periodistas, analistas, intelectuales, partidos políticos, tanques de pensamiento y otros.

 

Las Computadoras: las seis primeras programadoras de la historia

Durante el Congreso Internacional del Día de Internet recién pasado, tuvimos la oportunidad de proyectar, por primera vez en el mundo con subtítulos en español, un documental de 20 minutos titulado “Las Computadoras”, realizado por Kathy Kleinman, profesional de la computación, junto con otros profesionales de la producción de vídeos, y subtitulado al castellano por quien escribe, gracias a un acuerdo directo con la realizadora e investigadora principal.

Entre los detalles que el documental descubre está la razón por la que estas máquinas son llamadas “computadoras”: Las cerca de 100 mujeres graduadas en matemáticas contratadas por el gobierno de Estados Unidos en 1945, realizaban la computación de trayectorias balísticas. Por ello, estas mujeres eran llamadas “computadoras”, y cuando se seleccionaron a seis de ellas para programar la ENIAC (Electronic Numerical Integrator And Computer -Computador e Integrador Numérico Electrónico-), el nombre las acompañó.

El sitio web de este proyecto, que abarca información sobre otras actividades, se encuentra en www.eniacprogrammers.org, y ahí se puede conocer que “La fundadora del Proyecto Programadoras de ENIAC, Kathy Kleiman, se asoció con los galardonados productores de documentales Jon Palfreman y Kate McMahon para contar esta increíble historia”.

Continua la descripción del corto documental: “Con imágenes de Movietone de la década de 1940 y entrevistas nunca vistas con las programadoras de ENIAC, esta historia inspiradora hará que las estudiantes crean que las carreras de programación se encuentran dentro de su alcance, y los adultos lo estimulen. Esta es una historia perdida durante casi 70 años acerca de la fundación de tecnologías sin las que no podemos vivir en la actualidad, por seis jóvenes mujeres increíbles que todos deberían conocer”.

Resumen de la historia

En 1946, seis mujeres jóvenes y brillantes programaron la primera computadora totalmente electrónica programable, el ENIAC, un proyecto administrado por el ejército de los Estados Unidos, en Filadelfia como parte de un proyecto secreto de la Segunda Guerra Mundial.

Aprendieron a programar sin lenguajes de programación o herramientas (porque no existía ninguno), sólo diagramas lógicos. Cuando terminaron, ENIAC ejecutó una trayectoria balística, una ecuación de cálculo diferencial en solamente unos cuantos segundos. Sin embargo, cuando el ENIAC se dio a conocer a la prensa y al público en 1946, las mujeres nunca fueron presentadas; ellas fueron olvidadas y permanecieron invisibles.

Las “seis” del ENIAC

En este espacio habíamos escrito antes sobre las primeras mujeres TIC en la historia, y habíamos detallado los nombres de estas heroínas tecnológicas: Las seis mujeres del ENIAC desarrollaron software y abrieron el camino a programación. Ellas son Betty Jean Jennings (1924 – 2011), Marlyn Wescoff (1922 – 2008), Ruth Lichterman (1924 – 1986), Betty Snyder (1917 – 2001), Frances Bilas (1922 – 2012), y Kathleen “Kay” McNulty (1921 – 2006).

El documental con subtítulos en español

Rescatada por medio de este documental, es importante dar a conocer esta inspiradora historia sobre las seis mujeres que, sin saberlo en ese momento, establecerían un ejemplo de tenacidad, persistencia, humildad y capacidad intelectual para las generaciones venideras, en las que no siempre las mujeres son reconocidas y apreciadas en todo su potencial, sobre todo en profesiones y disciplinas vinculadas a la tecnología.

Por decisión de sus productores, el documental tiene condiciones para ser distribuido y mostrado, en algunos casos con precios casi simbólicos, siendo estos fondos para apoyar el mismo proyecto de rescate histórico. Por lo mismo, la proyección del vídeo debe ser realizada en ciertas condiciones, y no puede ser transmitido por Internet, ni copiado ni filmado mientras se muestra.

Al contar con la versión subtitulada, es posible proyectarla en universidades salvadoreñas y de habla hispana, libre de costo, invitando a jóvenes de bachillerato y universitarias, y sosteniendo un diálogo con ellas después de mostrar el vídeo, reflexionando sobre sus posibilidades reales y animándolas a perseguir sus vocaciones y aptitudes.

Declaración de Cartagena y objetivos eLAC 2020

Del 18 al 20 de abril de 2018, en Cartagena de Indias, Colombia, se desarrolló la Sexta Conferencia Ministerial sobre la Sociedad de la Información en América Latina y el Caribe. Como en las anteriores conferencias de esta naturaleza, coordinadas por CEPAL, se llegó a un consenso entre las naciones participantes para redactar y presentar una Declaración, así como una Agenda Digital.

Uno de los párrafos de la Declaración, establece un propósito que, de realizarse en todos los países, podría en efecto crear diferencias y orientar el rumbo del trabajo de varios actores y sectores de nuestra región. El texto es ambicioso pero bastante comprensivo de lo que debería suceder proactivamente en nuestros países. A continuación el párrafo en mención:

“3. Impulsar el ecosistema digital y el potencial de Internet para promover el desarrollo sostenible de la región mediante el impulso de la economía digital, la participación de los actores interesados en una gobernanza de Internet que proteja la privacidad, promueva el acceso a la información pública, fomente la seguridad de la información, promocione una cultura de confianza en el uso de medios digitales, combata activamente el cibercrimen, entre otras actividades, y promueva la certeza jurídica que requieren los usuarios del sector privado y los gobiernos;”

La Agenda Digital

De la misma forma, los delegados a esta reunión, bajo la orientación de los funcionarios de CEPAL, algunos de los cuales tienen una larga trayectoria trabajando en estos temas, acordaron una Agenda Digital, que es revisada y actualizada en cada una de estas reuniones. En no pocas ocasiones, las áreas, metas y objetivos planteados terminan quedando grandes a algunos de los países, que no hacen la tarea para buscar el logro de estas metas.

