Seguridad en la nube con identidad digital
En la actualidad y en cualquier país civilizado y organizado, la seguridad de la información constituye uno de los valores fundamentales, que capacita y hace posible una óptima gestión de recursos, de bienes y servicios. Sin embargo, existen múltiples impedimentos de tipo leyes obsoletas, sistemas de protección anticuados o confusiones conceptuales que impedirían que una protección garantizada fuera posible aunque no en su totalidad.
Es importante distinguir entre entidades no maliciosas y maliciosas, según su intencionalidad en hacer daño sobre las bases de datos. Por ejemplo, existen hackers, hacktivistas o entidades no maliciosas que tendrían intereses particulares buenos o malos, aunque no intencionados para dañar, alterar o controlar sistemas de datos que fueran inseguros en su protección por desconocimiento o desinformación. La expoliación de datos activos, por otra parte, se lleva a cabo por ejemplo por parte de explotadores intencionados. La seguridad y protección es una batalla constante en permanente vigilancia contra aquellas amenazas, de todo tipo y variantes, que quieran dañar los marcos o redes de trabajo, en constante balance entre productividad y utilidad.
Los software y nuevos utensilios informáticos están cada vez mejor preparados para mitigar ataques y el campo de la ciberseguridad, pero los equipos más nuevos y costosos del mercado no garantizan una seguridad si no se trabajan con ayuda del personal más brillante que exista en el área de ciberseguridad, para combatir al adversario exterior. Es importante mencionar que la seguridad informática, aún siendo un terreno por mejorar dada su reciente creación, cuenta con un 0% de desempleo.
Esta revisión sería de utilidad en áreas del ámbito educativo, en el sanitario, en transporte, en defensa, en finanzas o en el propio concepto de almacenaje de enseres físicos, etc., y en general para la empresa pública o privada que se encuentre expuesta en las redes y necesite de internet para realizar sus gestiones y negocios.
Buenas prácticas en seguridad
Por otro lado, en este RD se menciona la norma europea ISO/IEC 15408 (International Organization for Standardization) como estándar de reconocimiento internacional de buenas prácticas respecto a la seguridad, implementada en el año 1999. Sin embargo, los códigos de práctica más actualizados y completos para garantizar la confidencialidad, integridad y accesibilidad de los datos serían las ISO/IEC 27001 e ISO/IEC 27002. El código ISO/IEC 15480 presenta un proceso de evaluación extremadamente costoso y lento, no siendo por ello usado por los gobiernos o los mercados de defensa. También impediría el desarrollo de los productos, ya que la garantía de los certificados se vería alterada por ajustes de seguridad.
Según la naturaleza de los datos y la organización o entidad en cuestión que procura la defensa y vigilancia, existen múltiples marcos de protección o «frameworks» (National Institute of Standards and Technology, 2013). Para adoptar dichos códigos la entidad debe organizar sus propios riesgos de información, clarificar sus objetivos de control y aplicar los posibles controles o fórmulas existentes para tratar los riesgos de seguridad según la guía del código estándar.
En el mismo año y unos días anteriores, la Ley 39/2015 de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas dispone en su artículo 17.3 «Archivo de documentos» que: «Los medios o soportes en que se almacenen documentos, deberán contar con medidas de seguridad, de acuerdo con lo previsto en el Esquema Nacional de Seguridad, que garanticen la integridad, autenticidad, confidencialidad, calidad, protección y conservación de los documentos almacenados.
En particular, asegurarán la identificación de los usuarios y el control de accesos, así como el cumplimiento de las garantías previstas en la legislación de protección de datos». Pero no se especifica que la naturaleza de los datos sean electrónicos. Aunque se ensalza el valor y eficacia de la incorporación de los medios electrónicos en su tercer párrafo con estas palabras: «Porque una Administración sin papel basada en un funcionamiento íntegramente electrónico no sólo sirve para mejora los principios de eficacia y eficiencia, al ahorrar costes a ciudadanos y empresas, sino que también refuerza las garantías de los interesados».
El artículo 13.h de esta Ley afirma que uno de los derechos de las personas en sus relaciones con las Administraciones Públicas es: «la protección de datos de carácter personal, y en particular a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas». En el artículo 16.1 se detalla que: El Registro Electrónico General de cada Administración funcionará como un portal que facilitará el acceso a los registros electrónicos de cada Organismo. Tanto el Registro Electrónico General de cada Administración como los registros electrónicos de cada Organismo cumplirán con las garantías y medidas de seguridad previstas en la legislación en materia de protección de datos de carácter personal.
