Friday, April 27, 2012

La Promiscuidad de datos en Sodoma, Gomorra y Outsourcing


 Comienzo con un par de noticias que me hacen reflexionar sobre la cantidad de información y datos personales que se comparten con terceras partes, ya sea por Outsourcing, por ‘tercerizar’ servicios, o alguna otra razón, como la del viernes 30 de marzo donde información de millones de tarjetahabientes fueron robados tras hackeo a Global Payments afectando a clientes de VISA, MasterCard y American Express o esta última: “Empleado roba 228,000 registros de pacientes y los manda a su mail personal”.

De acuerdo a Miguel Tijerina Schon de Buró de Crédito, a  diario hay alrededor 880 denuncias por robo de identidad y tiene su origen en tres causas principales: la física, la telefónica y la electrónica.

El IFAI está consciente de que hay un tráfico de datos pero comenta que es difícil integrar una averiguación ya que se desconoce en dónde están ubicados los comercializadores de las bases. Tengo mucha fe en que la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) ayudará bastante a regular, pero por sí sola no pasarán las cosas y seguramente no en el corto o mediano plazo. Platicando con personas de diferentes niveles, en distintos contextos, se percibe una sensación de el tema se ha estado diluyendo. “Primero porque no salía el reglamento, después porque la fecha llegó y a nadie le pasó nada a nadie, ni una multa, ni un periodicazo.” 


El pecado original


¿A cuántas empresas le has dado tus datos personales, sensibles o información confidencial? ¿No tienes idea? Quizás podríamos empezar por tu banco o bancos, tu escuela o tu trabajo, médicos y hospitales donde hayas estado, créditos donde hayas aplicado, la lista puede ser tan grande como tu memoria te dé. Hace un par de semanas paseaba en un parque donde mucha gente lleva a sus mascotas y me abordó una persona ofreciendo un producto natural y orgánico para perros, me regaló una muestra y me pidió datos para llevar un registro y poder hacer marketing. Entre los datos que pedía estaban: nombre, dirección, teléfono, email. Quizás algunos piensen que no tiene nada de malo tener esos datos y concuerdo (parcialmente). Con cuántas personas o compañías compartiremos nuestros datos, así, de manera “casual” porque “no tiene nada de malo”. Es altamente probable que esta vendedora no vaya a hacer mal uso de mi información, pero la realidad es que no podemos darlo por hecho y sobre todo, no sabemos dónde estarán nuestros datos, con quién serán compartidos y con que otros posibles fines.

¿Qué pasa si un amigo, familiar o conocido, te pone como referencia personal para algún crédito bancario, para algún posible empleo, para un curso o certificación, etc.? Uno no tiene control sobre esto. Recibir llamadas o correos electrónicos sin que tú lo hayas solicitado explícitamente. Hay datos e información que nosotros mismos hemos decidido hacer públicos en Internet; sin embargo hay otros donde nosotros no tuvimos la oportunidad de decidir. Me llamó la atención algo que leía:  “Algunos expertos señalan que los datos que circulan en internet, en la nube, redes sociales, emails, smartphones o sistemas de geo-localización, conforman una extensión de nuestro propio cerebro, de nuestra alma, y en su conjunto una inteligencia colectiva digital.” O sea, que habría una extensión de nuestro propio cerebro, de nuestra alma, en la red. ¿Será? O_o



 
Promiscuidad de datos en Sodoma, Gomorra y Outsourcing  

Quiero hablar de la ‘promiscuidad’ de datos corporativa que se da cuando un servicio o actividad es ‘tercerizada’ en Outsourcing y la privacidad podría ponerse en duda sin los controles adecuados. Vivimos en mundo globalizado donde el intercambio de información es masivo, rápido y transfronterizo. Las empresas hoy en día subcontratan personal u otras empresas para que realicen, usualmente, actividades que no son el “core” del negocio, como limpieza, infraestructura, reclutamiento, etc. Y aquí es donde comienza a ver intercambio de datos e información de usuarios, empleados, clientes, socios y otros.

è Si una persona X, hace un contrato bancario o hipotecario con Banco A.
è Banco A tiene subcontratados algunos servicios como Infraestructura con empresa B y además procesa y almacena los datos con su matriz en otro País C
è Empresa B, a su vez, subcontrata con Empresa D servicios de personal y tienen su sitio de procesamiento con Empresa E
è Además, Banco A venderá otro tipo de servicios por lo que subcontrata a Empresa F quien hará la labor de venta a través de diferentes medios por lo que requiere “outsourcear” servicios con otra empresa, la G y H por los diferentes perfiles que manejará.

Podría llenar de más viñetas el ejemplo, y aún así seguiría siendo completamente preciso y real. Pero les quiero ejemplificar que donde una persona X tiene sólo un crédito bancario, sus datos probablemente están siendo accedidos, almacenados, procesados, transferidos, por las empresas A, B, C, D, E, F, G e incluso fuera del país… Quizás este escenario es normal, hoy en día; pero los controles de información entre las empresas mencionadas, posiblemente diverjan. Es todo un inception de datos. ¡Ja!

Me parece falaz argumentar que para eso existirá la LFPFPPP porque si bien normará lo que respecta a privacidad de datos personales en México, aún hay desconocimiento, pero sobre todo lo que me preocupa es cuando hay intercambio de datos, especialmente en el transfronterizo y en el que involucra una o más empresas de Outsourcing.
¿Qué intento transmitir en este texto? Que la responsabilidad de los datos NO se puede endosar a otra empresa. Si la empresa A es con quien el usuario X tiene una relación, aunque A tenga outsourcing con B y B tenga subcontratados a las empresas C y D y éstas sean manejadas con persona de E… los datos del usuario X son responsabilidad, ante el usuario, de la empresa A, quien tendrá que asegurarle al usuario y a las autoridades que los controles de privacidad y seguridad, son los mínimos requeridos tanto en la propia empresa A, como con en el resto de las empresas con quien los comparte, como B, C, D, E, F, G, Sodoma y Gomorra; y es responsabilidad también de Empresa A, asegurarse, hacer revisiones y auditar que éstas últimas tengan dichos controles.

Mind the Information Security Gap… always.
Alberto Ramírez Ayón, CISM, CISA, CRISC, CBCP