La Agenda Digital para América Latina y el Caribe (eLAC2020), recientemente acordada, incluye 7 áreas de acción y 30 objetivos, resumidos así:

Área 1. Infraestructura digital

  • Objetivo 1: Fomentar la elaboración e implementación de planes de banda ancha con metas concretas.
  • Objetivo 2: Impulsar políticas e incentivos para el despliegue y la operación de infraestructura y las tecnologías necesarias para el desarrollo de Internet.
  • Objetivo 3: Promover el uso de protocolos, tecnologías digitales y despliegue de infraestructura resiliente.

Área 2. Transformación digital y economía digital

  • Objetivo 4: Fomentar el uso de tecnologías digitales en las empresas.
  • Objetivo 5: Promover ecosistemas regionales de emprendimiento y acciones públicas y privadas.
  • Objetivo 6: Promover el desarrollo de fondos de capital de riesgo a nivel regional.
  • Objetivo 7: Promover el teletrabajo en los países de la región.

Área 3. Mercado digital regional

  • Objetivo 8: Promover una estrategia de mercado digital regional que incremente el comercio y la economía digital.
  • Objetivo 9: Impulsar medidas para la facilitación del comercio regional.

Área 4. Gobierno digital

  • Objetivo 10: Establecer e impulsar estándares de servicios digitales.
  • Objetivo 11: Impulsar el uso de componentes reutilizables y soluciones abiertas de gobierno digital.
  • Objetivo 12: Promover la adopción de una estrategia regional de estándares para la gestión e interoperabilidad de la identidad digital, la firma digital o electrónica avanzada, la apostilla electrónica y la historia clínica electrónica.
  • Objetivo 13: Promover iniciativas de gobierno abierto.
  • Objetivo 14: Promover el uso de sistemas digitales para compras gubernamentales.

Área 5. Cultura, inclusión y habilidades digitales

  • Objetivo 15: Impulsar el desarrollo y la incorporación de habilidades digitales y de pensamiento computacional en los procesos de enseñanza-aprendizaje.
  • Objetivo 16: Fortalecer las habilidades digitales avanzadas, técnicas y profesionales.
  • Objetivo 17: Promover la producción, oferta y uso de los contenidos, bienes y servicios digitales como condición necesaria para la inclusión de personas con discapacidad y personas mayores.
  • Objetivo 18: Masificar el acceso a servicios digitales y la producción y oferta de contenidos, asegurando la inclusión de toda la población.
  • Objetivo 19: Promover una cultura digital que incentive en los habitantes el desarrollo de habilidades y competencias digitales.

Área 6. Tecnologías emergentes para el desarrollo sostenible

  • Objetivo 20: Promover el diseño de políticas públicas apoyadas en la innovación.
  • Objetivo 21: Impulsar en los procesos de formulación e implementación de las políticas públicas y diseño de servicios digitales el uso convergente de diferentes tipos de tecnologías emergentes.
  • Objetivo 22: Promover servicios financieros digitales.

Área 7. Gobernanza para la sociedad de la información

  • Objetivo 23: Promover una perspectiva integral de igualdad de género.
  • Objetivo 24: Prevenir y combatir el cibercrimen.
  • Objetivo 25: Promover la participación de los países de América Latina y el Caribe en los procesos de gobernanza de Internet.
  • Objetivo 26: Fortalecer la institucionalidad de las entidades responsables de diseñar, implementar, dar seguimiento y continuidad a las políticas públicas de transformación digital y las agendas digitales nacionales.
  • Objetivo 27: Promover la coherencia normativa y coordinación regional.
  • Objetivo 28: Coordinar acciones orientadas a garantizar la privacidad, la protección de datos personales, la defensa del consumidor en línea, el acceso a la información pública y la libertad de expresión.
  • Objetivo 29: Mejorar la medición de la transformación digital y la economía digital.
  • Objetivo 30: Fortalecer la cooperación regional.

Como se dijo anteriormente, se trata de una agenda con objetivos ambiciosos, pero que al menos pueden constituir una guía para que los países, sobre todo los más rezagados, intenten adelantar y promover algunas acciones y políticas públicas que contribuyan a que las poblaciones y habitantes de la región puedan mejorar su desarrollo, nivel de vida y consolidación de una cultura digital, habilidad imprescindible en el mercado global actual.

La Comunicación Digital bajo investigación en El Salvador

Siendo un fenómeno tan diseminado y conocido, tanto en el mundo como en nuestro país, y con las mismas herramientas que la tecnología pone a nuestro alcance, es importante que se profundice en la incidencia, utilización y potencial, no siempre aprovechado, de la comunicación digital en El Salvador.

En la línea de estos pensamientos, la Escuela de Comunicaciones Mónica Herrera ha decidido iniciar el desarrollo, desde el año 2017, de una serie de investigaciones sobre Comunicación Digital en El Salvador. Hasta abril de 2018, la ECMH ha publicado dos volúmenes reportando los hallazgos de las investigaciones realizadas.

La primera ronda de estas investigaciones fue publicada en el libro “Like, Click y Pixel” y contiene seis documentos, realizados por distintos investigadores, docentes de la Escuela o externos, sobre distintos temas relevantes en el área temática. El volumen 2 de la serie, titulado “Mundos Virtuales”, contiene otros seis informes de las investigaciones desarrolladas por otro grupo de estudiosos.

Los dos volúmenes publicados

Like, Click y Pixel

Este primer volumen de la serie contiene los siguientes informes, correspondientes a las respectivas investigaciones.

  • Políticas públicas sobre las tecnologías de la información y la comunicación, una tarea pendiente en Centroamérica, por Andrea Cristancho y Carlos Augusto Barrera.
  • Uso del marketing digital en las MYPES de El Salvador, por Héctor Maida.
  • Premios Pixels: ventana, punta de lanza y camino de espinas: un análisis de las metáforas sobre el incentivo gubernamental a las industrias creativas, por Lorena Juárez.
  • Sexo, fervor y violencia. Preferencias de los ciberlectores basadas en la interacción en fan pages de periódicos digitales salvadoreños, por Willian Carballo.
  • La comunicación y la evolución del canal al omnicanal, por Cruz Galdámez.
  • La hiperconexión y su impacto en el uso de los sentidos en la era digital, por Carolina Díaz.

