martes, 29 de mayo de 2012 0 comentarios

Info-tráfico de datos personales, un negocio en auge

Hace una semana tuve que preparar un curso y como suelo hacer siempre, me puse a buscar incidentes de los últimos meses para poner ejemplos de la cotidianidad pero me llamó bastante la atención las noticias sobre la Operación "Pitiusa". El 11 de mayo se publicaban detalles de la detención de 88 personas relacionadas con el infotrafico de datos de carácter personal. La noticia de la que se han hecho eco medios como "20 Minutos" o "El País" viende a denunciar cómo ciertas personas con privilegios de acceso a grandes bases de datos de sus empresas han ido vendiendo información a terceros generando un importante negocio con ello. Ya pude comentar en el año 2005 un caso similar con los datos del DNI-e. Este "nuevo negocio" es contra lo que trata de combatir la tan odiada Ley 15/1999 (LOPD) que pretende poner ciertas restricciones a los usos que se pueden o no hacer de los datos de las personas. Obviamente los casos que han sido objeto de investigación están relacionados con toda una trama de obtención ilegal de información y entre otros, los delitos de los que se les acusan son de intrusismo profesional, descubrimiento y revelación de secretos. Este tipo de prácticas son también habituales entre el mundo de la prensa rosa donde cierta información privilegiada es crucial para poder saber dónde estará el famoso de turno o con quién se relaciona. Asi se pone de manifiesto en un excelente documental titulado que se emitió en Documentos TV el pasado domingo. A continuación os adjunto el resumen tal como se cuenta en la Web de RTVE.
El reportaje muestra las barreras legales que saltan los paparazzi en su persecución a los famosos. Ningún aspecto de la vida privada de las'celebrities' queda fuera de su alcance. Según el reportaje, pinchazos telefónicos y control de buzones de voz son algunos de los métodos que utilizan.Tener un cómplice que trabaje en una empresa de telefonía móvil es fundamental. El confidente entra en la página web reservada a los empleados, haciendo uso de las tres contraseñas necesarias. Allí tiene acceso tanto a números de teléfonos móviles como a direcciones personales y profesionales, unas informaciones muy valiosas para un paparazzi.Igualmente valioso es un buen contacto en un aeropuerto o línea aérea. El acceso a la lista de pasajeros, incluidas las idas y venidas de aviones privados, resulta fundamental para hacer los seguimientos. La persecución no se limita a los famosos del mundo de espectáculo. Políticos, deportistas, magnates de las finanzas o integrantes de casas reales, son víctimas de los objetivos más indiscretos y de las prácticas de seguimiento más discutibles. Así queda demostrado en el proceso contra Rupert Murdoch, propietario de News Corporation, uno de los grupos mediáticos más poderosos del mundo
Detrás de todo esto y centrados en la problemática de la seguridad uno se plantea algunas preguntas respecto a las entidades afectadas por las fugas de información.

  1. ¿Para que sirve un registro de accesos exhaustivo si nadie revisa qué está consultándose y si están justificados esos usos?.
    Es obvio que usuarios desleales existen en todos sitios pero si no existe cierta sensación de control o vigilancia, camparán a sus anchas pensando que todas sus fechorías quedarán impunes. La monitorización del uso de la información, cuando se trata de grandes bases de datos es algo esencial para evitar abusos de poder. Valga como ejemplo la Base de Datos Nacional (BDN) de la AEAT. Esta ingente base de datos que hace de gran hermano tributario tiene mecanismos de auditoría continua y alerta frente a consultas anómalas o excesivas. El personal autorizado es limitado y además, existen unas reglas de uso muy claras que nadie puede saltarse. Cuando se detectan consultas excesivas o ajenas al área de responsabilidad, directamente notifica al responsable del usuario autorizado para que se justifiquen los accesos. Esta medida de seguridad hace las funciones de radar de tráfico y evita que la gente tenga tentaciones de consultar aquello que por motivos de trabajo no va a poder justificar. Además, existen también registros VIP que no pueden ser consultados por cualquiera.
  2. ¿No debería en estos casos personarse la AEPD y sancionar a todos los clientes de esta trama de infotráfico de datos?.Si la AEPD pone sanciones por tratamientos inadecuados, mucho más severa debiera ser con aquellos que se producen con un conocimiento claro de que se infringe la ley. Es curiosa también la noticia donde se comenta quienes eran los principales clientes de esta trama y como se dice en ella “Durante los últimos años, los impagos se han multiplicado debido a la crisis. Muchas personas no podían hacer frente a la hipoteca y los bancos y cajas se comenzaron a encontrar con que tenían un grave problema. Y a los detectives nos comenzaron a llegar listados de cientos de personas a las que teníamos que investigar para conocer si cobraban de algún lado o las propiedades que tenían. De este modo, por 50 ó 60 euros les pasábamos los datos y ellos les embargaban el sueldo gracias a nuestros informes. Se han ahorrado dinero a espuertas contratando a detectives”.


Nada de esto debiera extrañarnos a estas alturas porque la frase "La información es dinero y poder" es cada día que pasa más cierta. De cualquier forma, la misma LOPD que vemos muchas veces como amenaza es en estos casos nuestra defensa, el único arma posible para garantizar cierta intimidad en los tiempos que corren. Porque además, muchos parecen olvidar que en la LOPD se arbitra el "Derecho de indemnización".

