Algunos beneficios de registrarse en nuestra revista:
- El registro te permite consultar todos los contenidos y archivos de Lawi desde nuestra página web y aplicaciones móviles, incluyendo la app de Substack.
- Registro (suscripción) gratis, en 1 solo paso.
- Sin publicidad ni ad tracking. Y puedes cancelar cuando quieras.
- Sin necesidad de recordar contraseñas: con un link ya podrás acceder a todos los contenidos.
- Valoramos tu tiempo: Recibirás sólo 1 número de la revista al mes, con un resumen de lo último, para que no te pierdas nada importante
- El contenido de este sitio es obra de 23 autores. Tu registro es una forma de sentirse valorados.
Políticas sobre Ciberseguridad o Seguridad Cibernética
Este elemento es una ampliación de las guías y los cursos de Lawi. Ofrece hechos, comentarios y análisis sobre este tema.
En inglés: Cyber Security Polices.Contenido Jurídico
La implementación de medidas de seguridad adecuadas será una ventaja a la hora de proteger a las organizaciones de acciones reglamentarias y litigios en las legislaciones sobre seguridad cibernética: ¿puede proporcionar un escudo defensivo?
Esta entrada proporciona una visión general de los desarrollos legales en seguridad cibernética y protección de datos en la Unión Europea y otras jurisdicciones, centrándose en las leyes clave de seguridad cibernética e instrumentos legales relacionados, incluidos los de protección de datos y servicios de pago.
Se proporciona un contexto adicional a través de información sobre cómo se desarrolla esta parte del derecho fuera de los marcos regulatorios, haciendo referencia al “Consenso de Opinión Profesional” sobre la seguridad cibernética, la jurisprudencia y el papel de los estándares profesionales y de la industria para la seguridad.
Con algunas leyes de seguridad cibernética destinadas a ser muy polémicas [como en el caso del Reino Unido], defender un marco de seguridad sólido se convertirá en una ventaja y las organizaciones requerirán asistencia de expertos para poner en práctica los asuntos.
Con un enfoque práctico, este texto tiene gran valor, creemos, para los profesionales y organizaciones legales. Abarca tanto las normas como su aplicación práctica, lo que ayuda a garantizar que los asesores (véase qué es, su concepto jurídico; y también su definición como “assessors” en derecho anglo-sajón, en inglés) y las organizaciones cuenten con políticas y procedimientos efectivos para hacer frente a la seguridad cibernética.
Los temas incluyen:
- Amenazas y vulnerabilidades
- Privacidad y seguridad en el lugar de trabajo y en el entorno construido
- Importancia de la política y orientación en las comunicaciones digitales
- Informes detallados de los especialistas de la industria
- Redes sociales y seguridad informática
- Derecho internacional e interacción entre Estados
- Seguridad de datos y clasificación
- Organizaciones de protección
- Seguridad cibernética: causa y cura
Perspectiva Política y Jurídica
La ciberseguridad como tema jurídico y político en la actualidad es similar al derecho y la política medioambientales en la década de 1970: un conjunto de cuestiones apremiantes y urgentes en la intersección entre la ciencia (para un examen del concepto, véase que es la ciencia y que es una ciencia física), el gobierno, los negocios y los asuntos internacionales, que implican una amplia gama de leyes e instituciones potenciales.
Al término de la guerra serbo-turca estalló la guerra entre Rusia y el Imperio Otomano, que dio lugar a la independencia de Serbia y Montenegro. En 1878, el Tratado Ruso-Turco de San Stefano creó una “Gran Bulgaria” como satélite de Rusia. En el Congreso de Berlín, sin embargo, Austria-Hungría y Gran Bretaña no aceptaron el tratado, impusieron su propia partición de los Balcanes y obligaron a Rusia a retirarse de los Balcanes.
España declara la Guerra a Estados Unidos
Exactamente 21 años más tarde, también un 24 de abril, España declara la guerra a Estados Unidos (descrito en el contenido sobre la guerra Hispano-estadounidense). Véase también:- Las causas de la guerra Hispano-estadounidense: El conflicto entre España y Cuba generó en Estados Unidos una fuerte reacción tanto por razones económicas como humanitarias.
- El origen de la guerra Hispano-estadounidense: Los orígenes del conflicto se encuentran en la lucha por la independencia cubana y en los intereses económicos que Estados Unidos tenía en el Caribe.
