Claves para una certificación en privacidad
Por Renato Aquilino Pujol. Vicepresidente de la Asociación Profesional Española de Privacidad (APEP).
Es necesaria una certificación específica en Privacidad, pero no sirve una acreditación generalista que mezcle los diferentes roles en un “totum revolutum”, sino que debe acreditar profesionales que, siendo perfectamente capaces de integrarse en equipos multidisciplinares, desplieguen, mantengan y perfeccionen sus respectivas especializaciones, las cuales deben estar claramente reconocidas en la certificación.
1. Razones para la creación de una certificación
La creación de una certificación, en general, viene determinada por unas necesidades de mercado respecto a la acreditación de unos conocimientos y experiencia en determinadas áreas, y su desarrollo, consolidación y evolución se establecen cuando ese mercado reconoce la certificación y concede a sus poseedores unas ventajas competitivas respecto a quienes no la poseen. Este planteamiento es la base para todas las iniciativas en este sentido y su éxito o fracaso viene determinado por el parámetro “valor de mercado” que sea capaz de conseguir una certificación, en muchas ocasiones directamente relacionado con el posicionamiento del propio producto y/o servicio que le sustenta.
2. Certificaciones en productos y servicios / conceptos
Históricamente, las certificaciones vinculadas a productos han sufrido una degradación de su valor mayor que las vinculadas a servicios, ya que, en este último caso, están asociadas a conceptos (Seguridad, Auditoría) y no a determinadas tecnologías y/o marcas cuya evolución está afectada por múltiples factores comerciales, técnicos, obsolescencia, etc. A pesar de estos condicionantes, existen certificaciones relacionadas con productos / marcas que han conseguido y mantenido un gran valor en el mercado (Cisco, Microsoft, Oracle, etc.), suponiendo para estas Empresas una fuente de ingresos, prestigio y reconocimiento a sus tecnologías, actuando en sinergia con sus estrategias comerciales.
En el caso de las certificaciones basadas en servicios, y con el foco limitado a las áreas de trabajo próximas, la proliferación de iniciativas ha venido marcada por el crecimiento exponencial de las denominadas “Nuevas Tecnologías” en el contexto de la Sociedad de la Información. Las capacidades de obtención, almacenamiento, análisis, procesamiento, intercambio y distribución de información permiten actualmente no solo la globalización del conocimiento en sus aspectos positivos sino también usos ilegales / alegales de estas capacidades, derivando todo ello en una colección de regulaciones, formales o informales, que intentan ordenar este escenario, creciente, cambiante y, en muchas ocasiones, muy por delante de las normas que pretenden proteger derechos individuales y colectivos que pueden verse afectados. Entre estos derechos fundamentales comprometidos se encuentra la Privacidad.
3. Regulaciones sobre Privacidad
Como derecho fundamental de la persona, la Privacidad es objeto de numerosos marcos normativos formales que pretenden establecer una serie de medidas tendentes a protegerlo. A falta de una regulación universal común, ideal pero utópica y poco realista como objetivo a conseguir, existen numerosos marcos, cuya enumeración no es objeto de este documento, en los que se plasman unos preceptos jurídicos, organizativos y técnicos diseñados para encauzar el derecho a la Privacidad dentro del entorno de la Sociedad Global actual. La dispersión normativa es un serio inhibidor para su efectiva protección al establecer diferentes grados, criterios y medidas de protección sobre un mismo derecho, y es un hecho incuestionable que la información fluye a nivel global, de forma independiente y adoptando nuevas vías de relación entre personas (las redes sociales son un paradigma) que muestran las carencias de los modelos de protección actuales y sitúan la realidad muy por delante de los marcos que la pretenden gestionar.
Las iniciativas de la Unión Europea constituyen el escenario que marca las equivalentes en España, y la dispersión mencionada es recogida en las directrices sobre “Transferencias internaciones de datos”.
Las regulaciones sobre Privacidad, desde la primitiva LORTAD de 1992, se han tangibilizado en forma de leyes específicas (vigente la Ley 15/1999 de 13 de diciembre), reglamento (vigente el Real Decreto 1720/2007 de 22 de diciembre), directivas, guías y una amplísima jurisprudencia sobre la materia. Se han creado las “Agencias de Protección de Datos”, a nivel nacional y en algunas Comunidades Autónomas y se ha conseguido instaurar (muchas veces publicitando incidentes serios acaecidos) una conciencia sobre este derecho.
Ahora bien, han sido desarrolladas también otras iniciativas legislativas que fomentan y alimentan el concepto de Sociedad de la Información. Así, la Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (Ley 11/2007 de 22 de junio) genera una amplísima colección de derechos a los Ciudadanos en todas las interacciones que puedan desarrollar con las Administraciones Públicas y, como no podía ser de otra forma, hace mención explícita a la Ley 15/1999 como referencial de protección de la privacidad. Los sucesivos desarrollos relacionados, como los Esquemas Nacionales de Seguridad e Interoperabilidad (RD 3/2010 y RD 4/2010 respectivamente, ambos de 8 de enero), inciden nuevamente en el alineamiento con la Ley 15/1999 y sus desarrollos, con el mismo objetivo.