Artículo 19. Derecho a indemnización.
1. Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados.
2. Cuando se trate de ficheros de titularidad pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad de las Administraciones públicas.
3. En el caso de los ficheros de titularidad privada, la acción se ejercitará ante los órganos de la jurisdicción ordinaria.
Quiere esto decir que si por cualquier causa un Responsable de Fichero no custodia o garantiza el cumplimiento de la LOPD, además de la pertinente y temida sanción de la AEPD, le pueden solicitar una indemnización por daños morales según la gravedad o impacto que pudiera tener el incumplimiento para esa persona. Así lo confirma también el Tribunal Supremo como cuenta esta noticia.


jueves, 17 de mayo de 2012 0 comentarios

Campaña de la Oficina de Seguridad de Inteco para una Internet más segura.


Desde la Oficina de Seguridad del Internauta con motivo de la celebración del día de Internet, se han lanzado tres páginas de sensibilización con consejos para fomentar el uso seguro y responsable de Internet.

Este año, con motivo del Día de Internet, INTECO quiere compartir una nueva iniciativa que la Oficina de Seguridad del Internauta ha puesto en marcha. Se trata de 3 páginas de sensibilización (a modo de páginas evangelizadoras) con las que facilitar a los internautas seguros la promoción entre sus conocidos de buenas prácticas en el uso de las TIC.

En concreto las páginas pretenden cubrir las siguientes situaciones:

·         ¿Estás recibiendo mensajes sospechosos de tus contactos y piensas que puede ser un virus? Notifica a tus contactos rápida y cómodamente de una posible infección. Explícales las razones por las que es posible que tengan un virus, pasos para eliminarlos y recomendaciones para evitarlos en el futuro. ¡Estás enviando spam, tu ordenador podría estar infectado! http://avisovirus.osi.es
Destacado ¡Estás enviando spam, tu ordenador podría tener un virus



·         ¿Cansado de que te envíen bulos y mensajes en cadena? Ayúdales a entender los riesgos de seguir difundiendo falsas noticias y enséñales a identificarlos. Stop bulos, no alimentes las leyendas urbanas  http://stopbulos.osi.es
Destacado Stop bulos, no alimentes las leyendas urbanas




·         ¿Otro correo con cientos de direcciones en el asunto? Promueve el uso del campo CCO cuando se envían correo a múltiples destinatarios, de forma que se proteja su privacidad y se evite divulgar sus direcciones de correo innecesariamente http://concopiaoculta.osi.es
Destacado Con Copia Oculta

Pon en práctica las recomendaciones de seguridad que en estas páginas se indican y recuerda: la seguridad en Internet depende de todos, todos podemos ayudar si difundimos estos consejos entre nuestros contactos. ¡Hagamos de Internet un lugar seguro!
martes, 15 de mayo de 2012 0 comentarios

Todos somos Lorca, también un año después.

Hoy, aprovechando que ya ha pasado un año de la catástrofe natural que hizo temblar a Lorca quiero hablar sobre resilencia. El 11 de marzo de 2011 fue un día fatídico porque también Japón se vió afectada por un tsunami que tuvo consecuencias desastrosas para el País y que mantuvo a todo el mundo en vilo por una posible alerta nuclear.

Esta desgraciada coincidencia sin embargo nos puede servir para comparar la diferente reacción de culturas distintas ante una catástrofe natural de un severo impacto. La cultura japonesa está llena de continuas referencias a la mejora continua, a ver las dificultades como oportunidades, a la perseverancia y la constancia como el mejor camino para salir de la desgracia. Todo ello definido por el término resilencia y ejemplificado con el bambú.
La resilencia , se refiere , originalmente en ingeniería, a la capacidad de un material para adquirir su forma inicial después de someterse a una presión que lo deforma. Tras un impacto previsible por alguna circunstancia natural adversa, un material recupera su condición y sigue funcionando. Eso es lo que sucede con la caña de bambú. Para conseguir una buena Resilencia es necesario prever las circunstancias adversas que pueden actuar sobre la cosa. Trasladando el concepto a las personas, al hablar de resiliencia humana se afirma que es la capacidad de un individuo o de un sistema social de vivir bien ydesarrollarse positivamente, a pesar de las difíciles condiciones de vida ymás aún, de salir fortalecidos y ser transformados por ellas y tras un impacto de fuerte conmoción traumática. 
Un año después y comprobando lo poco que ha evolucionado la situación en Lorca, al menos deberíamos reflexionar sobre lo sucedido y "aprender de lo sufrido". Es triste y duro leer declaraciones como las del Alcalde de Lorca reconociendo que para la gente está siendo muy complicado superar la adversidad por problemas creados por la burocracia necesaria para gestionar la catástrofe.
¿Cómo puede ser que las tareas para solventar o remediar los daños aumenten los problemas que precisamente pretenden solucionar? ¿Quién está al servicio de quién, Administración hacia el ciudadano o  ciudadano para la Administración?
El alcalde de Lorca, Francisco Jódar ha culpado hoy a la ley de subvenciones de los problemas burocráticos a los que ha tenido que hacer frente el Ayuntamiento para ayudar a los damnificados por los terremotos de 2011, y ha lamentado que se haya empleado un año en pedir documentación a los vecinos, como requisito previo para transferir las ayudas.
Un año después, Japón, tras el susto de Fukushima a aprendido la lección y ha apagado todas sus centrales nucleares aun siendo para ellos una fuente de energía muy importante porque son conscientes del riesgo que supone en una tierra como esa tener centrales que pueden pasar apuros en caso de terremoto. Hasta que todas las plantas no sean revisadas y superen los nuevos estándares de seguridad establecidos tras el tsunami, no se volverán a poner en marcha. Un país sacrifica uno de sus pilares de abastecimiento energético y nosotros en España no somos capaces de plantear una reforma legal que simplifique y agilice los trámites administrativos para permitir un rescate adecuado a quien lo ha perdido todo. Es paradójico ver a los políticos corriendo para tomar decisiones que permitan salvar a ciertas organizaciones por las negligencias de sus gestores (Ya sean las propias Administraciones Públicas con los famosos planes de pago o la Banca con los fondos de rescate) y no se den la más mínima prisa para salvar a personas que han sucumbido frente a una catástrofe natural que para nada es previsible ni evitable según las circunstancias. Los riesgos que se podían gestionar y haber evitado como los agujeros en el sector bancario son rapidamente solventados y los riesgos no previsibles y que generan un impacto no superables no son para nada aliviados por "problemas burro-cráticos"