- Las consecuencias de la guerra Hispano-estadounidense: Esta guerra significó el surgimiento de Estados Unidos como potencia mundial, dotada de sus propias colonias en ultramar y de un papel importante en la geopolítica mundial, mientras fue el punto de confirmación del declive español.
La idea esencial es proporcionar a los lectores un amplio aprecio por los actores, los incentivos (legales, financieros, etc.), y los objetivos políticos asociados con los aspectos defensivos y ofensivos de la ciberseguridad (en gran parte desde una perspectiva estadounidense).
Por defensiva se hace referencia a que un objetivo central de la “ciberseguridad” es minimizar el acceso no autorizado o la interrupción de los sistemas de información y datos.
Por ofensiva, hace referencia a que hay algunos contextos especializados (ejemplos incluyen la aplicación de la norma (generalmente por los organismos y autoridades públicas, incluido las fuerzas y cuerpos de seguridad y orden público), el espionaje, la acción encubierta, y el conflicto armado) en los cuales la política del gobierno de Estados Unidos apunta afirmativamente a permitir al menos algún grado de intrusión o interrupción.
La perspectiva defensiva
A. castigar a los atacantes
1. Cyber Crime: introducción
2. delitos cibernéticos: responder con juicios y demandas civiles
3. castigar APTs/Estados-nación?
B. alentar a las víctimas potenciales a proteger mejor sus sistemas 4. Ordenación de una mejor defensa del sector privado: regulación
5. motivar una mejor defensa del sector privado: litigios y seguros
6. posibilitar una mejor defensa: eliminar las barreras al intercambio de información y la investigación
7. conseguir que el gobierno se proteja mejor
C. gestión de las consecuencias
8. respondiendo a las brechas y redes de bots
9. defensa en el contexto de un “incidente cibernético significativo”
La perspectiva ofensiva
10. ¿debería el sector privado volver a hackear?
11. aplicación de la norma (generalmente por los organismos y autoridades públicas, incluido las fuerzas y cuerpos de seguridad y orden público) y técnicas de investigación en red
12. espionaje y acción encubierta
13. conflicto armado en el “dominio cibernético”
Autor: Williams
Normas
El secretario general de las Naciones Unidas, António Guterres, pidió en febrero de 2018 una acción global para minimizar el riesgo que supone la guerra electrónica para los civiles. Guterres expresó preocupación porque “no hay un esquema regulatorio para este tipo de guerra” y señaló que “no está claro de qué manera se le aplican la Convención de Ginebra o el derecho internacional humanitario”.
Diez años atrás, la ciberseguridad recibía poca atención como tema internacional.Si, Pero: Pero desde 2013, se la describe como la mayor amenaza que enfrenta Estados Unidos. Las cifras exactas son opinables, pero el “informe de seguimiento de ciberoperaciones” del Consejo de Relaciones Exteriores señala que desde 2005 hubo casi 200 ataques con patrocinio estatal de 18 países, de los que 20 ocurrieron en 2016.
- Pena de muerte a un rapero iraní que apoyó las protestas por Mahsa Amini
- Biden firma la ayuda de 95.000 millones de dólares para Ucrania, Israel y el Indo-Pacífico
- Amnistía Internacional alerta de la amenaza de la inteligencia artificial si no se regula
- Alemania retomará en breve la cooperación con la UNRWA
- El cielo de Atenas se tiñe de naranja por las nubes de polvo procedente del Sáhara
El término ciberseguridad se refiere a una amplia variedad de problemas que la pequeña comunidad de investigadores y programadores que desarrolló Internet en los años setenta y ochenta no tuvo muy en cuenta.Entre las Líneas En 1996, solo usaban Internet 36 millones de personas (cerca del 1% de la población mundial). A inicios de 2017 ya había 3700 millones de personas conectadas, casi la mitad de la población mundial.