Mundos Virtuales

En el segundo volumen, publicado en 2018, los temas incluidos son los siguientes.

  • Comparte en paz: el duelo y las prácticas comunicativas en Facebook, por Carolina Díaz Alas.
  • Y la palabra se hizo golpe: la prensa digital en torno a la violencia contra las mujeres, por Lorena Juárez Saavedra.
  • Las contribuciones del diseño a las agencias creativas digitales en El Salvador, por German Rosa.
  • Cómo triunfar en la “televisión planetaria”. Estudio sobre canales exitosos en YouTube, por Héctor Maida.
  • Alfabetización mediática. Evaluación del programa Niñez Digital entre alumnos del Colegio Citalá, por María José Vidales.
  • Propuesta espacial para el fomento del aprendizaje autónomo digital como apoyo al currículo educativo, por Claudia Aguilera, Ivette Chacón y Cruz Galdámez.

Buena y propositiva lectura

La iniciativa de la ECMH de contar con un fondo para facilitar estas investigaciones, relativamente breves, enfocadas en un tema relevante, pertinente, actual y en continua evolución, desde las distintas perspectivas que diversos investigadores, con variadas experiencias, conocimientos y opiniones, es algo digno de mención positiva.

Ojalá esta iniciativa sea mantenida y fortalecida, no sólo por la Escuela de Comunicaciones Mónica Herrera, sino también por otras entidades de educación superior. La cultura digital, en todas sus expresiones, debe ser conocida y analizada, para que sea posible sacar el provecho y cumplir la “promesa” de convertirla en un motor de la economía y un generador de progreso y desarrollo.

 

¿Nombre de dominio propio o Redes Sociales? El caso de Cambridge Analytica

Cuando pensamos en mercadeo digital, con frecuencia nuestra mente se enfoca en la presencia de nuestra marca, empresa, producto o servicio en las redes sociales, sobre todo las más populares y conocidas, como Facebook, Instagram y Twitter, dejando fuera de la ecuación la presencia digital en un sitio web propio.

Históricamente, primero existieron los nombres de dominio y los sitios y páginas web propias, por medio de las que las empresas e instituciones de todos los tamaños y sectores anuncian su oferta en su área respectiva, agregando otra información sobre la solidez y confianza que se puede tener en la organización, promociones, documentación académica y técnica sobre lo que producen, venden o comparten con los consumidores y clientes.

Más recientemente surgieron las llamadas redes sociales, con distintos enfoques y ofrecimientos, con algunas ventajas sobre sitios web estáticos y casi monotemáticos. Con mucho atractivo al principio especialmente para los más jóvenes, pronto las redes sociales ampliaron la demografía, geografía y sectores económicos a los que resultaban ventajosos, y de esta forma han construido verdaderos imperios y mundos paralelos en el mismo ciberespacio.

Entre los servicios que las redes sociales, particularmente Facebook, han incluido en su oferta, se encuentran oportunidades para crear “fan pages” (páginas para seguidores), dentro de su mismo espacio, físico y virtual, y muchas empresas han creído que éstas son un sustituto para una presencia más estable y propia en un sitio web con el nombre de la organización.

La lección del uso de datos de Facebook

El recientemente conocido caso en el que se ha dicho que la empresa Cambridge Analytica utilizó información de 50 millones de usuarios de Facebook para incidir en los resultados de las elecciones presidenciales en Estados Unidos, sea cierto o no, nos provee una señal de alerta sobre la información que ésta y otras redes sociales tiene acerca de sus usuarios, sean personas naturales o jurídicas.

De acuerdo a un artículo de Robert LaPlante, este suceso confirma que Facebook no sólo posee mucha información de todos sus usuarios, sino también la utiliza y la vende. Para el caso de las organizaciones, empresas e instituciones que crean su “fan page” y la utilizan activamente para anunciarse, comunicarse con sus clientes y, sobre todo, hacen comercio electrónico a través de la misma, LaPlante concluye:

  1. Facebook posee todos los datos sobre tu presencia en Facebook: la recopilan, la estudian, la empaquetan. ¡Conocen a todos los que les “gustas”, a todos sus comentarios, a todos sus amigos, a todo!
  2. Facebook comparte muy poca información con ustedes, los dueños de la página: sí, pueden ver cuántos “me gusta”, pero eso es todo. Estos son tus clientes, pero la información sobre ellos no es tuya, es un activo de Facebook. Recuerda el adagio: si el producto es gratis, tú eres el producto.
  3. Facebook venderá tus clientes a tus competidores: tus competidores pueden orientar sus anuncios a tus clientes. Si tus competidores compran este servicio, pueden poner anuncios en frente de tus clientes cuando tus clientes inicien sesión en Facebook. ¿Deseas que tus clientes sean abordados con precisión por tus competidores?

La diferencia con un nombre y sitio propio

Cuando se trata de “fan pages” en Facebook, además de aparecer el nombre de la marca o empresa bajo el nombre de Facebook en el navegador, todos los comentarios, sugerencias, negocios, preguntas, críticas, quejas y elogios están almacenados en los servidores de esta gran empresa, y ya sea voluntariamente o por medio de un ataque y robo, esta información puede ser usada por terceros.

En el caso de nombres de dominio propios y sitios web diseñados, alojados y mantenidos por la propia empresa o compañías dedicadas a este trabajo, bajo un contrato adecuado, es menor el riesgo de perder esta valiosa información sobre los clientes propios, así como el historial de ventas, mejoras a los productos o servicios, y otras consideraciones relevantes e históricas.

El tema de seguridad siempre debe ser considerado, pero estará básicamente bajo el control de la empresa que administre el sitio web y el nombre de dominio propio que se utilice. Los datos colectados de los clientes, que incluyen las órdenes pasadas, las devoluciones, las muestras de satisfacción, además de los datos de contacto, aunque muchas veces no lo veamos así, forman parte de los activos más valiosos de cada empresa.

En el mundo real preferimos guardar todos nuestros activos, si es posible, en un edificio, en muebles y cajas fuertes de nuestra propiedad, y si los vamos a depositar con terceros, esperamos conocer sobre sus normas y procedimientos de seguridad antes de hacerlo. En el mundo digital deberíamos hacerlo en una manera similar.