Seamos positivos y pragmáticos, el desastre ya no tiene remedio. Por tanto, para ser más resilientes y tratar de volver a la normalidad hay que mirar hacia delante. Sería muy triste que no se aprovechara la oportunidad que da una desgracia así para mejorar aquellas cosas que son manifiestamente mejorables y solventar las cosas que la realidad ha demostrado como ineficaces o lentas. La burocracia son un montón de decisiones redactadas en forma de trámite con una serie de requisitos previos que el ciudadano debe acreditar para que el expediente administrativo se resuelva. Somos ciertas personas las que toman esas decisiones y ahora, vista la cruda realidad, deberían ser también las de se plantearan cómo simplificar o agilizar las gestiones para que la tramitación de ayudas cumpla su objetivo: mitigar el sufrimiento causado por la catástrofe. La Administración nunca debe olvidar qué su existencia solo tiene una meta, el bienestar del ciudadano. Y todo aquello que no contribuya o mejore esa percepción del administrado frente al Estado, debe ser revisada. Y hay mucho por hacer y en muchos sitios ya hay mucho hecho. Me sorprendió ver este año en las charlas CNIS 2012 sobre los esquemas nacionales de seguridad e interoperabilidad poner como caso de éxito una experiencia del Gobierno Balear respecto a la mejora que introduce la tramitación digital completa (Es decir, ni un puñetero papel en todo el proceso administrativo) en temas de ayudas por catástrofes. Hay gente que entiende por Administración electrónica que se cuelgue el formulario a rellenar en PDF en un portal para que el ciudadano lo complete y lo entregue en ventanilla o como mucho, lo envíe en electrónico para que ellos lo impriman posteriormente y lo sigan tramitando en papel como toda la vida.

La tramitación electrónica ha reducido a la mitad el tiempo de gestión pasando de 5,5 meses a 2,7.  Si en Baleares lo han hecho bien, aprovechemos la experiencia, compartamos conocimiento, rentabilicemos el esfuerzo y generalicemos la solución. Quién tenga tiempo que vea la ponencia porque esta es la Administración electrónica que queremos los ciudadanos, es la que merece cada euro invertido, es la que finalmente genera resultados, reducción de costes y mejora de calidad de vida para el ciudadano. Además, encima, añade transparencia y limpieza al proceso administrativo pudiéndose así evidenciar que funciona y no hay amaños.
Javier Hernández presentó varios proyectos del Ministerio poniéndolos como ejemplos de tramitación electrónica y explotación de la información. El representantes del Ministerio de Administraciones Públicas comentó en este punto tanto las subvenciones al transporte en Illes Balears como las subvenciones por catástrofes naturales (AURA) que en la actualidad se están llevando a cabo. Y precisamente es en las subvenciones al transporte de Canarias en las que el tiempo de tramitación se han visto reducidos de 5,5 a 2,7 meses. Todo ello gracias a la administración electrónica. “Hacerlo todo telemáticamente hace las tramitaciones más transparentes”, afirmó. De hecho, Hernández puso como ejemplo un mapa georreferenciado en el que se pueden consultar las diferentes subvenciones destinadas a las catástrofes naturales con todas las actualizaciones sobre lugar, situación en el mapa, cantidad recibida… En estos dos ejemplos “no se ha movido un solo papel”, confirmó. “Es la transparencia y participación”. 





martes, 8 de mayo de 2012 8 comentarios

Reflexiones sobre los servicios externos de TI, la tentación de lo "gratuito"

Revisando las estadísticas de mis últimas entradas he podido comprobar que el post sobre "Una nube para la AGE, con Google Apps hay que pensarlo dos veces" está siendo últimamente bastante consultado. La idea esencial de aquel texto era reflexionar en voz alta sobre las consecuencias que puede tener externalizar un servicio TI para una Administración Pública en términos estratégicos a medio y largo plazo.

