Carlos Seisdedos, experto en ciberinteligencia se sienta con nosotros para hablar, entre otros temas, sobre la GDPR a día de hoy.
CyberSecurity News (CSN): Carlos, has estado con nosotros en diferentes ocasiones y ya te consideramos amigo en CyberSecurity News pero para aquel que haya empezado a seguirnos ahora, ¿quién es Carlos Seisdedos? ¿Cómo ha sido tu trayectoria?
Carlos Seisdedos (CS): Carlos Seisdedos es un tipo tímido y positivo, que siempre ve el vaso medio lleno y que le mete muchas horas al trabajo y a la formación. Desde mis inicios he intentado rodearme y aprender de los mejores, y eso significaba viajar a congresos, formarme constantemente y tomar muchos cafés con personas muy interesantes, de todos los ámbitos, y este esfuerzo me permitió poder liderar el proyecto del área de Ciberinteligencia en Internet Security Auditors.
Por eso considero importante compartir lo poquito que se impartiendo formación y asistiendo al máximo de congresos que me permite la vida para devolver a la comunidad lo que recibí durante estos años.
CSN: Ya hace cuatro años que la GDPR fue de obligada aplicación y desde entonces ha habido grandes avances en el mundo de la privacidad. ¿Sería conveniente hacer una revisión de la legislación?
CS: Hasta la llegada del RGPD, y posteriormente, en España, la LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales), las empresas y organizaciones del espacio económico europeo se habían limitado a cumplir una serie de legislaciones específicas de cada país, que regulaban el tratamiento de datos personales dentro de su actividad de negocio. En España, la legislación definía 3 niveles para la categorización de los tratamientos que llevaba a cabo una empresa con respecto a los datos de carácter personal (bajo, medio y alto); y cada uno de estos niveles, a su vez, definía una serie de medidas de seguridad específicas que se debían implementar. Esto provocaba que, con el paso del tiempo, estas medidas de seguridad, en muchas ocasiones, se volvieran ineficaces o insuficientes dado que la tecnología, amenazas y riesgos evolucionan más rápido que la propia legislación. Sin embargo, con el RGPD, se produce un cambio de enfoque para corregir, entre otros aspectos, esta deficiencia que tenía la legislación anterior y se ha exigido a las empresas ir más allá del mero cumplimiento de una ley, exigiéndoles el desarrollo una auténtica estrategia de gestión de riesgos relacionados con la protección de datos de carácter personal. Apelando a su responsabilidad proactiva, este reglamento establece que las compañías deben prever los riesgos asociados a los datos personales que gestionan, evaluarlos y prevenirlos implantando las medidas de seguridad oportunas que permitan mitigar dichos riesgos.
Debido a este cambio de enfoque, ahora la legislación vigente en materia de protección de datos es mucho más flexible y adaptable a los cambios en tecnología, amenazas, riesgos y tipos de ataque cuyo objetivo es el de conseguir datos de carácter personal. Por lo que, más que una revisión de la legislación, lo que sería conveniente es que las empresas y organizaciones tomen conciencia y, desarrollen y apliquen estrategias basadas en este reglamento y las leyes específicas de cada país en materia de protección de datos, implementando, además, un proceso de revisión continua para adaptar sus soluciones de seguridad a las nuevas amenazas y riesgos que puedan ir surgiendo, dotando así de un mayor nivel de seguridad y un mayor nivel de madurez, en términos de seguridad, a sus procesos en los que intervienen este tipo de datos. Hay que recordar, que la seguridad no es un producto, sino un proceso continuo.
CSN: Decíamos que está impuesta desde 2018 pero entró en vigor en 2016. Desde entonces la GDPR supuso un antes y un después en la concienciación de las empresas en torno a la privacidad de los datos. ¿Consideras que aún hay margen que recorrer en la privacidad?