Basado en la experiencia de varios autores, mis opiniones y recomendaciones se expresarán a continuación (o en otros lugares de esta plataforma, respecto a las características y el futuro de esta cuestión):
Autor: Cambó
En el Reino Unido
[rtbs name=”derecho-del-reino-unido”] En los años anteriores a 2018, la policía y los servicios de inteligencia del Reino Unido obtuvieron capacidades sustanciales para acceder y analizar información sobre personas que podrían representar una amenaza para la seguridad nacional o participar en actividades delictivas. Estas capacidades mejoradas se lograron mediante una combinación de la consolidación de las bases de datos existentes del sector público, la nueva legislación que obligó al sector privado a retener y poner a disposición la información personal y transaccional, y las nuevas tecnologías que permitieron que esta información se usara de manera efectiva. Se lograron avances medibles en la lucha contra el crimen en varios frentes, y los ciudadanos generalmente aprobaron las concesiones que tenían que hacer en términos de privacidad. Si bien los beneficios de que el gobierno lo sepa todo son ampliamente reconocidos, siguen existiendo preocupaciones sobre ciertos aspectos de la situación actual.Entre las Líneas En 2018, la confianza entre los individuos es baja, y muchos individuos y empresas creen que la responsabilidad de la seguridad recae principalmente en el estado y no en ellos mismos. Si bien está claro que no se han erradicado todas las vulnerabilidades, falta información confiable sobre la naturaleza y la escala de las que existen.Autor: Williams
Políticas sobre Ciberseguridad en la Empresa
Todas las empresas conectadas a Internet son vulnerables a los ataques cibernéticos. Y las pérdidas potenciales son importantes. El gigante de la venta al por menor Target, por ejemplo, estimó las pérdidas sufridas a causa de una filtración de datos en 2013 en más de 250 millones de dólares (unos 223 millones de euros). Es más, según un reciente estudio realizado por BAE Systems, entre 300 mánagers de empresas de servicios financieros, seguros y tecnológicas de Estados Unidos, el 85% de los encuestados citaron la pérdida de reputación como la consecuencia más grave de una filtración. (Tal vez sea de interés más investigación sobre el concepto). El 74% consideró las repercusiones legales como su segunda mayor preocupación.
La responsabilidad legal por una grieta de seguridad que afecta a los clientes corresponde directamente a la dirección de la empresa. Los ejecutivos tienen que saber personalmente cómo de fuertes son las defensas cibernéticas de su compañía. Conocer la respuesta prevista frente a un ataque o filtración. (Tal vez sea de interés más investigación sobre el concepto).
Puntualización
Sin embargo, según la encuesta, el 40% de las personas consultadas reconoció que no contaba con una idea clara de los protocolos de ciberseguridad de sus organizaciones. Esto debería servir como un toque de atención urgente para que los ejecutivos se tomen en serio la ciberseguridad dentro de la compañía.
Los ejecutivos deberían empezar por entender con qué protocolos cuentan, cuáles son sus limitaciones. Se cree que una evaluación anual de seguridad representa la mejor práctica para impedir las filtraciones. Si se hace bien, revelará el riesgo residual, el número y la escala de los posibles ataques. Si el riesgo residual es aceptable, una revisión anual puede ser suficiente.
Puntualización
Sin embargo, si la amenaza residual preocupa, una evaluación semestral o trimestral incluso podría no bastar. El debate ahora, claro está, es qué nivel de riesgo residual es aceptable para cada empresa.
En muchos sentidos, esta evaluación de riesgos refleja la nueva realidad de la ciberseguridad.Entre las Líneas En un mundo hiperconectado en constante evolución, el enfoque ha de ser dinámico en lugar de estático. Por ejemplo, un enfoque dinámico sería programar dos revisiones anuales con dos proveedores distintos y escalonarlas cada seis meses. Al hacerlo, una empresa puede reducir a la mitad el tiempo para detectar un ataque exitoso, en lugar de depender solo de una evaluación anual. Ampliar este modelo para contar con evaluaciones trimestrales o “a demanda” ante determinados eventos, o incluso comprobaciones aleatorias para amenazas conocidas, son otras alternativas.
Pero las revisiones y las evaluaciones no bastan. La mejor y más eficaz manera para que ejecutivos de primer nivel garanticen el cambio consiste en establecer una relación profesional sólida con el director de seguridad informática (CISO, por sus siglas en inglés).Entre las Líneas En la actualidad, las empresas recurren a los CISO para ayudar a los gestores a entender las amenazas cibernéticas e implementar los controles de seguridad adecuados a la vez que promocionar una cultura de defensa cibernética. Nuestra investigación encontró que nueve de cada 10 CISO están vinculados directamente al equipo más alto de dirección, la mitad de los cuales pertenece al equipo directivo. Fortalecer el papel del CISO para impulsar este cambio es una tendencia alentadora, pero los ejecutivos necesitan involucrarlos proactivamente si quieren lograr resultados reales en toda la organización.