 

 

Ciberseguridad desde el gobierno y los demás sectores de un país

Los ataques a servidores en Internet son tan frecuentes como el acceso a sitios web regulares por parte de ciudadanos responsables y honestos. A veces se trata de intrusiones hechas sólo para probar que es posible hacerlas; en otras ocasiones, los objetivos pueden ser más serios, y pueden tener motivaciones políticas, militares, económicas, comerciales y otras.

La tendencia es que estos ataques e intrusiones ilegales continuarán en aumento, tanto en frecuencia y variedad de objetivos, así como en cuanto al poder computacional del ataque. Adicionalmente, la forma en que estas acciones agresivas, potencialmente destructivas y muy caras en términos de efectos y de información perdida, también irá creciendo con los avances tecnológicos, como Internet de las cosas, nanotecnología, fintech y otras.

Para prevenir, mitigar y contrarrestar cualquiera de estos potenciales ataques y amenazas, de las que nadie está liberado, es importante formar recurso humano especializado y contar con una serie de políticas, reglamentos, equipos, metodologías y protocolos, desarrollados y acompañados por la mayor cantidad de personas, instituciones, empresas y sectores de una economía y nación particular.

La Organización de Estados Americanos (OEA), en conjunto con el equipo técnico de Amazon Web Services (AWS) han publicado recientemente un documento que ofrece una guía sucinta y concreta para gobiernos y otros sectores, sugiriendo medidas a corto y mediano plazo que deberían ser tomadas para contrarrestar las posibles amenazas provenientes desde el ciberespacio.

Las medidas recomendadas en 8 áreas

El documento es relativamente breve, pero es muy detallado y apropiado en sus recomendaciones. Parte de que deben involucrarse y considerarse los tres pilares de la ciberseguridad: personas, procesos y tecnologías. Define una serie de pasos relevantes en el camino de la definición de una mejor infraestructura de prevención, defensa y reacción ante posibles ataques y amenazas en el ciberespacio. Estas son las acciones concretas que se sugieren en el documento:

Acciones para el ciudadano y el sector privado

  1. Campañas de comunicación en los medios dirigidas a ciudadanos y a la pequeña y mediana empresa (PyME), para fomentar el uso seguro de Internet, promoviendo la adopción de herramientas y difundiendo prácticas “ciber higiénicas”.
  2. Programas de concienciación y de educación en colaboración con agentes del sector público y privado, buscando la coordinación y la racionalización de esfuerzos.
  3. Desarrollar módulos educativos dirigidos a todos los niveles de la enseñanza.
  4. Generando o fomentando el desarrollo de eventos a nivel nacional, regional o municipal, donde que incluyan talleres para fomentar las buenas prácticas en todos los usuarios y en colectivos específicos como el de padres, educadores y menores.
  5. Desarrollando y compartiendo contenidos multimedia atractivos y herramientas educativas basadas en “gamificación”.
  6. Facilitar la utilización de soluciones para el intercambio de información sobre amenazas, vulnerabilidades e incidentes entre compañías del mismo o destino sector.
  7. Desarrollar códigos de buenas prácticas y apoyar el desarrollo de estándares de certificación.
  8. Promover ciberejercicios para probar los mecanismos de coordinación entre las distintas compañías y con los organismos públicos y mejorar la eficacia en la respuesta ante los incidentes.
  9. Desarrollar estudios comparativos entre entidades del mismo sector y de distritos sectores, con el objetivo de definir líneas base y de “benchmarking”.
  10. El CERT (Centro de Respuestas a Incidentes cibernéticos) es un organismo de extrema importancia para la seguridad y la defensa nacional.
  11. Servicios de valor para la ciberseguridad nacional, que no estén siendo cubiertos por el sector privado al ser de baja demanda o por no ser rentables.

Acciones para los operadores de infraestructura crítica

  1. Definir e identificar sectores críticos. El gobierno debería determinar los sectores críticos de los que depende su funcionamiento como nación y cuya no disponibilidad podría generar graves consecuencias.
  2. Desarrollar un método para identificar y valorar las infraestructuras críticas, de forma que estos criterios sean uniformes y repetibles en el tiempo.
  3. Para cada uno de los sectores estratégicos, el gobierno podría definir: el catálogo de amenazas, los criterios específicos para considerar que los servicios que presta una determinada organización deber ser considerados críticos y el catálogo de los operadores y de las infraestructuras críticas.
  4. Los requisitos mínimos de seguridad que los operadores críticos deben implantar, el modelo de evaluación de riesgos y de gobierno y gestión de la ciberseguridad.
  5. Facilitar mecanismos para el intercambio de información sobre incidentes y amenazas entre los operadores.
  6. Definir, para el CERT o CERTs nacionales, un catálogo de servicios específico para los operadores críticos.
  7. Promover ciber ejercicios sectoriales para mejorar el grado de preparación de los operadores ante ciberataques sistémicos.
  8. Impulsar eventos y otros foros que faciliten el conocimiento e intercambio de experiencias entre los responsables de ciberseguridad.
  9. Conocer las necesidades específicas de productos y servicios que tengan los operadores de sectores estratégicos es de gran utilidad para determinar si la oferta actual que ofrece el mercado es adecuada.

Acciones para el gobierno e instituciones públicas

  1. La búsqueda de una mayor eficacia en el funcionamiento de los servicios públicos y de una mayor cercanía a los ciudadanos ha impulsado a muchos gobiernos a adoptar procesos de transformación digital en las administraciones públicas, en la que se ha venido llamando la e-Administración. Sin confianza digital la e-Administracion no es viable.
  2. Las instituciones públicas procesan y almacenan datos de carácter personal de los ciudadanos y para ello, necesitan almacenar esta información en grandes bases de datos que van a ser objeto de interés para los cibercriminales.
  3. Además de información de carácter personal, el gobierno maneja información clasificada de alto valor estratégico para los intereses nacionales que requiere de medidas de protección adicionales.