Quizás la situación económica y la premura por la reducción de costes son árboles que no nos están dejando ver con claridad y perspectiva el bosque de los próximos ¿cinco, diez, veinte años?
Este tipo de decisiones NO SOLO pueden ser valoradas en términos económicos. En el tema del coste monetario por usuario o servicio, es evidente que la economía de escala de Google y otros grandes prestadores como Amazon o Microsoft que han realizado importantes inversiones y han logrado una "industrialización del entorno TI" tienen las de ganar en todos los frentes.

Sin embargo parecemos olvidar que estamos ya en el Siglo XXI, la sociedad de la información y el conocimiento y en esta nueva era, el dinero ya no es la única moneda de cambio. Un análisis monetario de costes ignora en su ecuación otros factores que de forma directa no son dinero pero que de forma indirecta generan a estas empresas importantes beneficios económicos que superan en mucho el coste de la infraestructura que prestan. No somos conscientes, quizás porque nos pilla viviendo en primer plano este cambio, que se está produciendo un nuevo tipo de colonialismo, el tecnológico, donde las grandes potencias mundiales (o quizás la gran potencia mundial en este sector, los EE.UU.) están consiguiendo cambiar su modelo productivo para situarse en pocos años de nuevo a la cabeza del liderazgo de la economía mundial del siglo XXI. Ellos sí que han creído en su cambio de modelo y han dedicado y están dedicando ingentes sumas de dinero a crear infraestructuras TI que den soporte a todo tipo de servicios tecnológicos que hagan cautivos a sus usuarios e imprescindibles a sus empresas.
Pongamos unos pocos ejemplos de los servicios más destacados:
  • Dropbox
Dropbox is a free service that lets you bring your photos, docs, and videos anywhere and share them easily. Dropbox was founded in 2007 by Drew Houston and Arash Ferdowsi, two MIT students tired of emailing files to themselves to work from more than one computer.
Today, more than 50 million people across every continent use Dropbox to always have their stuff at hand, share with family and friends, and work on team projects. We're looking for more great people to join us, so if you're excited to help simplify life for millions of people, check out our jobs.
  • Evernote
Our goal at Evernote is to help the world remember everything, communicate effectively and get things done. Evernote is a free service for saving thoughts and ideas to preserving experiences to working efficiently with others, Evernote’s collection of apps make it easy to stay organized and productive.
Evernote is an independent, privately held company headquartered in Mountain View, California. Major investors include Meritech Capital, CBC Capital, Sequoia CapitalMorgenthaler Ventures, and DOCOMO Capital.
  • Sugarsync
SugarSync is a free service that helps you sync your life. With a simple download on your computers and mobile devices, you have access to all the Cloud has to offer. Need access to all your files from any computer or mobile device? Check. Need to sync your stuff across all your devices? Definitely. Need to share large files with your friends? Yep, we do that too. We're truly a one-stop shop for the best of the Cloud. If you like Dropbox or iCloud, you'll love SugarSync. Using SugarSync's powerful Cloud technology, you can easily access, sync and share all of your documents, photos, music and movies across all of your computers and mobile devices. Launched in 2008 and based in San Mateo, CA, SugarSync currently has millions of users worldwide. 
  • Facebook
Founded in 2004, Facebook’s mission is to make the world more open and connected. People use Facebook to stay connected with friends and family, to discover what’s going on in the world, and to share and express what matters to them. Headquarter: 1601 Willow Road, Menlo Park, California, 94025

  • Y el rey de los servicios, Google y sus derivados.
Los Servicios se proporcionan a través de Google Inc. (en adelante, «Google»), cuyo domicilio social está ubicado en 1600 Amphitheatre Parkway, Mountain View, CA 94043, Estados Unidos.

Como se puede ver, los americanos han hecho un gran esfuerzo y un excepcional trabajo por mejorar su competitividad y posicionar de nuevo a su País en la cabeza de la economía mundial. Hasta este punto quizás solamente me dan una profunda envidia por ver cómo las brillantes ideas que allí se producen cuentan posteriormente con el respaldo económico y el riesgo de empresarios e inversores que creen profundamente en estas iniciativas y lanzan a estos "emprendedores" hacia el logro de sus sueños.

Llegado a este punto, voy a tratar a partir de ahora de proporcionar diferentes puntos de vista para que el análisis de este tipo de decisiones que se están cocinando actualmente puedan contemplar otros factores en su análisis. Las grandes cuestiones que valorar serían entre otras las siguientes:
  • 1.- Reversibilidad de las decisiones
Estamos acostumbrados en nuestro mundo al tema de la subcontratación y el outsourcing de todo tipo de servicios, pero ¿Son los sistemas de información similares a los servicios de limpieza, de compras o de gestión de recursos humanos? ¿Apostar hoy por un proveedor teniendo libertad de opciones nos permitirá seguir siendo igual de libres en el futuro?. 


Sinceramente creo que no y lo digo en primera persona como usuario de los servicios de Blogger. Cuando este blog comenzó su andadura allá por el año 2002, Blogger era una empresa de Pyra Labs que se había subido al carro de la publicación de contenidos por parte de particulares. En el año 2003 fue comprada por Google que proporcionó todo su potencial para hacer crecer su mercado. A día de hoy seguramente pueda ser libre de mover todo el contenido a otro lugar, dominio o servicio como Wordpress pero ¿sin consecuencias? Seguramente no. El posicionamiento del actual dominio, las referencias existentes, los comentarios en otros blogs estarían referenciando todavía al servicio viejo y lograr que el nuevo sitio tenga un posicionamiento similar al de mi actual blog no sería ni rápido ni facil. De igual forma me ocurre con el servicio de correo electrónico aunque posiblemente sería menos dramático porque para mi el correo es un servicio temporal, no lo uso para almacenar información.