Mientras que el CISO identificará riesgos y priorizará los protocolos de seguridad, les compete a los altos ejecutivos entender y promover los procedimientos por toda la empresa, llegar a los puntos más vulnerables frente a delincuentes cibernéticos. Los equipos de dirección deben apoyar las evaluaciones de riesgos y estudiar los resultados junto al CISO. La compañía debería incluir al CISO en cada iniciativa de negocio nueva e integrar la seguridad desde el principio en vez de añadirla después. De hecho, la mejor práctica es poner al CISO a trabajar con cada equipo para determinar la manera de cumplir los objetivos de la manera más segura. Después hay que lograr que esos equipos sean responsables de los riesgos y fallos identificados por el CISO.
Es más, los ejecutivos deberían promocionar la importancia de la seguridad dentro de la empresa y mejorar la formación de los empleados.
Detalles
Las empresas deberían formar en ciberseguridad a los empleados de nivel medio y a los recién llegados, con mayor frecuencia para reforzar las defensas. Según nuestra investigación, solo el 38% de las empresas realiza formaciones cada trimestre o semestre; las demás lo hacen anualmente o incluso cada más tiempo.
Otros Elementos
Además, en la mayor parte de los casos, solo se logra que los empleados detecten, un mes después, ataques cibernéticos en el 25% de los casos. Los ejecutivos deberían convertir en una prioridad, mejorar estos programas de aprendizaje y reducir las probabilidades de un ataque exitoso pasado el mes. La formación debería incluir intercambio de papeles, guiones que imiten los ataques reales y pruebas para comprobar su eficacia.
Defenderse de los ataques se ha convertido en una parte indispensable de las tareas de los altos ejecutivos. Ya no basta con dejar la ciberseguridad para las evaluaciones anuales o un único CISO.
Detalles
Los altos ejecutivos tienen que entender qué procedimientos existen y asegurarse de que todas las personas de la organización entiendan los protocolos y asuman su responsabilidad. Pero, sobre todo, han de fomentar la relación adecuada con el CISO para que la seguridad forme parte de cada iniciativa de la empresa, para que no ocurra de forma tardía.
Fuente: HBR
▷ Esperamos que haya sido de utilidad. Si conoce a alguien que pueda estar interesado en este tema, por favor comparta con él/ella este contenido. Es la mejor forma de ayudar al Proyecto Lawi.
En la actualidad, existe un creciente temor mundial al terrorismo, y muchos gobiernos están bajo una enorme presión para evitar ataques terroristas. Esto brinda a los gobiernos una justificación para capturar información personal y aumentar la vigilancia de las actividades en línea de sus ciudadanos, lo que plantea la cuestión de si las personas deben renunciar a su privacidad a cambio de la seguridad nacional. ¿Cómo podemos, como sociedad, encontrar un equilibrio entre estas dos necesidades?
Hay dos formas en que mi organización aborda este problema. Primero, la ruta tradicional: hace tiempo que equilibramos los derechos y las demandas de poder del gobierno y, en la mayoría de los casos, nuestro argumento se enmarca en forma de derechos constitucionales. Hay luchas por los valores constitucionales y, en última instancia, en los tribunales, por la Cuarta Enmienda en los Estados Unidos, el artículo 8 del Convenio Europeo de Derechos Humanos y cláusulas similares en las constituciones de todo el mundo que se refieren a la protección del hogar, el espacio personal, Vida privada y vida familiar. En ese sentido, nunca hemos abandonado el cálculo que siempre debe realizarse entre los derechos de las personas y las formas en que los gobiernos intentan interferir con esos derechos, aparte de en tiempos de increíble coacción o iliberalismo. Como resultado,
Específicamente, la naturaleza del debate y el entorno en el que se está produciendo ese debate son muy diferentes a los de hace unos años. En el pasado, si el gobierno quería entrometerse en tu privacidad, tendría que seguirte o preguntarle a la gente sobre ti. Ahora, sus capacidades han crecido tan dramáticamente que un gobierno puede espiar a una nación entera en un momento en el tiempo. Puede usar algoritmos para discernir si las personas están de cierto humor para identificar a todas las personas enojadas y centrarse en sus comunicaciones y actividades. Puede comprometer un dispositivo, lo que significa que puede encender el micrófono o la cámara de su computadora portátil o teléfono y monitorear todo lo que esté sucediendo alrededor de esos dispositivos. Estas capacidades no tienen precedentes y, como resultado, es posible que se deban diseñar nuevas reglas.