Más genéricas, la ley de Firma Electrónica (Ley 56/2003 de 16 de diciembre), la ley de Impulso de la Sociedad de la Información (Ley 56/2007 de 28 de diciembre), las modificaciones y ampliaciones de otras leyes para recoger las modalidades de transacción electrónica y concederles validez jurídica, el continuo crecimiento del comercio electrónico y las sucesivas regulaciones que le afectan, incluyendo un marco específico de partida (Ley 34/2002 de 11 de julio de servicios de la Sociedad de la Información y Comercio Electrónico) hacen que la colección de actividades sociales, comerciales y de función pública donde la privacidad sea explicita e implícitamente referenciada en marcos normativos sea cada vez mayor y adquiera proporciones tales que justifican completamente la necesidad de especialistas en la materia.
4. Perfiles profesionales sobre Privacidad
La existencia de estos marcos normativos ya deja muy clara la necesidad de profesionales especializados en el marco jurídico, y es una realidad la existencia de numerosos despachos profesionales donde la Privacidad es parte fundamental de su modelo de negocio.
Ahora bien, todos los marcos normativos mencionados anteriormente (y la enumeración no es exhaustiva) contienen referencias a cuestiones técnicas que, en numerosas ocasiones, constituyen parte fundamental del núcleo del proyecto y elementos críticos para conseguir un alineamiento efectivo con dichos marcos.
El éxito de un “proyecto sobre Privacidad” pasa indefectiblemente por la composición de un equipo de trabajo donde, adecuadamente integrados, desarrollen sus actividades perfiles jurídicos, organizativos y técnicos, dentro de un marco colaborativo donde los criterios jurídicos deriven en una serie de actuaciones que consigan implementar un conjunto de controles técnicos (y organizativos) que, en un entorno sometido a permanente evolución como el relacionado con los sistemas de información de la Organización objeto del proyecto, permitan acreditar el cumplimiento con los preceptos de “protección de datos de carácter personal” que contienen.
La carencia de alguno estos perfiles, su inadecuada formación y la falta de integración del equipo han sido factores clave en las causas de incidentes graves en este sentido. Desde un punto de vista práctico, no es en absoluto trivial diseñar, implementar, mantener y evolucionar una estructura de controles plenamente alineada con el Título VIII del RD 1720/2007, y la mejor prueba de esta afirmación, desgraciadamente, la constituye el bajo porcentaje de Organizaciones, públicas y privadas, que disponen de un Documento de Seguridad donde los procedimientos y controles exigibles se encuentran adecuadamente desplegados y gestionados.
Los profesionales de la Privacidad que intervienen en las actividades técnicas suelen buscar la acreditación de sus conocimientos mediante certificaciones relacionadas con la Seguridad de Sistemas de Información y sus marcos de referencia generalmente aceptados, como las normas ISO/IEC 27k. Asimismo, organizaciones como ISACA (Information Systems Audit and Control Association) están teniendo un considerable éxito en sus propuestas de certificación sobre funciones en Seguridad y Gobierno TIC (CISA Certified Information Systems Auditor, CISM Certified Information Security Manager, CGEIT Certified in the Governance of Enterprise IT, CRISC Certified in Risk and Information Systems Control), siendo ya muy habitual ver las mismas entre los requisitos del personal implicado en proyectos, ofertas de trabajo, etc.
Ahora bien, mientras que las normas de referencia y de “buenas prácticas” tratan el tema de la privacidad (por ejemplo, dentro del dominio 15 de la norma ISO/IEC 27002:2005), existen muy graves carencias respecto al contexto jurídico y organizativo sobre el que desarrollar sus actividades en un proyecto de esta naturaleza, lo cual contrasta sobremanera con la importancia que dichas actuaciones tienen en el éxito del proyecto y comprometen seriamente el mismo. Esta falta de especialización afecta seriamente a la integración y cohesión del equipo de trabajo, ya que la necesaria comunicación entre los perfiles jurídico - organizativos y los técnicos queda en muchas ocasiones limitada por este inhibidor.
Eso sí, a la inversa existe el mismo problema. La integración pretendida no solo consiste en que los perfiles técnicos conozcan aspectos jurídicos sino también que los perfiles jurídicos y organizativos conozcan también los aspectos técnicos fundamentales de un proyecto sobre Privacidad, de estos conocimientos cruzados se derivan sinergias muy importantes que redundan en beneficio de la calidad del proyecto y, en consecuencia, facilitan el éxito del mismo.
