martes, 22 de noviembre de 2011 3 comentarios

"Privacy by design", nos jugamos mucho.

Hoy se ha celebrado en Murcia el Seminario La incidencia en la normativa española sobre protección de datos personales de la proyectada reforma en la Directiva en la que he tenido el gusto de participar como ponente en la sesión de la tarde.

El tema asignado era la "Privacy by design" de la que había leído alguna cosa en blogs pero sobre el que no había todavía podido profundizar. Sin embargo, estas dos últimas semanas recopilando información y reflexiones para la presentación he podido ser consciente del gran cambio que esconden estos tres términos y que pudiera suponer un antes y un después en materia de protección de datos y en el diseño de sistemas y productos tecnológicos en general. Para tratar de contextualizar estos hechos, viajemos durante unas líneas al futuro y pensemos en cómo serán las cosas en unos años, pongamos 20 por ejemplo.
"Suena el despertador. Te levantas y tras la ducha matutina te diriges a la cocina a prepararte un rico desayuno. Abres la nevera y tras coger la mortadela y la leche, la voz sintética de tu nevera te dice:
- Buenos días, señor Cao, Le notifico que ayer envié la orden del pedido mensual de leche a su centro comercial. Le llegará en breve la factura de compra porque en mi inventario interno tengo registrado que la botella que acaba de coger es la última. Además, he podido consultar la información de Google Health y acaba de recibir los resultados de su analítica, por lo que le aconsejo que cambie la mortadela por pechuga de pavo que tiene menos grasa y mejorará su colesterol.
 Vaya, mi nevera parece mi madre. ¿Cómo hemos podido llegar a esto?"

Estamos en un momento de cambio. La transición a IPv6 empieza y cada vez será más cotidiano que electrodomésticos ahora pasivos puedan ser proactivos y puedan autogestionarse o al menos, planificar ciertas decisiones en base a un conjunto de parámetros que podremos introducir en su sistema. Además, todos estos elementos formarán seguramente un todo dentro del centro de control domótico de tu casa y el usuario podrá predefinir ciertas reglas o decisiones basadas en la correlación de eventos que vayan siendo recogidos por los diferentes electrodomésticos. ¿Y cómo los electrodomésticos detectarán eventos o cambios de estados? Seguramente las tecnologías RFID aportarán la capacidad de generar información sobre transiciones de estado basándose en nuestro comportamiento normal en casa. Cuando vayas a la nevera a coger algo, el sistema podrá conocer cual es el número de unidades restantes de ese producto, si debe o no realizar alguna notificación respecto a la reposición de stock. Si además dispone de otras informaciones podrá valorar la acción del sujeto y recomendar cambios de decisión.

Hasta aquí, sinceramente todo parecen ventajas. ¿Dónde está el problema? La amenaza se plantea cuando no se determine dónde está la frontera respecto a la gestión y acceso de esa información. Si el usuario tiene el control de todo esto y es él quien decide qué quiere que sepa su centro comercial, qué información de su estado de salud debe procesar Google, qué datos no será recogidos aunque tengan identificadores RFID, etc, la privacidad seguirá bajo el control del afectado. Pero si los sistemas de información domóticos y domésticos se diseñan para incrementar los beneficios de las empresas potencialmente interesadas en esa información, sin contemplar restricciones y tratando más de hacer un análisis proactivo de demanda de bienes para disminuir los costes de marketing o satisfacer necesidades creadas sobre el cliente la cosa pintará mal. Porque en estos casos, los intereses creados por las empresas pueden pervertir o condicionar la toma de decisiones o el asesoramiento, y en vez de buscar el beneficio del afectado pueden simplemente atender a los intereses comerciales de las compañías suministradoras.

¿Y cómo está relacionado esto con la "Privacy by design"?

Este término establece 7 principios básicos que deben orientar el diseño y desarrollo de sistemas y tecnologías que traten datos de carácter personal. Son los siguientes:

1. Proactivo, no Reactivo; Preventivo no Correctivo
El enfoque de Privacidad por Diseño (PbD por sus siglas en Inglés) está caracterizado por medidas proactivas, en vez de reactivas. Anticipa y previene eventos de invasión de privacidad antes de que estos ocurran. PbD no espera a que los riesgos se materialicen, ni ofrece remedios para resolver infracciones de privacidad una vez que ya ocurrieron – su finalidad es prevenir que ocurran. En resumen, Privacidad por Diseño llega antes del suceso, no después.