Tenemos el ejemplo de Apple contra el FBI hace apenas un año, donde el FBI estaba dentro de sus derechos y argumentaba que, por razones de seguridad nacional, necesitaba acceso a un teléfono. Pero Apple, dentro de sus derechos, estaba diciendo que el FBI estaba buscando más que solo acceso a este teléfono singular, y que en realidad quería acceso potencial a cualquier teléfono. Esto requeriría que Apple deshaga toda la protección y seguridad que ha creado para su dispositivo, y Apple dijo que era un precio demasiado alto para pagar, porque el potencial de abuso y mal uso era demasiado alto: los clientes de Apple se volverían vulnerables, y hay personas que podrían aprovechar esa vulnerabilidad si se les da la oportunidad.
Este es el cálculo que tenemos que hacer cada vez más: a medida que los gobiernos defienden la seguridad nacional, cada vez más abogan por una disminución de la seguridad de nuestros dispositivos, nuestra infraestructura y nuestros servicios. En particular, a medida que nuestra infraestructura física adquiere una naturaleza más digital, los gobiernos exigirán acceso a nuestros datos, lo que eventualmente chocará con nuestra demanda por la seguridad de esta infraestructura.
Algunos consideran que la tecnología actualmente está avanzando a un ritmo rápido y continuará haciéndolo en el futuro previsible. Sin embargo, las leyes a menudo pueden tomar meses para redactar y promulgar. A la luz de esto, ¿cómo puede el gobierno mantenerse al día con los avances tecnológicos al redactar una legislación para regularlo?.
Es extraño: cuando los gobiernos quieren poderes legales para hacer vigilancia, la ley se mueve exactamente tan rápido como lo desean, pero cuando se les pide que creen leyes para proteger nuestros derechos, a menudo afirman que la ley es lenta y que La acción llevará algún tiempo. Entonces, en realidad no compro el argumento de que la ley se mueve lentamente. Creo que si logran que las mentes más brillantes del planeta se sienten y se pregunten cómo podrían crear un régimen de protección legal para el individuo, todos convergerán en un sistema que no está muy lejos del que tenemos hoy. o de las ideas que existen en muchas leyes ahora. Lo que nos falta no es la capacidad de la ley para actuar lo suficientemente rápido. Es la capacidad del legislador y el ejecutivo de presionar para que la ley se mueva rápidamente.
Sobre qué tipo de leyes que se relacionan específicamente con la tecnología creen que aún deben ser aprobadas para garantizar la privacidad en la era digital, primero permítame establecer la separación entre vigilancia y privacidad. En el ámbito de la vigilancia, debemos dejar de permitir que los gobiernos definan cuándo deben buscar la ley y cuándo no. Por ejemplo, cuando el gobierno quiere que una compañía cumpla con nuevos poderes, eventualmente estará de acuerdo en que se requiere la ley, porque esa compañía podría tener abogados que se negarán a tomar medidas sin una base legal. Entonces, el gobierno encontrará el imperativo de redactar una ley.
Sin embargo, hay muchos dominios en los que los gobiernos simplemente toman el poder por sí mismos y se basan en opiniones legales secretas sobre si sus acciones se adhieren a las leyes existentes y si son constitucionales. Un buen ejemplo de esto es: ¿debería permitirse al FBI hackear su computadora? Ahora, en ningún momento el gobierno le ha pedido al Congreso que legisle. De hecho, cada vez que surge un caso relacionado con esta pregunta en los tribunales, el gobierno hace todo lo posible para cerrar un proceso legal justo a su alrededor. Este es un poder que el gobierno preferiría usar en secreto, sin cargas legales.
Por lo tanto, necesitamos nuevas leyes que regulen cómo y cuándo los gobiernos deben llevar a cabo la vigilancia en la era moderna. Este tipo de vigilancia no consiste simplemente en llamar a la puerta con una orden judicial; ni siquiera consiste en derribar la puerta con una orden judicial, que es la forma en que la mayoría de nuestras leyes la tratan actualmente. Es la capacidad de monitorear una nación entera en un momento en el tiempo. Es la capacidad de poner su propia tecnología en su contra sin que usted sepa que esto ocurrió. Ese es un poder increíble que necesita regulación. Necesitamos aprobar leyes que describan muy claramente el poder que poseen los gobiernos y cómo debe ser contenido.