Protección de las tecnologías públicas

  1. Establecer un marco nacional de ciberseguridad para las administraciones públicas que sirva de referencia para todas ellas y que permita unificar criterios entre el gobierno de la nación, los gobiernos regionales o estatales y los ayuntamientos y administraciones locales.
  2. Desarrollar acuerdos multinacionales o acuerdos comerciales que faciliten el intercambio y la coordinación / cooperación de los países que luchan contra las amenazas cibernéticas.
  3. Desarrollar planes de formación y concienciación dirigidos a los funcionarios públicos con el objetivo de mostrarles cuales son las amenazas específicas que pueden afectar a la ciberseguridad de los servicios públicos.
  4. Desarrollar e implantar capacidades horizontales de ciberseguridad que unifiquen al máximo la prevención, detección y la respuesta ante los ciber incidentes en el ámbito de las administraciones centrales, regionales y locales.
  5. Desarrollar un esquema de ciberseguridad que facilite la evaluación formal y la certificación para los productos y sistemas que vayan a formar parte de las infraestructuras tecnológicas que se soportan los servicios esenciales de la administración.
  6. Adicionalmente a estas actividades para defender las redes y sistemas en los que se apoyan los servicios públicos, los gobiernos deberían actuar para desarrollar sus capacidades para la ciberdefensa y para la lucha contra el cibercrimen.

Ciberdefensa

  1. Desarrollar planes específicos de especialización y entrenamiento en la materia, que permita que los ejércitos cuenten con los efectivos necesarios.
  2. Definir un modelo de colaboración con empresas especializadas y con expertos en ciberseguridad para reforzar las capacidades de las fuerzas armadas en los casos que se determinen.
  3. Promover ciberejercicios periódicos que faciliten el entrenamiento continuo sobre escenarios reales.
  4. Desarrollar conocimiento y experiencia sobre amenazas y vulnerabilidades relacionadas con la ciberdefensa y también métodos de ataque, a través del intercambio de información a nivel nacional e internacional.
  5. Establecer una cooperación con las principales instituciones académicas y de I + D para el desarrollo de necesidades específicas en el ámbito de la ciberdefensa.

Lucha contra el cibercrimen

  1. En el sector Legal, crear leyes específicas y adaptando las existentes para permitir la persecución del cibercrimen.
  2. Desarrollando capacidades y dotando de recursos especializados a las instituciones encargadas de vigilar el cumplimiento de la ley: jueces, fiscales y unidades de investigación policial.
  3. Adaptar el marco legal nacional a los nuevos tipos de delitos y adaptar los tipos ya existentes a la realidad digital.
  4. Participar internacionalmente en la elaboración de acuerdos y tratados para la persecución del ciberdelito, ratificándolos una vez aprobados.
  5. Crear unidades especializadas en ciberdelincuencia (policiales y judiciales) y desarrollar planes de formación y capacitación continua.
  6. Mejorar las capacidades de los organismos competentes y asegurar la coordinación a través del intercambio de información e inteligencia.
  7. Fortalecer la cooperación policial internacional y la presencia en foros y organizaciones internacionales centrados en la lucha contra el ciber crimen.
  8. Desarrollar conocimiento y experiencia sobre amenazas y vulnerabilidades relacionadas con la delincuencia cibernética.
  9. Establecer una cooperación con las principales instituciones académicas y de I + D sobre las nuevas técnicas de investigación policial.
  10. Establecer la cooperación entre las partes interesadas del sector público y privado para identificar rápidamente y responder a cuestiones relacionadas con el delito cibernético.
  11. Crear un canal especializado para ciudadanos y para empresas para denunciar los posibles ciberdelitos.
  12. Desarrollar e implantar acciones específicas de detección y persecución de ciber delitos que afecten a menores.

Fomentar el talento

  1. Determinar las necesidades de profesionales que tiene el sector privado y el público, y los requisitos de conocimientos y especialización.
  2. Definir un catálogo general de roles profesionales que incluyan las capacidades y competencias que se adapten a la innovación tecnológica.
  3. Participar en el diálogo con universidades y otras instituciones educativas para desarrollar nuevos programas o adaptarlos a las necesidades del mercado laboral.
  4. Promover en colegios y centros de enseñanza talleres y otras actividades que estimulen el  interés y la curiosidad por la ciberseguridad.
  5. Organizar eventos de ciberseguridad que ayuden a identificar expertos nacionales.

Fomentar el emprendimiento

  1. La demanda sofisticada, entendida por aquellos sectores (gobierno, banca, energía…) que bien por el grado de penetración digital en sus negocios, bien por la tipología de las amenazas que les afecta, requieren de soluciones novedosas.
  2. Las universidades y centros de innovación, que son las organizaciones que dedican recursos a la investigación técnico-científica.
  3. Los emprendedores y “start ups”, que cuentan con ideas y proyectos, que pueden contribuir a dar respuesta a estas necesidades.
  4. A través de foros y grupos de trabajo, determinar con la demanda sofisticada las necesidades presentes y futuras de productos y servicios de ciberseguridad.
  5. Crear un plan de investigación para evitar solapamientos entre las actividades de investigación emprendidas por diferentes instituciones.
  6. Establecer fondos específicos que soporten los programas de investigación en ciberseguridad.
  7. Habilitar mecanismos para garantizar la transferencia a la industria.
  8. Fomentar entre los jóvenes la cultura de emprendimiento mediante un plan de actuación que incluya actividades que faciliten la educación y orientación.
  9. En línea con la agenda de investigación, crear concursos de ideas donde los jóvenes emprendedores presenten proyectos o prototipos que puedan dar solución a los problemas planteados.
  10. Crear fondos públicos que ayuden a los emprendedores en las fases tempranas del ciclo de emprendimiento.
  11. Crear eventos que faciliten el contacto entre los emprendedores y la inversión privada.
  12. Promover la implantación de programas de incubación y aceleración de startups (empresas emergentes y con potencial de crecimiento).

 

 

Gobierno electrónico en El Salvador: un nuevo intento

El 19 de julio se llevó a cabo la presentación de los resultados de un nuevo diagnóstico sobre el estado actual del gobierno electrónico en nuestro país, esta vez desarrollado por el Banco Interamericano de Desarrollo, por medio de sus consultores de planta, apoyados por personas contratadas para este fin.