  • 2.- Servicio ¿"gratuíto"? 
Como se ha podido ver en el resumen de los principales servicios TI referenciados, en todos existe un factor común, la palabra "free service". Pero ¿qué significa "gratuíto"? Tirando de diccionario se obtiene el siguiente significado.

gratis adv.
  Sin pagar o sin cobrar dinero: entrar gratis al cine.
 adj.
  Que no cuesta dinero: entradas de cine gratis. gratuito.

¿Es gratis un adjetivo adecuado en nuestro tiempo? ¿Cómo se describen los servicios que tienen una contraprestación en información a cambio de su uso?

Voy a centrarme en Google porque es el rey de la publicidad online. Sus servicios "gratuitos" se comercializan de varias formas:

1) Cobrando a las empresas por subir publicidad que ellos pueden luego colocar en determinados perfiles  y en esta estrategia Google necesita disponer de una audiencia atractiva. Los usuarios finales de Google (Y de todos sus servicios)  son este publico que será ofrecido por Google Apps a las empresas para que gasten en publicidad. Por eso quizás la necesidad de integrar y unificar las cuentas de usuario de todos sus servicios en la reciente modificación de su cláusula de privacidad y la justificación por crear la relación usuario-persona de forma única para todos sus servicios.

Google no esconde obviamente estos hechos y claramente así lo dice al describir sus servicios, como por ejemplo Google Apps for Education. En la cláusula 2.1 del servicio podemos leer.

Servicios.2.1. Alcance. Google realizará los esfuerzos comercialmente razonables para ofrecer los Servicios al Cliente durante el Período de vigencia del presente Acuerdo. El Cliente acepta que Google puede mostrar anuncios (“Anuncios”) relacionados con el Servicio a los Usuarios finales que él no ha designado como estudiantes matriculados. El Cliente actualizará el estado de sus Usuarios finales periódicamente, como mínimo dos veces al año. El Cliente sólo designará a estudiantes matriculados como Usuarios finales si el Usuario final se ha inscrito en cursos que ofrece el Cliente durante los doce últimos meses. En virtud de los términos y condiciones del presente Acuerdo, el Cliente podrá utilizar el Servicio para (a) proporcionar Cuentas de usuario final a sus Usuarios finales y (b) administrar dichas cuentas a través de la Consola de administración creada para tal fin. El Cliente reconoce que los Servicios no son servicios de telefonía y que no pueden establecer ni recibir llamadas, incluidas las llamadas a servicios de emergencias, a través de redes de telefonía de uso público. El Cliente acepta que todos los ingresos generados por Google a partir de los Anuncios o a través de los Servicios serán propiedad de Google y no estarán sujetos a repartición.


Otra cosa que llama la atención es el carácter temporal de dicha gratuidad y que puede cambiar al finalizar el periodo de vigencia.  A ver si esto es como las tarjetas de crédito, ... que empezaron siendo gratuitas mientras no eran cotidianas y luego ...

Gratuidad. En el caso de que Google siga ofreciendo el Servicio al Cliente, Google proporcionará a este último Cuentas de usuario final gratuitas durante el Período de vigencia. No obstante, este compromiso no se aplicará a las nuevas funciones que Google pueda añadir al Servicio. Para mayor claridad, Google se reserva el derecho de ofrecer una versión Premium del Servicio a cambio de una tarifa determinada. Google ofrece el presente Servicio sin cargo alguno durante el Período de vigencia; sin embargo, se reserva el derecho de aplicar una tarifa por dicho Servicio una vez finalizado este período. 

2) Recolectando información personal del usuario final para conocer su perfil comercial y de potencial consumidor de forma que pueda luego detectar para qué empresas puede ser atractivo ese usuario y que aparezca publicidad muy orientada y dirigida por los gustos que el propio usuario ha ido detallando en su perfil de navegación o uso de las aplicaciones. Y como ya colgué en el post http://seguridad-de-la-informacion.blogspot.com.es/2012/02/una-nube-para-la-age-con-google-apps.html, el servicio de Gmail pasa por la indexación del contenido del correo para detectar qué anuncios pueden ser más relevantes. Algo similar a lo que hace un antivirus solo que el resultado tiende a alimentar un perfil de usuario que potencialmente es el activo con el que comercializa luego Google sus servicios. Una cosa es que Google no muestre anuncios y otra muy diferente que Google no recoja esa información.