2. Privacidad como la Configuración Predeterminada
Todos podemos estar seguros de una cosa – ¡Lo predeterminado es lo que manda! La Privacidad por Diseño busca entregar el máximo grado de privacidad asegurándose de que los datos personales estén protegidos automáticamente en cualquier sistema de IT dado o en cualquier práctica de negocios. Si una la persona no toma una acción, aún así la privacidad se mantiene intacta. No se requiere acción alguna de parte de la persona para proteger la privacidad – está interconstruida en el sistema, como una configuración predeterminada.

3. Privacidad Incrustada en el Diseño
La Privacidad por Diseño está incrustada en el diseño y la arquitectura de los sistemas de Tecnologías de Información y en las prácticas de negocios. No está colgada como un suplemento, después del suceso. El resultado es que la privacidad se convierte en un componente esencial de la funcionalidad central que está siendo entregada. La privacidad es parte integral del sistema, sin disminuir su funcionalidad.

4. Funcionalidad Total – “Todos ganan”, no “Si alguien gana, otro pierde”

Privacidad por Diseño busca acomodar todos los intereses y objetivos legítimos de una forma “ganar-ganar”, no a través de un método anticuado de “si alguien gana, otro pierde”, donde se realizan concesiones innecesarias. Privacidad por Diseño evita la hipocresía de las falsas dualidades, tales como privacidad versus seguridad, demostrando que sí es posible tener ambas al mismo tiempo.

5. Seguridad Extremo-a-Extremo – Protección de Ciclo de Vida Completo
Habiendo sido incrustada en el sistema antes de que el primer elemento de información haya sido recolectado, la Privacidad por Diseño se extiende con seguridad a través del ciclo de vida completo de los datos involucrados – las medidas de seguridad robustas son esenciales para la privacidad, de inicio a fin. Esto garantiza que todos los datos son retenidos con seguridad, y luego destruidos con seguridad al final del proceso, sin demoras. Por lo tanto, la Privacidad por Diseño garantiza una administración segura del ciclo de vida de la información, desde la cuna hasta la tumba, desde un extremo hacia el otro.

6. Visibilidad y Transparencia – Mantenerlo Abierto
Privacidad por Diseño busca asegurar a todos los involucrados que cualquiera que sea la práctica de negocios o tecnología involucrada, esta en realidad esté operando de acuerdo a las promesas y objetivos declarados, sujeta a verificación independiente. Sus partes componentes y operaciones permanecen visibles y transparentes, a usuarios y a proveedores. Recuerde, confíe pero verifique.

7. Respeto por la Privacidad de los Usuarios – Mantener un Enfoque Centrado en el Usuario
Por encima de todo, la Privacidad por Diseño requiere que los arquitectos y operadores mantengan en una posición superior los intereses de las personas, ofreciendo medidas tales como predefinidos de privacidad robustos, notificación apropiada, y facultando opciones amigables para el usuario. Hay que mantener al usuario en el centro de las prioridades.


La otra reflexión que he podido extraer de todo esto es que parece ya plantearse si es necesario establecer ciertas restricciones al desarrollo tecnológico. Hasta la fecha, la tecnología es un fórmula uno que avanza sin parar, sin restricciones, sin límites, sin reglas tratando de producir mejoras en el día a día aunque estas muchas veces sean necesidades fictícias o creadas para satisfacer ciertos intereses.

En el "Privacy by design" se pone fin al "todo vale". Se determina que es necesario antes de la construcción de un nuevo aparato o servicio pensar en qué impacto potencial tiene para la privacidad. Es lo que se llama un "Privacy Impact Analysis (PIA)" que es una reflexión respecto a la finalidad de lo que se va a construir y las consecuencias posibles que pudiera tener para la privacidad del usuario. Obviamente esto no va a gustar a muchos modelos de negocio, actuales o futuros y la presión por evitar o minimizar la aplicación de este criterio de diseño sea importante. Por eso el titulo del post acaba con la coletilla "nos jugamos mucho". Porque ante una filosofía basada en la explotación voraz de información en beneficio de las grandes empresas orientadas a maximizar sus beneficios y una filosofía basada en el interés del afectado y el control a su gusto de su privacidad atendiendo a sus criterios o intereses, se crearán tensiones importantes que condicionarán seguramente los desarrollos reglamentarios de los marcos de protección de datos.
Habrá que ver si finalmente la futura directiva o cualquier otra regulación a nivel mundial defiende el interés de las personas o se somete a los intereses de los "mercados". Habrá que ver si es el hombre quien domina la tecnología o creamos un segundo Dios (La economía ya es el primero) que somete al hombre.