Si bien el diagnóstico presentado mostró la situación actual de las acciones que un poco más de 30 ministerios e instituciones del ejecutivo han realizado utilizando las tecnologías de información y comunicación (TIC) para cumplir algunos de propósitos de un gobierno electrónico, acompañado por algunas recomendaciones para el gobierno central, el ejercicio no es el primero que se ejecuta en el país.

Al menos desde 1998, en que se fundó el Comité Nacional de Informática, bajo los auspicios del recién formado CONACYT (Consejo Nacional de Ciencia y Tecnología), este organismo produjo la Política Nacional de Informática, comenzando en El Salvador la reflexión formal y documentada sobre los temas, efecto e incidencia de las TIC en la sociedad en general.

Menos de una década después, culminando en 2006, se prepararon sendos documentos, uno delineando la factibilidad de un gobierno electrónico, apoyado por el gobierno y pueblo de Japón, y otro presentando una agenda digital para todo el país. Ninguno de estos documentos, a pesar del tiempo y esfuerzo de muchas personas, nacionales y extranjeros, fue puesto en marcha.

De la misma forma, más recientemente han existido varios documentos, apoyo de cooperantes y horas de trabajo de funcionarios gubernamentales y colaboradores de la sociedad civil, con similares objetivos.

Coincidencia en la importancia del e-Gob

Si bien en los primeros esfuerzos, los responsables de turno del gobierno salvadoreño no le daban ni siquiera un espacio de mención a estos temas en sus planes de trabajo y estratégicos, más recientemente, al menos el discurso parece haber cambiado. En el gobierno recién pasado, escuchamos al actual presidente de la República, como vicepresidente, decir que “si bien el gobierno electrónico no gana votos, es un proceso que debe ser desarrollado”.

El actual intento proviene de la Secretaría Técnica y de Planificación de la Presidencia de la República, por lo que se sabe que cuenta con el apoyo político del más alto nivel. Eso es una buena señal y un posible buen augurio, aunque en su contra obra el tiempo que falta en la gestión de este gobierno, y los recursos que pueda obtener y canalizar hacia este objetivo.

Por tanto, será importante que los encargados directos de esta iniciativa tomen acciones para dejar establecida una forma de trabajo y una estrategia que se pueda ejecutar desde los próximos meses, se involucren a otros actores de la sociedad, y comience a mostrar resultados en el más corto plazo.

Si bien se podría decir que varias de las acciones dentro de un plan de Gobierno electrónico son competencia y están en el ámbito del aparato estatal, y que en cuanto a recursos humanos, materiales y financieros pueden ser recanalizados por una decisión propia del mismo gobierno, sería más conveniente diseñar una forma de trabajo que desde ya busque asegurar la continuidad de las medidas, programas y proyectos que se incluyan en este esfuerzo, con la finalidad de que sean retomadas cuando el siguiente gobierno tome posesión.

Institucionalidad, presupuesto y participación

¿Qué habría que hacer para intentar que esta nueva iniciativa, además de dar resultados reales y concretos, permanezca en el tiempo, y continúe colocando a El Salvador en esta ruta? El apoyo político decidido y consistente es un elemento clave, pero no suficiente. Seguramente los consultores actuales del BID, tal y como lo hicieron otros antes que ellos, propios y extraños, habrán advertido de los aspectos que se requieren.

Aquí podemos identificar al menos tres elementos que consideramos pueden apoyar y contribuir a que ésta no se convierta en otra propuesta más en las gavetas y anaqueles de varias personas.

Institucionalidad: Habrá que trabajar en formar las estructuras, jerarquías y canales organizativos dentro del gobierno para coordinar efectivamente estos esfuerzos. Lo peor que puede suceder es que las voluntades se sigan moviendo en forma independiente y aislada, sujetas a la visión de cada ministro o funcionario de alto nivel de cada entidad en el gobierno.

Presupuesto: Lamentablemente para todo se necesitan fondos y financiamiento continuo, y esto significa, en un país como el nuestro, que además de las cooperaciones extranjeras, que pueden o no aparecer y, sobre todo, mantenerse un tiempo, es necesario autofinanciar con recursos propios los proyectos, esfuerzos y programas. No es suficiente colocarlos en un plan estratégico y esperar que alguien los patrocine.

Participación: empezando por los funcionarios y empleados públicos, pero incluyendo a la sociedad civil, la empresa privada y la academia, todos los actores deben participar en este emprendimiento nacional. Se trata de hacer un gobierno electrónico para que todos los ciudadanos lo usemos, aunque se trate, en este caso, de incidir y transformar la infraestructura y servicios del gobierno.

Si al menos se satisfacen estas tres condiciones, las posibilidades de tener un éxito visible y sostenible en esta transformación del gobierno pueden ser incrementadas significativamente.

 

Uso de “emojis” en nombres de dominio es un problema de seguridad

La tecnología que nos permite comunicarnos tan ágilmente ha introducido, al mismo tiempo que unas grandes facilidades para obviar el tiempo y el espacio que nos separa, una serie de transformaciones culturales, que se están volviendo parte de esa universalización que Internet y las comunicaciones instantáneas hacen posible.

Los cambios y adiciones culturales son, en este caso, difundidas en todo el mundo, lo que, curiosamente, nos unen y acercan a muchas personas de diversos países y regiones, puesto que entendemos y utilizamos gestos, acciones y protocolos de comunicación similares. Hay muchos ejemplos en el uso del correo electrónico, la simbología en los sitios web, las abreviaturas en los mensajes pequeños, y una serie de nuevos términos y adiciones surgidas en este ambiente.

Un ejemplo particular son los “emojis”, definidos como los “pictogramas (símbolos pictóricos) que se presentan típicamente en una colorida forma de dibujos animados y son utilizados en línea en el texto”. Son muy populares en los teléfonos inteligentes, el chat, el correo electrónico, en aplicaciones y en las redes sociales, donde forman parte de una tendencia hacia formas gráficas de comunicación para enfatizar (o reemplazar) el texto.