En este sentido se juega a la confusión entre lo que es confidencialidad y lo que es privacidad. Que se respete la confidencialidad no implica que no se pueda procesar o tratar la información para fines publicitarios o empresariales. En la polémica por el cambio de política de privacidad, el Vicepresidente de Google Enterprise, Amit Singh, publicó un comunicado que aseguraba que los clientes corporativos estaban fuera de estos cambios en la política de privacidad:

Los clientes corporativos que usan Google Apps en Administraciones Públicas, Empresas o entornos educativos tienen contratos individuales que definen cómo se almacenan y manejan sus datos. Como de costumbre, Google salvaguardará la confidencialidad de los datos en cumplimiento de sus obligaciones de confidencialidad y seguridad. La nueva política de privacidad no cambia nuestros acuerdos contractuales, que siempre estarán sujetos a las políticas de privacidad de Google para clientes corporativos.
De ello no se deduce que Google vaya a dejar de recabar o indexar información de Google Apps para seguir alimentando sus ingentes bases de datos que definen los perfiles de los potenciales consumidores. Por tanto, la gratuidad de estos servicios supone que efectivamente tal como expresa el diccionario, no cuestan dinero pero... no son una prestación sin nada a cambio. Se exige al usuario que permita el acceso o conocimiento del uso que se hace de estos servicios para su posterior explotación comercial. De qué si no vivirían estas empresas de ingresos por publicidad. Como siempre se ha dicho, no hay duros a cuatro pesetas aunque a veces cuesta ver realmente cómo estamos pagando los servicios. A modo de curiosidad podéis leer para qué utiliza Google el servicio de reCAPTCHA y para que sirve realmente.

[Actualización]. En el artículo "Nuestros datos personales son el nuevo petróleo" se proporciona información de cuanto valen nuestros datos. "Según emarketer, webpronews y el blog tecnológico Techcrunch, sólo con los ingresos por publicidad Facebook habría ganado US$1.860 millones en 2010, liderando una lista seguida por YouTube con US$945 millones, Myspace con US$388, LInkendin con US$243 y los US$45 de Twitter."
  • Neutralidad de la red 
Este es quizás otro punto polémico de la cuestión pero como he comentado anteriormente el poder de las grandes empresas TI americanas empieza a ser enorme. Son capaces de hacer más competitivas a unas empresas frente a otras solo en base a la modificación de resultados en las consultas que se realizan a través de sus servicios. Segun Wikipedia, la definición de neutralidad de la red es la siguiente:

Una red neutral es aquella que está libre de restricciones en las clases de equipamiento que pueden ser usadas y los modos de comunicación permitidos, que no restringe el contenido, sitios y plataformas, y donde la comunicación no está irrazonablemente degradada por otras comunicaciones.

¿Y qué pasa si tu modelo de negocio se basa precisamente en destacar o potenciar unos sitios frente a otros? De este tema ya se ha encargado el autor de "Desnudando a Google", un libro que tengo pendiente de leer y del que me inquietan los testimonios de algunos de sus lectores.

  • Los retos de la privacidad en el siglo XXI 
Tal como hemos visto, las empresas de servicios TI están luchando por lograr un volumen de usuarios de sus servicios con una voracidad tremenda. En este siglo la privacidad va a ser la gran moneda de cambio y los retos que se avecinan son inquietantes. La tecnologías móviles han propiciado que TODOS llevemos colgado un dispositivo que recoge información. Los retos más preocupantes que se plantean en este nuevo escenario son:
  • GEOLOCALIZACIÓN. 
La introducción de las tecnologías GPS en los teléfonos móviles han resuelto el problema de la dispersión de dispositivos que permitan recolectar este tipo de información. Los potenciales usos de estos datos con finalidades comerciales y publicitarias serán una tendencia en aumento y se permitirá hacer llegar al consumidor ofertas basadas en su localización. 
  • IDENTIDAD ONLINE
Otra de las tendencias que actualmente se viene produciendo es la integración de diferentes portales o aplicaciones son sistemas de gestión de identidad. Aunque actualmente se utilizan como mecanismos las principales redes sociales, la gestión de plataformas de gestión de identidad serán también otra de las áreas en expansión. En este sentido, se pretenderá acreditar la veracidad de la información permitiendo para ello el uso de certificados digitales, información biométrica o simplemente procesos de identificación y autenticación robustos de doble factor. Existirán unas cuantas plataformas de gestión de identidad que serán utilzadas por el resto de Webs y portales como mecanismos homologados de gestión de acceso.
  • REDES SOCIALES
Las redes sociales en expansión en este momento sufrirán una evolución y pasaran a crearse subredes sociales mas especializadas que reúnan a usuarios en torno a temáticas concretas. A estas comunidades de internautas también serán un sector interesante para el uso de información de carácter personal con finalidades comerciales y publicitarias. En esta dinámica, una posible novedad es que no sea el afectado directamente el que proporcione información sino que al adherirse a una red especifica de forma explícita revele sus gustos, aficiones, intereses, etc. Otra opción posible es que sea la red de contactos de la red social del afectado la que proporcione información sobre este, algo como lo que ocurre ya en Facebook con las fotos donde cualquiera que sube una imagen puede indicar qué otros contactos suyos aparecen en la misma. Esto mismo extendido hacia otras áreas como los gustos, aficiones, intereses, podrían ser una nueva forma de recolección de información de carácter personal pero no suministrada directamente por el afectado.
  • IP V6
La llegada de la siguiente versión del protocolo IP va a permitir solventar dos actuales problemas de Internet: la falta de direcciones y la seguridad. Esta nueva versión permite que existan en un metro cuadrado mas de un millón de direcciones IP. Ello extenderá el uso de Internet y no solo dispositivos electrónicos estarán conectados a Internet sino que todos los electrodomésticos tendrán acceso a la Red. Desde el punto de vista de la privacidad, los electrodomésticos serán una nueva fuente de información que podrá revelar patrones de consumo alimenticio, eléctrico o hábitos domésticos.
  • MARKETING PROACTIVO
Como resultado de las tecnologías anteriores, la recogida de forma masiva de información sobre el usuario que se realiza actualmente, podrá en un futuro generar potenciales beneficios hacia lo que yo denomino el marketing proactivo. En nativos digitales que han ido dejando rastro de gustos desde menores de edad, la polarización de gustos, tendencias, aficiones y "sentimientos" permitirá conocer aspectos nuevos del potencial consumidor. También en este sentido se están desarrollando tecnologías para la identificación de emociones por parte de los aparatos domésticos de forma que reconozcan el estado de ánimo para ofrecer o presentar servicios. Las empresas podrán anticiparse a los posibles deseos del consumidor y seleccionar potenciales productos que al usuario puedan interesar garantizando la materialización de esa compra potencial. La mayor parte de esta información puede obtenerse desde los buscadores, ya que lo que el consumidor investiga en la red suele estar orientado a potenciales compras. Esta misma información procesada por agentes del mundo del marketing puede servir para vender a los proveedores finales de productos perfiles de clientes casi convencidos. La minería de datos que permite correlacionar informaciones y obtener patrones de comportamiento serán las tecnologías que permitirán estos nuevos tratamientos de datos. También permitirá a las empresas incrementar sus beneficios al poder clasificar mejora sus clientes en los diferentes grupos o perfiles de compra estableciendo para cada uno de ellos un rango de precios que maximice sus beneficios. Un producto se estratifica por perfiles de clientes asignando diferentes precios a cada uno de estos perfiles. Identificar al potencial consumidor en el grupo correcto permite lanzar promociones y ofertas de productos conociendo de antemano que ese cliente potencial aceptará esos precios y evitando que pueda adquirir esos productos en rangos de menor cuantía.