Ahora, Estados Unidos está bastante avanzado en el debate legislativo sobre la vigilancia. Sin embargo, está muy atrasado en la protección de la privacidad y de los derechos de las personas. Lo que Estados Unidos necesita más que nada es aprobar una ley o establecer un marco legal que garantice que las personas tengan derechos a la privacidad de sus datos, ya sea que residan en entidades gubernamentales o en una industria. Lo que finalmente estamos viendo, particularmente con las preocupaciones sobre la vigilancia de la inmigración en los Estados Unidos, es el reconocimiento de que el poder de vigilancia del gobierno de los Estados Unidos no comienza ni termina con los datos que posee. En realidad, se extiende a los datos que poseen las industrias, a los que el gobierno de los Estados Unidos podría acceder. Igualmente, Estas compañías deben aprender a cumplir con las reglas que garantizan que los derechos de las personas se mantengan en todo momento. Este régimen de leyes que se aplican para proteger los derechos de las personas se llama ley de protección de datos. Estas leyes aseguran que, sin importar dónde residan sus datos o quién los controle, esos datos siempre son suyos y usted conserva los derechos sobre ellos.
Algunos observadores consideran que la privacidad de las personas puede ser violada sin su conocimiento, ya que es posible que no se les notifique cuando alguien está accediendo a su información. ¿Cómo pueden las personas luchar por sus derechos de privacidad cuando ni siquiera saben que se están violando sus derechos?
La gente todavía piensa que el cálculo de la privacidad y el cálculo de la vigilancia todavía se realizan de alguna manera por parte de la persona facultada que comparte información con las empresas a sabiendas y voluntariamente o se ve obligada a proporcionar información a entidades gubernamentales. Los datos que estas empresas son gubernamentales realmente míos (los datos que procesan para ingresar a su cerebro, para comprender sus comportamientos y, en última instancia, para tomar decisiones sobre usted) consisten cada vez más en los datos que cede voluntariamente y con conocimiento. En su lugar, consiste en datos que se toman de usted sin su conocimiento y consentimiento o se disciernen sobre usted sin su participación.
Como resultado, no tenemos conocimiento de esos procesos ni manera de controlar esa información, lo que socava la premisa misma de nuestra participación en una democracia abierta o un mercado abierto. Siempre creímos que éramos ciudadanos empoderados y consumidores empoderados, cuando en realidad, solo somos los sujetos de estos sistemas masivos que están tomando nuestros datos sin siquiera preguntarnos. Lo más triste es que puede haber habido un momento en el que podría decirte que uses un producto o sistema en particular que te hubiera permitido ejercer cierto control. Sin embargo, ahora estamos más allá de ese punto, porque las tecnologías que utilizamos y que las personas que nos rodean utilizan, por su naturaleza, acumulan grandes cantidades de información.
Por ejemplo, recientemente trabajamos en el caso de la ciudad de Naperville, que ha ordenado el despliegue de medidores inteligentes para todos en la ciudad. Ahora, las personas no tienen conocimiento ni control sobre los datos que se les están quitando como resultado de esta ley. Esto es solo una señal del futuro: el futuro incluirá ciudades inteligentes, en las cuales las cámaras serán reemplazadas por sensores que controlarán los automóviles, las personas y todas las transacciones. En tal ciudad, no podrá negarse a dar su consentimiento ni a controlar la información que proporciona. Una ciudad como esta solo tomará toda la información que pueda reunir y la usará para tomar decisiones sobre quién debería tener acceso a qué servicios y quién debería tener prioridad cuando se trata del uso de carreteras o electricidad. No tendremos manera de ejercer control sobre esto.
Lo único que podemos hacer ahora mismo es indignarnos por esto. Necesitamos afirmar que estos no son los sistemas que queremos y esta no es la visión de la tecnología que imaginamos para nuestro futuro. Si le preguntas a la gente qué es lo que quieren de la tecnología, siempre dirán que quieren que la vida sea más fácil, pero que quieren tener el control. No estamos recibiendo ninguno.