Con esta descripción se pone de manifiesto el valor de la accesibilidad de los datos electrónicos y en el artículo 3 de ese mismo apartado, se menciona la integridad de los datos electrónicos de esta manera: Para ello, se emitirá automáticamente un recibo consistente en una copia autenticada del documento de que se trate, incluyendo la fecha y hora de presentación y el número de entrada de registro, así como un recibo acreditativo de otros documentos que, en su caso, lo acompañen, que garantice la integridad y el no repudio de los mismo. Respecto a la confidencialidad específica de los datos tipo electrónicos, no se mencionan en particular en esta ley.
Ya desde la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD) y el Real Decreto 1720/2007, de 21 de diciembre, se impuso la obligación a las empresas y organismos, tanto públicos como privados, de establecer unas medidas de seguridad destinadas a garantizar la protección de los datos de carácter personal contenidos en ficheros automatizados o en formato papel.
El National Institute of Standards and Technology (NIST) en el año 2013 publicó una especial revisión (número 4) numerada 800-53, en la que se proporcionaba una aproximación más holística a la información referida a la seguridad y al manejo de los riesgos, proporcionando a las organizaciones privadas y públicas los conocimientos fundamentales sobre el reforzamiento de sus sistemas de seguridad y de los entornos donde sus sistemas estarían operando.
Basado en el principio estratégico de «Construirlo muy bien» (Build It Right), se analizan varios sistemas de control de seguridad, para la monitorización constante de información básica en tiempo real, que es esencial para los líderes experimentados en cuanto a la toma de decisiones basadas en un menor impacto de riesgos para sus negocios. Además, esta publicación especial ha sido ampliada para incluir ocho nuevas familias de control de privacidad basadas en los Principios de Práctica de Información Justa internacionalmente aceptados.
Bases de Datos Sanitarios
El anonimato de los pacientes respecto a sus datos clínicos es una variable que ha de protegerse en todo intercambio de datos sanitarios. El paciente acude solicitando ayuda para solventar o mitigar un asunto referido a su salud, sin que ello implique que desee ser conocido por su dolencia en la comunidad médica ni entre otros pacientes con similares dolencias, ni que desee ser mencionado o referido en algún lugar por su condición médica. Las pruebas sanitarias a las que se someta no conllevan ningún acuerdo implícito de intercambio de sus datos, a no ser que firme específicamente un documento consintiendo en dicho uso médico más general. Igual sucedería con los datos académicos respecto a los estudiantes, o para el personal de plantilla de una empresa, etc. En la actualidad existen programas informáticos desarrollados para garantizar los requerimientos del mantenimiento de autonomía, la privacidad y la confidencialidad de los pacientes que opten por compartir sus datos para las bases de datos de los investigadores.
Por ejemplo, el programa OTRIS (Open-access Translational Research Information Systems) permite el manejo y estudio de bases de datos clínicos obtenidos en laboratorios públicos y privados y otras fuentes de forma confidencial, conservando el complicado balance entre los aspectos éticos, legales y sociales. Además, estas bases de datos también son susceptibles de violaciones a la privacidad, aunque es posible mitigar estos ataques (Malin y cols., 2010). Por otro lado, el poner en común estos datos médicos numéricos de diferentes lugares y profesionales médicos, tendría la ventaja de aunar y normalizar los criterios médicos para evitar sesgos, falsos positivos o negativos, criterios médicos errados o fallos sanitarios, que se pondrían de manifiesto comparando las características médicas de los grupos de pacientes diagnosticados con el total de toda la población.
En lo referido a los datos genómicos y de todo tipo de información sanitaria protegida (PHI, protected health information), existe un alto nivel de protección en las llamadas «nubes biomédicas» (Biomedical Clouds) (Grossman y White, 2012). Éstas pueden contener una mezcla de datos, públicos algunos de ellos, otros restringidos, de manera que la protección de estas nubes ha de ajustarse a sus características específicas. El análisis de los datos se puede realizar dentro de la propia nube, sin necesidad de mover los datos, aunque podrían descargarse si así se requiere. En la nube ha de haber espacio y cabida para los nuevos datos que vayan incorporándose, ampliando así la fiabilidad de la información que pueda contrastarse en ese lugar e igualmente ha de ser posible inter-operar con otras nubes de datos en análisis más complejos e intercambiar datos entre ellas sin que suponga un coste extra (Grossman y White, 2012).
Las nuevas tecnologías están avanzando respecto al tratamiento de los datos personales, pero es necesario una mayor garantía de protección. En particular, la definición de dato personal, el reforzamiento de los sistemas y principios de encriptado (garantizando el anonimato de los datos personales de los pacientes hacia el personal sanitario) y la transferencia de datos entre nubes, serían los elementos a mejorar para una mayor garantía de protección (Molnár-Gábor y cols., 2017).
En el ámbito sanitario existe desde 1996 la HIPAA (Health Insurance Privacy and Accountability), que garantiza la privacidad y confidencialidad de los datos médicos mediante sofisticados protocolos. En el año 2009, en la política americana se amplió el concepto al HITECH (Health
Fuente: Cuadernos de Seguridad