Sinceramente es cierto que los cinturones aprietan pero en ciertas decisiones los árboles pueden no estar dejándonos ver el bosque. Los modelos de negocio de "lo gatuíto" están basados ya no en intercambios monetarios por servicios sino en remuneración en información. Es similar al objetivo de las tarjetas de fidelización de toda gran superficie que cambia puntos o descuentos por registrar nuestras compras. No le damos importancia y no podemos estimar quizás su valor, pero seguro que detrás hay mucho dinero contante y sonante porque seguramente como consumidores somos más predecibles de lo que nos creeemos. A ver si por la ansiedad y la presión del momento estamos tomando decisiones que aunque aparentemente sean intentos de salir del agujero, estén a medio y largo plazo dejandonos en una situación mucho peor que la que pretendemos resolver, algo que ha expresado de forma magnífica El Roto en esta viñeta del El País.


viernes, 4 de mayo de 2012 2 comentarios

La Informática es ley

Este post lleva unos meses ya cocinándose en mi cabeza desde que en una reunión de amigos informáticos nos pusimos ha hablar del rol de nuestra profesión en el siglo XXI. Las discusiones filosóficas sobre si la informática es un arte, una ingeniería, una ciencia derivaron en comentarios respecto al papel regulador de la actividad humana en nuestro día a día. A quien no le suena familiar ya la frase de "Disculpe pero el programa informático no me deja hacer esto o lo otro". 

Y realmente empieza a ser cierto que en muchas situaciones mandan los criterios de un ordenador que muestra un resultado o una decisión en una pantalla salvo que olvidamos o ignoramos que la máquina no toma decisiones, las tomó en su momento el desarrollador del código que programó esa aplicación para presentar esos resultados.

Como ya he comentado antes, estos meses ando liado con temas vinculados al Esquema Nacional de Seguridad y por ende la Administración electrónica. En estos momentos en los departamentos de TI de todas las Administraciones Públicas se andan cocinando proyectos que tienen por objetivo facilitar al ciudadano su relación con la Administración permitiendo interactuar telemáticamente con ella. Algo que ya vemos natural en el sector financiero es ahora un derecho establecido por la Ley 11/2007 que supuestamente debe suponer un impulso a la introducción de las tecnologías de la información en la Administración Pública.

Sinceramente debo ver este avance con cierta preocupación porque al menos por lo que voy encontrando a mi paso parece que ahora el derecho quedará definido por el código de programación de las aplicaciones con las que vayamos a tener que tramitar. Es cierto que los reales decretos de desarrollo de la Ley 11/2007 se han ido publicando de forma tardía pero ello no debiera justificar la ausencia de cumplimiento de todos ellos. Siempre hemos oído que el desconocimiento de la ley no exime de su cumplimiento. Sin embargo, parece que la Informática como tal, está por encima del bien o del mal y que puede obrar con libertad saltándose las restricciones que el mundo del derecho ha establecido mediante las regulaciones oportunas. De nada sirve que la legislación hable de cosas tan concretas como la firma electrónica, el expediente electrónico, regule cómo debe ser un documento electrónico para que sea considerado una copia auténtica de uno equivalente en papel, etc si no se le hace ningún caso. Y reflexionando al respecto creo que estas circunstancias se dan principalmente por cuatro factores:

  • Las áreas TI y sobre todo, el mundo del desarrollo no incorpora siempre los requisitos legales establecidos porque ignora en muchos casos cual es la reglamentación que afecta a la aplicación en concreto que se está desarrollando. Es cierto que en estos años el número de leyes y reales decretos es abundante pero nuestra profesión, como las demás, no es ajena al cumplimiento de la ley. En el caso del ingeniero en informática además la cosa se agrava cuando es precisamente el que debe tomar las decisiones respecto a la implementación de programas que obviamente también deben garantizar ese cumplimento legal. En consultoría en materia de seguridad uno de nuestros ejes sobre el que orientar lo que se debe garantizar es el cumplimiento de la legislación respecto a la protección de información. Y el espectro de leyes que pisan ya muy seriamente al área TI no es pequeño. Por nombrar las más relevantes, tenemos al menos estas leyes y reales decretos que tener en mente en todo momento:
    • Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica.
    • Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
    • Ley 59/2003, de 19 de diciembre, de firma electrónica.
    • Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.
    • Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
    • Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios público.
    • Real Decreto 3/2010, de 8 de enero, por el se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
    • Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.
  • En los equipos de desarrollo normalmente no participan áreas de perfil jurídico que puedan asesorar o apoyar al área de programación a entender o interpretar correctamente las regulaciones establecidas. Esta ausencia de criterios por parte de personal especializado se suple con la buena intención o hacer del personal técnico de desarrollo que "interpreta a su manera" lo que la ley expresa, siendo muchas veces una visión distorsionada o no ajustada al objeto de protección establecida por la legislación. A ello también contribuye bastante que la redacción de la legislación anteriormente nombrada es en muchos casos ambigua e imprecisa en las definiciones de términos o en la propia redacción permitiendo todo tipo de licencias a la hora de programar lo regulado. Es necesario que estos proyectos son multidisciplinares y al menos en las fases de diseño y análisis de requisitos es necesario la visión del ingeniero en informática que sabe lo que se puede programar, la del jurísta que entiende lo que la ley pretende salvaguardar y la del bibliotecónomo que conoce bien los entresijos de la gestión y organización de la información para hacer un uso eficiente de los datos. Todos con un objetivo único y común, hacer que la aplicación proporcione la funcionalidad deseada con la máxima eficiencia posible, el menos consumo de recursos y sobre todo y fundamentalmente, garantizando la seguridad jurídica de la gestión en base a la robustez de la implementación por el nivel de cumplimiento de las regulaciones del ámbito tecnológico.
  • La gestión de proyectos TI cuando las decisiones técnicas se ven condicionadas por factores políticos son un lodazal que pringa a los buenos profesionales y donde ven a diario como son ignorados sus consejos o criterios. Para ejemplificar esta situación quiero recomendar leer el post Como el agua: ¿son las TICs una utility? de alguien que habla con conocimiento de causa y desde dentro de la casa.
  • La ausencia de supervisión y verificación del cumplimiento mínimo de garantías. A nadie nos sorprende que el más vulgar electrodoméstico o producto deba superar unas pruebas mínimas que  verifiquen la seguridad industrial del proceso de fabricación. Algo que exigimos a cualquier tipo de objeto ni por asomo se nos pasa por la cabeza que sea atribuible al mundo del software. ¿Y por qué no? Obviamente enlentecería el proceso de desarrollo pero ¿para que queremos hacer las cosas rápido si las hacemos mal y luego hay que rehacerlas y empezar de nuevo? 

Y aunque el tono del post sea algo pesimista, quiero destacar que si hay gente que está haciendo las cosas bien, gente que piensa mucho primero, diseña y define lo que es necesario establecer, lo documenta y después se pone manos a la obra a poner ladrillo tras ladrillo hasta lograr el resultado final. El problema es que esos ejemplos son "poco conocidos" y su labor poco entendida. Es necesario tener completamente identificado cual es el problema a solucionar para poder resolverlo de forma correcta. Y como lo mejor siempre es un buen ejemplo, quiero referenciar el excelente trabajo de Nacho Alamillo en lo que denomina su "gestión documental segura" donde ha establecido un mapa conceptual con todas las piezas del puzzle que hay que resolver para poder hacer real que las aplicaciones efectivamente garanticen la seguridad jurídica establecida por las leyes. Tal como pinta en su Web, las elementos que hay que relacionar con cohexión y consistencia son los siguientes:


Nacho, creyente del modelo de licencia Creative Common, ha colgado su formalización de la política de gestión documental segura en este enlace y nos permite a todos consultar cada una de las piezas que forman parte de la complejidad regulatoria y técnica que hay que definir para tener un puzzle consistente y robusto, de forma que no quede ninguna duda de cumplimiento legal. Las piezas del puzle que toda solución de e-Administración debe implementar debe definir, documentar y resolver cuestiones de diferentes ámbitos y dominios, vinculados a la seguridad, a la criptografía, a la gestión documental, al derecho administrativo de forma que en su conjunto, todos los mecanismos proporcionen el cumplimiento legal y la garantía de que el trámite en soporte electrónico proporcionará un nivel de confianza similar al trámite en soporte papel. 


Os animo a recorrer el mapa conceptual que he referenciado en el enlace y a leer las normas e instrucciones técnicas que lo componen. Y aquellos que leáis esto y estéis metidos en proyectos de e-Admin, hacedse la siguiente pregunta ¿Cuantas piezas del puzzle habéis identificado y definido?
 Como he leído hoy en un blog, "“Si no puedes pagar el coste de hacer las cosas bien, espera a que te llegue la factura por hacerlas de forma mediocre”. 





 
;