¿Qué responsabilidad tienen las empresas privadas para garantizar la protección de la información de sus clientes? ¿Tienen derecho a negarse a proporcionar esta información al gobierno?
No, desafortunadamente, no lo hacen. Bajo el estado constitucional actual de los datos que residen en una empresa, ni siquiera se requiere un proceso de autorización. Es más fácil para el gobierno acudir a una empresa y exigir toda su información médica que dirigirse a usted o a su médico. Es más fácil para el gobierno averiguar todo lo que lee en línea que ir a su casa y ver qué periódicos lee. Y, por lo tanto, no hay absolutamente ninguna protección útil para las personas cuando se trata de datos que residen en las empresas. El pensamiento en torno a esto se formó en la década de 1970 y nunca se ha actualizado porque, nuevamente, los gobiernos no tienen prisa por actualizarlo. Saben que si comienzan a introducir leyes al respecto, las personas exigirán una mayor protección, por lo que prefieren no tener este debate.
Está la cuestión de qué hacen las empresas con sus datos. En su mayor parte, pensamos que las empresas solo están utilizando nuestros datos para ayudarnos a ser clientes y hacernos más felices. Pero la realidad de cómo vemos que los datos se utilizan cada vez más es que, en primer lugar, las empresas están muy felices de obtener sus datos vendiéndolos a otras partes. Así que no lo ven como tus datos; Lo tratan como sus datos, de los cuales pueden ganar dinero. En segundo lugar, extraen esta información y la reúnen con otra información para tomar decisiones sobre usted: tratan de determinar qué tipo de persona es usted, qué tipo de riqueza tiene, quiénes son sus amigos y qué tipo de publicidad deben ser para usted. . Pero se vuelve mucho más aterrador cuando comienzan a determinar si usted obtiene acceso a un producto o los términos bajo los cuales obtiene acceso a él. Por ejemplo,
Eso es en última instancia, a donde la industria de datos está llegando. Las empresas no están acumulando datos solo porque pueden venderlos o porque creen que es divertido tenerlos. Quieren entenderte para que puedan manipularte. Ese es todo el modelo de publicidad en línea, es decir, quieren modelarte, entenderte y cambiar tu comportamiento para que realices una compra. Y eso es solo para publicidad. También hemos visto cómo se usan los datos cuando se trata de influir en las elecciones. Quieren entenderte para anunciarte y empujarte a votar de cierta manera. No pasará mucho tiempo antes de que encuentren formas de manipular sus acciones, comportamientos y creencias. Ese es el último problema en juego.
Esta entrada, y algunos de sus comentarios, ofrece una visión incomparable en el desarrollo de la seguridad cibernética y las contramedidas contra los ataques cibernéticos. Entiendo que es tan útil para los profesionales de la ley como lo será para los DPO y los profesionales de la seguridad cibernética mientras buscan comprender los últimos avances en seguridad cibernética y protección de datos en la Unión Europea y otros Estados, como Alemania o el Reino Unido, y busque crear marcos de seguridad robustos que sean tan esenciales si quieren ser competitivos e influyentes en un panorama tecnológico en constante cambio.
Cabe hacer una breve referencia al “lado oscuro” del problema, a saber, que no todos los actores internacionales son buenos socios para el intercambio de información sobre amenazas cibernéticas y vulnerabilidades. Como reportó el New York Times, la firma de seguridad informática, Symantec, está disolviendo su alianza con la firma china Huawei. La razón, como era de esperar, es que la conexión entre las dos compañías fue vista por Symantec como una barrera a sus propias ambiciones a nivel nacional. Incluso en ausencia de legislación, el Poder Ejecutivo está avanzando para ampliar el intercambio de información clasificada sobre amenazas cibernéticas con empresas nacionales. Como informa el Times, “Symantec temía que la alianza con la empresa china le impidiera obtener información clasificada del gobierno de los Estados Unidos sobre las amenazas cibernéticas”. Huawei niega que tenga una afiliación con el gobierno chino, pero parece que la actividad de espionaje ampliamente percibida en China está comenzando a tener efectos prácticos.
En cualquier caso, el episodio ilumina parte del problema de compartir información clasificada sobre amenazas: ¿en quién confías? Ese es un problema del lado interno y será un desafío aún mayor si se consideran los aspectos internacionales del intercambio de información sobre amenazas cibernéticas.