Contenido Completo en Madrid.org
Es necesaria una certificación específica en Privacidad, pero no sirve una acreditación generalista que mezcle los diferentes roles en un “totum revolutum”, sino que debe acreditar profesionales que, siendo perfectamente capaces de integrarse en equipos multidisciplinares, desplieguen, mantengan y perfeccionen sus respectivas especializaciones, las cuales deben estar claramente reconocidas en la certificación.
1. Razones para la creación de una certificación
La creación de una certificación, en general, viene determinada por unas necesidades de mercado respecto a la acreditación de unos conocimientos y experiencia en determinadas áreas, y su desarrollo, consolidación y evolución se establecen cuando ese mercado reconoce la certificación y concede a sus poseedores unas ventajas competitivas respecto a quienes no la poseen. Este planteamiento es la base para todas las iniciativas en este sentido y su éxito o fracaso viene determinado por el parámetro “valor de mercado” que sea capaz de conseguir una certificación, en muchas ocasiones directamente relacionado con el posicionamiento del propio producto y/o servicio que le sustenta.
2. Certificaciones en productos y servicios / conceptos
Históricamente, las certificaciones vinculadas a productos han sufrido una degradación de su valor mayor que las vinculadas a servicios, ya que, en este último caso, están asociadas a conceptos (Seguridad, Auditoría) y no a determinadas tecnologías y/o marcas cuya evolución está afectada por múltiples factores comerciales, técnicos, obsolescencia, etc. A pesar de estos condicionantes, existen certificaciones relacionadas con productos / marcas que han conseguido y mantenido un gran valor en el mercado (Cisco, Microsoft, Oracle, etc.), suponiendo para estas Empresas una fuente de ingresos, prestigio y reconocimiento a sus tecnologías, actuando en sinergia con sus estrategias comerciales.
En el caso de las certificaciones basadas en servicios, y con el foco limitado a las áreas de trabajo próximas, la proliferación de iniciativas ha venido marcada por el crecimiento exponencial de las denominadas “Nuevas Tecnologías” en el contexto de la Sociedad de la Información. Las capacidades de obtención, almacenamiento, análisis, procesamiento, intercambio y distribución de información permiten actualmente no solo la globalización del conocimiento en sus aspectos positivos sino también usos ilegales / alegales de estas capacidades, derivando todo ello en una colección de regulaciones, formales o informales, que intentan ordenar este escenario, creciente, cambiante y, en muchas ocasiones, muy por delante de las normas que pretenden proteger derechos individuales y colectivos que pueden verse afectados. Entre estos derechos fundamentales comprometidos se encuentra la Privacidad.
3. Regulaciones sobre Privacidad
Como derecho fundamental de la persona, la Privacidad es objeto de numerosos marcos normativos formales que pretenden establecer una serie de medidas tendentes a protegerlo. A falta de una regulación universal común, ideal pero utópica y poco realista como objetivo a conseguir, existen numerosos marcos, cuya enumeración no es objeto de este documento, en los que se plasman unos preceptos jurídicos, organizativos y técnicos diseñados para encauzar el derecho a la Privacidad dentro del entorno de la Sociedad Global actual. La dispersión normativa es un serio inhibidor para su efectiva protección al establecer diferentes grados, criterios y medidas de protección sobre un mismo derecho, y es un hecho incuestionable que la información fluye a nivel global, de forma independiente y adoptando nuevas vías de relación entre personas (las redes sociales son un paradigma) que muestran las carencias de los modelos de protección actuales y sitúan la realidad muy por delante de los marcos que la pretenden gestionar.
Las iniciativas de la Unión Europea constituyen el escenario que marca las equivalentes en España, y la dispersión mencionada es recogida en las directrices sobre “Transferencias internaciones de datos”.
Las regulaciones sobre Privacidad, desde la primitiva LORTAD de 1992, se han tangibilizado en forma de leyes específicas (vigente la Ley 15/1999 de 13 de diciembre), reglamento (vigente el Real Decreto 1720/2007 de 22 de diciembre), directivas, guías y una amplísima jurisprudencia sobre la materia. Se han creado las “Agencias de Protección de Datos”, a nivel nacional y en algunas Comunidades Autónomas y se ha conseguido instaurar (muchas veces publicitando incidentes serios acaecidos) una conciencia sobre este derecho.
Ahora bien, han sido desarrolladas también otras iniciativas legislativas que fomentan y alimentan el concepto de Sociedad de la Información. Así, la Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (Ley 11/2007 de 22 de junio) genera una amplísima colección de derechos a los Ciudadanos en todas las interacciones que puedan desarrollar con las Administraciones Públicas y, como no podía ser de otra forma, hace mención explícita a la Ley 15/1999 como referencial de protección de la privacidad. Los sucesivos desarrollos relacionados, como los Esquemas Nacionales de Seguridad e Interoperabilidad (RD 3/2010 y RD 4/2010 respectivamente, ambos de 8 de enero), inciden nuevamente en el alineamiento con la Ley 15/1999 y sus desarrollos, con el mismo objetivo.