CS: En estos años, las empresas y organizaciones se han ido adaptando a la normativa vigente en materia de protección de datos, aunque queda aún queda bastante camino por recorrer. Es cierto que hubo un antes y un después en la mentalidad de las organizaciones con respecto a este tema y muchas compañías comenzaron a diseñar sus estrategias, aunque la mayoría, sólo desde el momento en que el RGPD comenzó a ser de aplicación (en 2018), cuando habría sido conveniente haberlas ido diseñando desde 2016, momento en el que entró en vigor este reglamento, y que éstas hubieran sido aplicadas con mayor antelación.
Considero que, a día de hoy, todavía no ha calado lo suficientemente el mensaje de la responsabilidad proactiva en la mayoría de las organizaciones y que las empresas pueden y deben entender la importancia de la protección de este tipo de datos, tanto de sus clientes como de sus propios empleados y mejorar en aspectos como el desarrollo de estrategias que permitan dar más información a los usuarios para que entiendan la forma en la cual se van a tratar sus datos personales, es decir, ser más transparentes; el desarrollo de estrategias orientadas a la implementación de una seguridad transversal a toda la organización para la protección de este activo tan importante como es la información y datos que una empresa maneja y, además, llevar a cabo auditorías externas (imparciales y objetivas) sobre la protección de los datos personales que gestionan. Por último, es realmente importante realizar cambios en todos los procesos para que el diseño de los productos y/o servicios de una empresa se realice atendiendo a criterios de privacidad desde el origen y, por defecto. Es decir, que la seguridad sea un input más a tener en cuenta desde el momento cero de un producto o servicio, y se tenga en cuenta en todas y cada una de las fases del desarrollo del mismo, dado que si la seguridad solo se tiene en cuenta en las fases finales, puede provocar que, en muchas ocasiones, no se puedan implantar las medidas de seguridad y privacidad adecuadas para el tratamiento que se desea hacer, que el coste de implementación de estas medidas sea muy superior al coste que hubiera tenido si se hubieran aplicado desde el inicio o que, directamente, todo el proyecto sea inviable.
Por lo que, hoy en día, considero que continúa siendo muy necesario progresar en esta toda esta adaptación, en materia de protección de datos, por parte de las empresas y organizaciones.
CSN: ¿Los ciudadanos son conscientes del valor de sus datos?
CS: De acuerdo a la encuesta sobre derechos fundamentales «Tus derechos importan: Protección de datos y Privacidad» de la Agencia europea de Derechos Fundamentales de Junio de 2020, la mayoría de personas un 55%, que utilizan Internet son conscientes de que criminales y estafadores pueden estar accediendo sin su conocimiento a la información que comparten. Por otro lado, un 69% ha sentido hablar sobre el RGPD, y un 71% sobre su APD nacional. Si bien es cierto que la entrada en vigor y aplicación del RGPD así como el desarrollo y despliegue de iniciativas similares surgidas en consecuencia en otras regiones y países del mundo, ha supuesto un impulso en la concienciación ciudadana, aún existe un margen de mejora y madurez de nuestra cultura de la privacidad.
En la era actual, en la que prácticamente, a nivel mundial, todos nos encontramos conectados a través de internet, redes sociales, smartphones, etc. Nuestros datos de carácter personal, nuestros gustos, nuestra información más íntima, se ha convertido en uno de los mayores negocios y que más dinero mueven en el mercado.
Es por esto por lo que debemos ser conscientes de las amenazas y riesgos digitales a los que nos enfrentamos todos y cada uno de nosotros cada día, muchas veces, sin tener conocimiento de su existencia. Uno de los principales problemas se encuentra, precisamente, en la colisión de las nuevas tecnologías con los derechos y libertades fundamentales, o lo que es lo mismo, nuestra privacidad digital.