Se supone los emojis representan una emoción que deseamos hacer ver al recipiente del mensaje. Curiosamente, aunque la palabra es de origen japonés, y significa imagen (“e”) y letra (“moji”), en otros idiomas, como el español, recuerda al término “emoción”, y de ahí su fácil asociación. Sus ancestros relacionados son los emoticones, con conceptos similares.

Expandiendo el uso

La mayoría de personas nos sentimos bien utilizando la gran variedad de emojis que existen y continúan siendo diseñados y creados. No existe un estándar para los mismos, así que cada aplicación o servicio en Internet que los desea usar decide cuáles ofrecer a sus usuarios.

Como parte de la cultura, los incluimos e interpretamos según nuestro mejor entender, y así intentamos transmitir los sentimientos, emociones y expresiones que en un lenguaje solamente escrito es muy difícil lograr, al no poder observar nuestros gestos faciales, lenguaje corporal y demás ademanes que hacemos estando cara a cara.

Tanto se está asimilando esta práctica, que hay ya algunos registros de nombres de dominio, como los de código de país de Samoa (.WS) y Laos (.LA) que admiten usar emojis en el segundo nivel del nombre de dominio. Obviamente, se busca abrir más opciones a los registrantes de nombres de dominio, para hacer más atractivo su uso.

Pareciera una buena y creativa idea, pues en un ambiente dominado por los íconos y los gráficos, era cuestión de tiempo que aprovechando el concepto de IDN (Nombres de dominio internacionalizados), que buscan admitir otros alfabetos distintos al latino para promover estos nombres en más países, culturas e idiomas, algunos con visión comercial abrieran esa posibilidad.

Un atentado contra la seguridad de Internet

Sin embargo, el 25 de mayo de 2017, el Comité Asesor de Seguridad y Estabilidad de la ICANN (Corporación Internet para Nombres y Números Asignados) emitió el documento SSAC095, en el que previene sobre el problema de seguridad que esta práctica conlleva.

Las razones básicas por la que no deben registrarse los emojis como parte de un nombre de dominio tiene que ver con factores de similitud, confusión, y la forma como, desde la perspectiva tecnológica y los estándares creados para tal fin, se espera que los navegadores conviertan los caracteres usados en dichos nombres.

Los nombres de dominio deben ser, por definición, identificadores únicos en el mundo, que al ser digitados por un usuario en cualquier parte del mundo usando Internet, sean traducidos de la misma forma en todos los navegadores, en todas las aplicaciones, para todos los usuarios y para todas las redes conectadas a Internet. Si hay alguna posibilidad de confusión o de traducción distinta, ese dominio se convierte en un riesgo de seguridad en Internet.

Emoticon saying no with his finger

Por eso, el SSAC concluye con las siguientes recomendaciones:

Recomendación 1: Debido a que los riesgos identificados en este documento no pueden ser adecuadamente mitigados sin cambios significativos en Unicode o IDNA (o ambos), el SSAC recomienda que la Junta directiva de ICANN rechace cualquier TLD (etiqueta de zona raíz) que incluya emojis.

Recomendación 2: Debido a que los riesgos identificados en este documento no pueden ser adecuadamente mitigados sin cambios significativos a Unicode o IDNA (o ambos), el SSAC fuertemente desalienta el registro de cualquier nombre de dominio que incluya emojis en cualquiera de sus etiquetas. El SSAC también advierte a los registrantes de nombres de dominio con emojis que tales dominios pueden no funcionar de forma consistente o pueden no ser universalmente accesibles como se esperaba.

 

El ataque que ha hecho querer llorar a miles de personas

Los medios de comunicación han provisto una amplia cobertura al ataque con un malware (pieza de código programático malicioso, con malas intenciones) que comenzó el 12 de mayo recién pasado, alcanzando a miles de computadores usando el sistema operativo Windows, en varias versiones, específicamente aquellos equipos que no habían actualizado los parches publicados por Microsoft en marzo de este año 2017.

El ataque, conocido por “Wannacry” o “Wannacrypt”, se considera del tipo ransomware, puesto que secuestra archivos de información de los equipos afectados, los convierte en archivos encriptados, es decir, elimina los originales y los re-escribe de una forma que no es recuperable por el usuario, y luego exige un rescate (“ransom”, en inglés) para devolverlos a su forma original.

Ante esta situación, la mayoría de usuarios afectados lamentarán mucho esta situación, y de ahí el juego de palabras en el nombre adoptado: muchos querrán llorar al ver sus archivos y datos inaccesibles.

Sin embargo, aunque la prensa mundial lo ha calificado como uno de los peores ataques en la historia, algunos analistas expertos consideran que la cobertura mediática ha sido excesiva, dados los efectos reales que se han visto, sobre todo en el pago del rescate demandado.

¿Cómo funcionaba este malware?

El código atacante aprovechaba una vulnerabilidad en el protocolo SMB (Server Message Block), utilizado por los sistemas operativos de Microsoft para compartir archivos. La vulnerabilidad había sido corregida por Microsoft en marzo de este año, por medio de parches y actualizaciones publicados y distribuidos por la compañía.

Dado que no todos los equipos actualizan de forma automática sus sistemas operativos, y había algunos, como Windows XP, que ya no recibían actualizaciones, se encontraba un importante número de computadores expuestos y vulnerables alrededor del mundo.

Estudiado, analizado y descubierto por un investigador inglés de malware de 22 años, que ha solicitado permanecer en el anonimato, la primera oleada del ataque fue detenida. Parte del código del malware, analizado por expertos, buscaba la resolución de un nombre de dominio ficticio y probablemente inexistente. Si la resolución fallaba, que era lo esperado, el código malicioso infectaba el equipo; si la resolución del dominio era exitosa, el malware suspendía el ataque.

La razón de esta lógica es que los atacantes no quieren ser descubiertos por los investigadores de malware, que en sus laboratorios de prueba resuelven artificialmente la resolución de dominios para detectar y contrarrestar estos ataques. Entonces, si un equipo resuelve el dominio, el código atacante no hace nada malo y suspende su ataque a ese equipo.

¿Se resolvió por accidente?

Cuando después de varias pruebas y simulacros, así como interacciones con otros colegas, el investigador británico detectó cuál era el nombre de dominio usado por los atacantes, de inmediato lo registró legítimamente, para que todos los computadores atacados de ese momento en adelante, pudieran resolver exitosamente el nombre dominio.