Más genéricas, la ley de Firma Electrónica (Ley 56/2003 de 16 de diciembre), la ley de Impulso de la Sociedad de la Información (Ley 56/2007 de 28 de diciembre), las modificaciones y ampliaciones de otras leyes para recoger las modalidades de transacción electrónica y concederles validez jurídica, el continuo crecimiento del comercio electrónico y las sucesivas regulaciones que le afectan, incluyendo un marco específico de partida (Ley 34/2002 de 11 de julio de servicios de la Sociedad de la Información y Comercio Electrónico) hacen que la colección de actividades sociales, comerciales y de función pública donde la privacidad sea explicita e implícitamente referenciada en marcos normativos sea cada vez mayor y adquiera proporciones tales que justifican completamente la necesidad de especialistas en la materia.
4. Perfiles profesionales sobre Privacidad
La existencia de estos marcos normativos ya deja muy clara la necesidad de profesionales especializados en el marco jurídico, y es una realidad la existencia de numerosos despachos profesionales donde la Privacidad es parte fundamental de su modelo de negocio.
Ahora bien, todos los marcos normativos mencionados anteriormente (y la enumeración no es exhaustiva) contienen referencias a cuestiones técnicas que, en numerosas ocasiones, constituyen parte fundamental del núcleo del proyecto y elementos críticos para conseguir un alineamiento efectivo con dichos marcos.
El éxito de un “proyecto sobre Privacidad” pasa indefectiblemente por la composición de un equipo de trabajo donde, adecuadamente integrados, desarrollen sus actividades perfiles jurídicos, organizativos y técnicos, dentro de un marco colaborativo donde los criterios jurídicos deriven en una serie de actuaciones que consigan implementar un conjunto de controles técnicos (y organizativos) que, en un entorno sometido a permanente evolución como el relacionado con los sistemas de información de la Organización objeto del proyecto, permitan acreditar el cumplimiento con los preceptos de “protección de datos de carácter personal” que contienen.
La carencia de alguno estos perfiles, su inadecuada formación y la falta de integración del equipo han sido factores clave en las causas de incidentes graves en este sentido. Desde un punto de vista práctico, no es en absoluto trivial diseñar, implementar, mantener y evolucionar una estructura de controles plenamente alineada con el Título VIII del RD 1720/2007, y la mejor prueba de esta afirmación, desgraciadamente, la constituye el bajo porcentaje de Organizaciones, públicas y privadas, que disponen de un Documento de Seguridad donde los procedimientos y controles exigibles se encuentran adecuadamente desplegados y gestionados.
Los profesionales de la Privacidad que intervienen en las actividades técnicas suelen buscar la acreditación de sus conocimientos mediante certificaciones relacionadas con la Seguridad de Sistemas de Información y sus marcos de referencia generalmente aceptados, como las normas ISO/IEC 27k. Asimismo, organizaciones como ISACA (Information Systems Audit and Control Association) están teniendo un considerable éxito en sus propuestas de certificación sobre funciones en Seguridad y Gobierno TIC (CISA Certified Information Systems Auditor, CISM Certified Information Security Manager, CGEIT Certified in the Governance of Enterprise IT, CRISC Certified in Risk and Information Systems Control), siendo ya muy habitual ver las mismas entre los requisitos del personal implicado en proyectos, ofertas de trabajo, etc.
Ahora bien, mientras que las normas de referencia y de “buenas prácticas” tratan el tema de la privacidad (por ejemplo, dentro del dominio 15 de la norma ISO/IEC 27002:2005), existen muy graves carencias respecto al contexto jurídico y organizativo sobre el que desarrollar sus actividades en un proyecto de esta naturaleza, lo cual contrasta sobremanera con la importancia que dichas actuaciones tienen en el éxito del proyecto y comprometen seriamente el mismo. Esta falta de especialización afecta seriamente a la integración y cohesión del equipo de trabajo, ya que la necesaria comunicación entre los perfiles jurídico - organizativos y los técnicos queda en muchas ocasiones limitada por este inhibidor.
Eso sí, a la inversa existe el mismo problema. La integración pretendida no solo consiste en que los perfiles técnicos conozcan aspectos jurídicos sino también que los perfiles jurídicos y organizativos conozcan también los aspectos técnicos fundamentales de un proyecto sobre Privacidad, de estos conocimientos cruzados se derivan sinergias muy importantes que redundan en beneficio de la calidad del proyecto y, en consecuencia, facilitan el éxito del mismo.
Contenido Completo en Madrid.org
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!