Es cierto que, poco a poco vamos siendo más conscientes y consecuentes con nuestra vida personal en Internet, pero, aún hoy, ponerse en peligro al exponer datos personales en la red no parece ser un problema que preocupe realmente a la mayoría de los ciudadanos. Si lo analizamos por edades, es interesante ver que un amplio porcentaje de los ciudadanos más jóvenes consideran que no es probable ponerse en riesgo por exponer sus datos en Internet y que cuanto más mayores, más conscientes o cautelosos somos acerca de los peligros que existen por la sobreexposición de nuestros datos. Esto puede deberse, a que los más jóvenes han crecido con el desarrollo de las nuevas tecnologías, de Internet y las redes sociales, por tanto, se encuentren más acostumbrados y, ni si quiera se planteen que la seguridad de sus datos y, por consecuencia, su propia seguridad pueda estar en peligro, o bien que no sean realmente conscientes por haber crecido con ello y necesiten concienciarse de los peligros de la red, que son cada día mayores.
Es por esto, que desde la administración pública y, también, desde las empresas privadas de seguridad, debemos hacer una labor importante en este sentido, para que los ciudadanos seamos más conscientes de la importancia de nuestros datos, que tengamos el conocimiento y las herramientas suficientes para poder elegir a quién, cómo y cuándo cedemos nuestros datos y, que cuanto antes, seamos mucho más responsables y dueños de nuestros propios datos.
CSN: Cada red social tiene su propia normativa o política de uso que regula, entre otros ciberdelitos, el ciberacoso. ¿Le encuentras alguna carencia a estas políticas? ¿Por qué en 2022 se siguen permitiendo este tipo de amenazas?
CS: No pagamos nada por la utilización de redes sociales o aplicaciones de mensajería. Y si algo es gratis, nosotros no somos los clientes, somos el producto.
Voy a poner ejemplo… Elon Musk quiere hacerse con el control de Twitter, quien la valora en 44.000 millones de dólares. 44 M $ por una aplicación que usamos diariamente de forma gratuita… lo que nos debe ayudar a recordar que el objetivo principal de una empresa que gestiona una red social radica en obtener beneficios. Beneficios obtenidos a raíz de la comercialización de nuestros datos, datos obtenidos a través de nuestra información y nuestras publicaciones, por lo que, aunque suene duro, a las plataformas no les preocupa en exceso si se producen delitos o acoso en o mediante su plataforma.
Está claro que actuarán si se presenta algún tipo de denuncias o similar, pero en muchos casos, por desgracia la colaboración efectiva con las Fuerzas y Cuerpos de Seguridad es mínima o no la suficiente para poder acabar con los haters o cibercriminales que campan a sus anchas por redes sociales o aplicaciones de mensajería.
CSN: ¿Crees que si una PYME obtiene la certificación de 27001 puede ayudarle, entre otras cosas, a mejorar su reputación?
CS: Uno de los objetivos principales de una ISO27001 es establecer un modelo de gestión de seguridad que esté alineado con los intereses y objetivos del negocio. El negocio se focaliza en satisfacer unas necesidades específicas de sus clientes y hoy cada día más como clientes y consumidores buscamos productos y servicios no sólo de calidad sino también que nos garanticen la mayor seguridad en este caso vinculada a la información que facilitamos. En consecuencia, considero que garantizar la seguridad de la información de nuestros clientes a través de los productos y servicios que les proveemos, supone indirectamente una mejora en la reputación de la empresa, aunque muchas veces pueda quedar diluido si no se apoya en campañas adecuadas de marketing y publicidad que refuercen esa imagen y que permitan que nuestros clientes asocien claramente los productos y servicios con beneficios vinculados a la seguridad como un factor diferenciador.
CSN: Y para ir terminando, el sector de la ciberseguridad se encuentra en constante evolución. ¿Qué retos técnicos o legislativos crees que nos esperan en unos años?
CS: La transformación digital de las organizaciones es uno de los mayores retos a los que nos vamos a enfrentar durante los próximos años, ya que la digitalización no tiene vuelta atrás, y los ciberdelincuentes son conscientes que a muchas organizaciones les está costando implementar medidas de ciberseguridad oportunas que acompañen su transformación digital de forma oportuna.