En estos laboratorios de investigación de códigos maliciosos, virus y ciberataques, el registro de nombres de dominio como éste es una práctica remedial común, y por tanto tienen métodos y procesos expeditos para hacerlo. La resolución de este caso no fue un accidente, sino el trabajo eficiente de un experto, dotado del conocimiento, experiencia y herramientas para contrarrestar estos ataques.

Según analistas, la recolección de dinero de rescate, solicitado en Bitcoin, la moneda digital, no ha superado el equivalente de $80,000 entre un número relativamente bajo de víctimas que han pagado, por lo que no parece haber tenido un gran impacto real. De la misma forma, no se ha detectado que los recipientes del rescate hayan querido utilizar ese dinero digital, probablemente para evitar ser rastreados.

No hay duda que los ataques de este y otros tipos continuarán, y probablemente serán peores, más sofisticados y de mayor alcance. Al usuario final y a los soportes informáticos les compete mantener actualizado sus equipos y servidores, y a los expertos en seguridad continuar estando alertas y en continua ampliación de sus conocimientos y experiencia.

El Informe Global de Internet para 2016

Internet Society ha publicado recientemente su Informe Global de Internet para 2016, y el tema principal al que dedica este reporte es la infracción de datos, la fuga de información y el robo o acceso no autorizado a archivos y bases de datos. Esta realidad, lamentablemente, está continuamente minando, con razón, la confianza en Internet de miles de usuarios, y es una fuente de incremento de los costos de cualquier empresa que se dedica al comercio electrónico. Se presenta acá un resumen del contenido de este Informe.

Según un dicho popular en el ambiente de la seguridad informática: “Existen dos tipos de empresas: las que han sido atacadas y comprometidas y las que aun no saben que lo han sido”. Es una forma humorística de reflejar una realidad que es cada vez más común, y que tiene serias implicaciones en varios niveles y en todos los ámbitos.

De acuerdo a la Oficina del Comisionado de Información (ICO) del Reino Unido, la definición de Infracción de datos es: “Una infracción a la seguridad que ocasiona la destrucción, pérdida, alteración, divulgación no autorizada o acceso de manera accidental o ilícita a datos personales transmitidos, almacenados o procesados de algún modo en relación con la prestación de un servicio público de comunicaciones electrónicas”.

Como parte de la introducción, el autor establece que “Con este informe, Internet Society busca incrementar el conocimiento sobre las infracciones de datos y sobre nuestra responsabilidad colectiva en lo que respecta a la protección del ecosistema de datos. Ofrecemos recomendaciones para reducir tanto la cantidad como los efectos de las infracciones de datos”.

El círculo de la seguridad

El informe presenta una serie de casos de estudio que, además de hacer evidente la magnitud del problema, respalda el análisis que se ofrece respecto a los costos directos e indirectos de estas acciones, la inconsciencia que existe en la mayoría de ocasiones y el daño a la confianza de los usuarios de Internet.

Por ejemplo, el reporte habla de los casos en que a Target le robaron los números de tarjetas de crédito de 40 millones de clientes y los ofrecieron a la venta en línea; a Ashley Madison le quitaron los registros de las aventuras personales de 37 millones de usuarios casados y los publicaron en línea; y a la Oficina de Gestión de Personal (OPM) de Estados Unidos le robaron los registros de 21.5 millones de ex empleados, empleados y posibles empleados.

Para comenzar a contrarrestar estos efectos negativos, el informe presenta cinco recomendaciones, que pueden ser representadas en conjunto en el “Círculo de la seguridad”:

  1. Colocar a los usuarios en el centro de las soluciones; e incluir tanto a usuarios como a organizaciones al evaluar los costos de las infracciones de datos.
  2. Aumentar la transparencia a través de la divulgación y la notificación de las infracciones de datos.
  3. La seguridad de los datos debe ser una prioridad. Deben ponerse a disposición mejores herramientas y enfoques. Cuando se trata de seguridad, las organizaciones deben ajustarse a normas basadas en las prácticas recomendadas.
  4. Las organizaciones deben ser responsables de sus infracciones. Se deben establecer de antemano reglas generales respecto a la asignación de obligaciones y reparaciones en caso de infracción de datos.
  5. Aumentar los incentivos a la inversión en seguridad catalizando un mercado para la evaluación confiable e independiente de las medidas de protección de los datos.
Fuente: Informe Global de Internet para 2016 – ISOC

Recomendaciones y principios

Es importante para todas las organizaciones y personas comprender que la seguridad informática es una responsabilidad y una tarea que debemos enfrentar y tomar en serio todos, ya sea con nuestra propia información y, con mayor razón, cuando estamos encargados de la información de otros. Los principios operativos en los que se fundamentan estas recomendaciones son dos:

Administración de los datos. Las organizaciones deben verse a sí mismas como custodias de los datos de sus usuarios, y protegerlos no sólo como una necesidad empresarial sino también en nombre de los propios individuos. Las organizaciones deben adoptar un enfoque ético para el manejo de los datos y comprender que pueden prosperar haciendo el bien: proteger a los usuarios debe ser una meta por mérito propio, que además protege a la organización.

Responsabilidad colectiva. En Internet, todos están conectados. Una infracción puede conducir a otra (en otras palabras, “su infracción podría ser la mía”). Las organizaciones tienen la responsabilidad de proteger los datos que están en su poder. También comparten la responsabilidad colectiva de proteger el ecosistema de datos como un todo con otros actores, incluidos proveedores, empleados, gobiernos, entre otros.

En resumen:

  • Los datos personales son preciosos y preciados. ¡Protéjanlos!
  • Recopilen únicamente los datos que sean absolutamente necesarios y cifren los que conserven.
  • Restrinjan el acceso a los datos a quienes necesitan conocerlos.
  • Señalen el nivel de seguridad que proporcionan.
  • Destruyan los datos cuando ya no se utilicen.
  • Sean más transparentes respecto a los incidentes de infracción de datos.
  • Estén alerta a las infracciones; prepárense, notifiquen y actúen de inmediato.