Cada día más empresas e instituciones almacenan información de clientes y usuarios. Datos, por lo general, personales y confidenciales, sobre todo, los relacionados con la salud y las finanzas.
Las organizaciones deben extremar esfuerzos para mantener ese cúmulo de información a buen recaudo. Deben asegurarse de que nadie acceda a ella con fines diferentes a los de la organización. Esas bases de datos deben estar hechas a prueba de hackers, tanto internos como externos. Con frecuencia, es más difícil protegerse de los internos.
Las instituciones financieras están reguladas muy de cerca, lo cual incluye medidas de seguridad para proteger la información. Dicha seguridad debe ser auditada regularmente por empresas internas y externas. Los bancos, aseguradoras, fondos de inversión y puestos de bolsa saben que si divulgan, por error u otro motivo, la información de un cliente, además de las sanciones del regulador, van a perder al cliente.
Confidencialidad
Instituciones financieras sin competencia y sin regulación, como el Ministerio de Hacienda, carecen de incentivos para proteger los datos sobre los usuarios. Todos recordamos lo sucedido con la información tributaria del ministro de Hacienda y el director de la Tributación Directa hace ocho años. Hasta donde yo sé, nunca se pudo dar con la fuente de la divulgación indebida.
La información tributaria es confidencial, pero no es tan delicada como la relacionada con la salud. Tanto la Caja Costarricense de Seguro Social (CCSS) como clínicas y consultorios privados, mantienen expedientes altamente confidenciales. Recientemente, las aseguradoras –por lo menos el INS, que yo sepa– exigen los resultados de todo examen como requisito para pagar una póliza de gastos médicos. Esos expedientes contienen, no solo el hecho de que un examen se efectuó, sino también el resultado. Documentos, sin duda, delicados, que nadie, en su sano juicio, almacenaría en papel porque les resultaría totalmente inservible.
Conforme se digitaliza la información, se vuelve posible la divulgación masiva de datos. Los documentos en papel son más fáciles de divulgar, pero en digital, mal protegidos, proveen la oportunidad de una violación de la seguridad y la confidencialidad, con el agravante de la posible impunidad del delincuente.
Estudio
El nuevo estudio Red 506 que lleva a cabo el semanario El Financiero, acerca del comportamiento de los internautas nacionales, en lugar de una encuesta, es un análisis de todas las transacciones de una operadora de servicios de telefonía celular. Dejando de lado el sesgo introducido al no incluir el comportamiento cuando estamos conectados a la red fija, ese estudio demuestra lo detallado y profundo de los datos nuestros que poseen las operadoras telefónicas.
Para el estudio, las personas analizadas fueron anonimizadas, pero esas bases de datos albergan vida y milagros de todos nosotros. Saben dónde estamos, adónde vamos, con quién hablamos, qué redes frecuentamos, cada cuánto posteamos y un largo etcétera. ¿Confiamos en el regulador telefónico igual que en los reguladores financieros? ¿Son igual de rigurosas las auditorías de seguridad? Los clientes merecemos saber.
Para complicar un poco más la trama, el Ministerio de Hacienda recibe copia de todas las facturas electrónicas y en ellas se consigna nombre, cédula y correo electrónico del cliente. La base de datos de facturas electrónicas tiene la información de cada cuánto vamos al doctor, ahí se consigna quiénes van a cuál psiquiatra, además de cuánto pagan.
¿Es realmente necesario que el Ministerio tenga datos tan sensibles y detallados? Para controlar los tributos de los profesionales liberales, ¿se necesita la información de los clientes?
Hacienda nunca se ha distinguido por la seguridad con que maneja los datos, tanto que la ley que creó la base de datos de accionistas de empresas le asignó al Banco Central la responsabilidad de administrarla.
Auditorías constantes
Las instituciones que procesan o almacenan conocimiento sobre las personas deben someterse a auditorías de seguridad de la información de manera regular. Los resultados de dichas auditorías deben publicarse.
El daño causado por una posible infracción masiva a la seguridad de la información en una de nuestra instituciones sería enorme: puede venderse al mejor postor en la web oscura, publicarse información confidencial de cientos de miles de personas en las redes sociales o la divulgación maligna de datos puntuales de algún político o persona de interés público. Las posibilidades sobrepasan la imaginación.
Dejar la administración de la seguridad en manos de gente que no solo no contrata, sino que tampoco permite las pruebas de penetración, es irresponsable. Pensar que la Virgen de los Ángeles nos va a defender tampoco es muy buena idea.
Está claro que la seguridad 100 % infalible no es posible, pero lo mínimo que podemos esperar es un buen esfuerzo por mantener nuestros datos seguros. Que los mejores auditores revisen todas las medidas de seguridad y les pongan la firma, si creen que dicha seguridad es razonable.
Artículo publicado en el periódico La Nación