A continuación os dejo la presentación que he empleado para exponer estas conclusiones en un formato nuevo y experimental para mi pero a la vez innovador y atractivo por sus nuevas posibilidades. Tratando de huir de la "muerte por Powerpoint" de las filosofías tradicionales de presentación, he decidido probar el servicio "Prezi.com" que sinceramente y tras un periodo breve de adaptación mental en cuanto a la estructuración de contenidos, me ha parecido útil para reflejar una navegación basada en conceptos y no en la linealidad que proporciona el Powerpoint.

Postdata: Para los que hayáis visto en el ejemplo un pelín de exageración, en la presentación se acaba con un ejemplo real que supone un primer paso en esa linea.
miércoles, 16 de noviembre de 2011 4 comentarios

Tratando de formalizar el análisis de seguridad sobre árboles de activos.

Tal como adelantaba en el post anterior, este verano he perdido bastante tiempo tratando de investigar sobre las posibles aplicaciones de las teorías de análisis de redes sociales a la seguridad de la información. Eran ideas que me rondaban hace años por la cabeza y que por fin he podido desarrollar y formalizar en un documento.
He tenido que estudiar conceptos de teoría de grafos y determinar qué criterios de medición de redes pueden ser relevantes a nuestro campo de estudio. 

En teoría de redes sociales se da una premisa que es bastante importante y que sin embargo no es aplicable a seguridad de la información: todos los nodos son iguales. Sin embargo, cuando construimos un árbol de activos, según la naturaleza del elemento, su relevancia puede ser mayor. También, en redes sociales lo que se analiza es la fluidez de la comunicación entre nodos, mientras que lo que yo he pretendido estudiar son las relaciones de dependencia en materia de seguridad.

En fin, por no enrollarme mas os resumo el contenido del texto y adjunto un enlace para su descarga dado que lo he licenciado como Creative Common. Si me gustaría recibir vuestro feedback respecto a si véis viable que esta linea de trabajo pueda finalmente ser aplicada para la formalización de análisis de seguridad de la información. Una de mis conclusiones tras el estudio es que este tipo de análisis puede tener sentido en el estudio de la continuidad de negocio y en la protección de infraestructuras críticas, dado que permite identificar nodos que aíslan o mutilan la funcionalidad de la organización.

Abstract:

Las tecnologías de la información son un elemento esencial para el funcionamiento de nuestra sociedad y cada vez más muchas actividades y servicios dependen de la robustez, fiabilidad y seguridad de los sistemas de información que dan soporte a servicios tan esenciales como la sanidad, la educación, la defensa, la Administración electrónica, etc. Por tanto, los sistemas de información son un cimiento indispensable en el funcionamiento y desarrollo de nuestra civilización moderna, la denominada sociedad de la información y el conocimiento.
Un axioma básico de la seguridad de la información es el principio de cohesión que establece que "la seguridad es tan fuerte como el más débil de sus eslabones". El presente trabajo pretende aportar una nueva perspectiva en el estudio y análisis de la seguridad desde un punto de vista estático y basado en modelos matemáticos de la teoría de grafos que permitan identificar la presencia de debilidades estructurales que pueden poner en riesgo el funcionamiento de los sistemas de información por la propia arquitectura y conectividad de los diferentes tipos de elementos que constituyen el sistema de información. Supone extrapolar la aplicación de estas teorías en el análisis de redes sociales y otras estructuras modeladas mediante grafos al área de seguridad de la información con el objetivo de poder diagnosticar y reconocer potenciales problemas derivados de las relaciones establecidas entre los elementos que constituyen la Organización y los sistemas de información que dan soporte a todos sus procesos. Esta nueva visión supone un complemento al análisis de riesgos, la técnica habitualmente empleada en el estudio de los requisitos de seguridad que necesita un sistema de información y donde se contempla además de la estructura del sistema de información, el análisis de las amenazas posibles y la posibilidad de que éstas se manifiesten determinando así el nivel de riesgo a asumir.


Texto integro: Análisis topológico de sistemas de información.

 
;