Como
usuario y consumidor de servicios y/o productos, asumo que son seguros y que
mis datos están a salvo. Esto debería ser así, ¿pero se cumple? Bueno, desde
luego que hay muchas empresas en el mundo, pero quién no ha oído hablar de la
fuga de datos de Facebook (caso de la consultora Cambridge Analytics), Ashley Madinson, …
La
gente cada día está más concienciada y preocupada por sus datos, por
consiguiente, las empresas que se toman en serio la protección de datos
crean confianza. Por ello, implementar unas medidas sólidas de protección de
datos pueden constituir una ventaja competitiva.
Cuando hablamos de Privacy
by Design nos referimos precisamente al enfoque de incluir la privacidad y
protección de datos como un requisito fundamental en nuestros desarrollos, y no
como un complemento o característica adicional de éstos, sin importar su
naturaleza (desarrollos internos, externos, de software, de hardware, …). Esto
implica que desde el mismo momento en que se plantea un desarrollo, y a lo
largo de todo su ciclo de vida, deben adoptarse medidas que garanticen de forma
proactiva el respeto por la privacidad de los usuarios y que permitan
incorporar otros elementos fundamentales como:
- Los principios de protección de datos
- Los derechos de los usuarios
- Los requisitos destinados a cumplir con el reglamento europeo de protección de datos (GDPR, por sus siglas en inglés).
Estrechamente relacionado con el punto anterior, Privacy by Default se centra en proporcionar el mayor grado de
privacidad posible para los usuarios de manera predeterminada, de modo que, si
éstos no llevan a cabo ninguna acción sobre sus datos, estén expuestos a la
configuración de privacidad más estricta disponible. Del mismo modo, los
desarrollos deberán utilizar de forma predeterminada únicamente aquellos datos que
sean estrictamente necesarios para alcanzar la finalidad para la que han sido
creados, y durante el tiempo imprescindible, evitando así el tratamiento de
datos “por si acaso” o durante más tiempo del requerido.
Como se
ve en ambos puntos, para garantizar la protección de los datos, es necesario
tener en cuenta los enfoques anteriores en cada fase de los desarrollos, no
solo cuando estamos en producción o cuando alguien lo pida. A continuación, centrándonos
en la parte que nos atañe, desarrollo de
software, se facilita un diagrama con cada una de las fases a tener en
cuenta:
No
vamos a entrar en detalle en cada fase, cada organización es un mundo, sino que
se va a intentar dar una visión global sobre qué tareas se pueden llevar a cabo
para cumplir con lo explicado arriba y qué objetivos se buscan.
- Formación: se debe definir la formación que deberían llevar a cabo los empleados, teniendo en cuenta las funciones que realizan dentro de la empresa. Se busca que los empleados comprendan cómo llevar a cabo la protección de datos y la seguridad de la información y que tengan clara la metodología a usar, con el objetivo de asegurar que todos dentro de la organización entiendan tanto la necesidad, como los riesgos asociados a la protección y seguridad de datos. Esta fase es crucial, ya que, si los componentes del equipo no tienen los conocimientos necesarios, se convertirá en un auténtico fracaso.
- Requisitos: se deben describir desde el primer momento los requisitos, tanto funcionales, como no funcionales, que estén relacionados con la protección de datos y la seguridad de la información para el software que se va a crear.
- Diseño: se debe garantiza que los requisitos anteriores están reflejados en el diseño, logrando reducir la superficie de ataque.
- Implementación: se deben implementar los requisitos dirigidos a la protección de los datos, para conseguir tener un código más robusto y seguro.
- Pruebas: se debe validar que los requisitos de seguridad se han implementado correctamente. ¡Y que el software no cuenta con vulnerabilidades conocidas!
- Despliegue: realizar una última y completa revisión en materia de seguridad es más que recomendable. No olvidemos que es necesario planificar cómo manejar los incidentes que puedan surgir una vez el software es puesto en producción. Recordad, la seguridad al 100% no existe, pero si no sabemos cómo actuar ante un fallo o ataque, mal nos va a ir. Además, existe la necesidad de definir procedimientos para futuras actualizaciones.
- Mantenimiento: en esta fase se va a llevar a cabo la respuesta ante incidentes que se definió antes de la puesta en producción del software, por ello, es necesario crear un equipo que sepa responder a un incidente y que conozca el procedimiento de actualización, para así poder parchear el software de manera segura y eficaz.
Es importante
recordar que la pro-actividad es esencial, además, como en la vida misma, ¡mejor
prevenir que curar!
Como
conclusión, la privacidad y seguridad de los datos de los clientes no debe ser
ignorada y es una necesidad tenerlo en cuenta desde un primer momento, ya sea
por conseguir una diferenciación en el mercado, y si eso no te basta, para
evitar sanciones por no cumplir con las normativas existentes.
Para
terminar, dar las gracias por la idea del artículo a Jaume Soler y por la colaboración a la hora de escribir este post a
Paula González.
Entradas
No hay comentarios:
Publicar un comentario