Alicia García-Falgueras. Dra. en Psicobiología. Investigadora universitaria
En la actualidad y en cualquier país civilizado y organizado, la seguridad de la información constituye uno de los valores fundamentales, que capacita y hace posible una óptima gestión de recursos, de bienes y servicios. Sin embargo, existen múltiples impedimentos de tipo leyes obsoletas, sistemas de protección anticuados o confusiones conceptuales que impedirían que una protección garantizada fuera posible aunque no en su totalidad.
Es importante distinguir entre entidades no maliciosas y maliciosas, según su intencionalidad en hacer daño sobre las bases de datos. Por ejemplo, existen hackers, hacktivistas o entidades no maliciosas que tendrían intereses particulares buenos o malos, aunque no intencionados para dañar, alterar o controlar sistemas de datos que fueran inseguros en su protección por desconocimiento o desinformación. La expoliación de datos activos, por otra parte, se lleva a cabo por ejemplo por parte de explotadores intencionados. La seguridad y protección es una batalla constante en permanente vigilancia contra aquellas amenazas, de todo tipo y variantes, que quieran dañar los marcos o redes de trabajo, en constante balance entre productividad y utilidad.
Los software y nuevos utensilios informáticos están cada vez mejor preparados para mitigar ataques y el campo de la ciberseguridad, pero los equipos más nuevos y costosos del mercado no garantizan una seguridad si no se trabajan con ayuda del personal más brillante que exista en el área de ciberseguridad, para combatir al adversario exterior. Es importante mencionar que la seguridad informática, aún siendo un terreno por mejorar dada su reciente creación, cuenta con un 0% de desempleo.
Esta revisión sería de utilidad en áreas del ámbito educativo, en el sanitario, en transporte, en defensa, en finanzas o en el propio concepto de almacenaje de enseres físicos, etc., y en general para la empresa pública o privada que se encuentre expuesta en las redes y necesite de internet para realizar sus gestiones y negocios.
Para intentar aportar algo de entendimiento en esta compleja materia, hemos analizado y estudiado la aproximación teórica que ofrece la Universidad de Colorado Sistema (University of Colorado System), la cual en el año 2010 sufrió un ataque informático que impidió todo acceso a la red a todo el personal de la universidad y estudiantes, quienes intentaban realizar sus trabajos, durante dos días completos. Al haber sido atacado, mediante envío de tránsito masivo a la Universidad, los datos relativos a internet y al firewalls, los ordenadores no podían acceder a internet.
El ataque se realizó por un agente desconocido a día de hoy, explotando la vulnerabilidad de los servidores DNS, e impidiendo que pudieran traducirse las direcciones IP en nombres e identidades. La mitigación del ataque se pudo llevar a cabo determinando cómo se realizó la modificación de los paquetes DNS y, tras conocerlo, colocando un código decodificador que permitiese la traducción de las IP de nuevo. Para la defensa posterior, se implementaron una serie de servidores recursivos del firewall, para gestionar el tránsito, fuera masivo o no, de forma apropiada y evitando así futuros ataques similares.
Al verse en la tesitura de tener que solventar y prevenir este y otros ataques, el servicio informático de dicha Universidad implementó y mejoró ampliamente su conocimiento al respecto así como sus barreras de protección. Al tratarse de una Universidad, ahora además está ofreciendo de forma docente una aproximación teórica y práctica al respecto, la ciberseguridad que resulta de innegable valor para otras entidades y Universidades.
Leyes en España
En esta revisión analizaremos las leyes más recientes al respecto, entendiendo que éstas se sustentan en otras previamente publicadas, pero que no citaremos ni referiremos para simplificar y ser lo más claro y conciso posible.
La más reciente modificación o mejora que se realizó en las leyes españolas al respecto tuvo lugar en el año 2015 (RD 951/2015 de 23 de octubre), mediante la modificación del ya publicado Real Decreto 3/2010 de 8 de enero sobre el Esquema Nacional de Seguridad (ENS). En esta normativa, mejorada respecto a las anteriores, aunque se hace aún mayor hincapié en los conceptos referidos a la protección y seguridad de documentos físicos, en papel o visibles en tres dimensiones, faltando a veces información referente a los nuevos soportes digitales existentes.
En esta publicación del BOE (RD 951/2015 de 23 de octubre), en su artículo 11 del apartado uno, se especifica que «Todos los órganos superiores de las Administraciones públicas deberán disponer formalmente de su política de seguridad que articule la gestión continuada de la seguridad, que será aprobada por el titular del órgano superior correspondiente». En el epígrafe j especifica «Protección de la información almacenada y en tránsito». Sin embargo, poco concreta para referirse a los componentes electrónicos que habría que garantizar, almacenados o en tránsito. De naturaleza electrónica en sí misma, tan sólo se mencionan los medios electrónicos en general y el correo electrónico, el DNI y los certificados electrónicos en particular y nada se menciona en la categoría de digital, existiendo un considerable vacío conceptual en lo que se refiere al objeto que ha de protegerse.
En lo que respecta al medio de comunicación internet, en este Real Decreto se hace referencia al esquema de líneas de defensa básicas, en cuanto a sus puntos de interconexión a otros sistemas o a otras redes, en especial si se trata de internet o redes públicas en general.1. Puntos de interconexión a otros sistemas o a otras redes, en especial si se trata de Internet o redes públicas en general. 2. Cortafuegos, DMZ, etc. 3. Utilización de tecnologías diferentes para prevenir vulnerabilidades que pudieran perforar simultáneamente varias líneas de defensa… Nada se dice respecto a antivirus u otras medidas protectoras para identificar o detectar y manejar los riesgos frente a ataques de virus o malwares, phising, spams maliciosos, etc.
Buenas prácticas en seguridad
Por otro lado, en este RD se menciona la norma europea ISO/IEC 15408 (International Organization for Standardization) como estándar de reconocimiento internacional de buenas prácticas respecto a la seguridad, implementada en el año 1999. Sin embargo, los códigos de práctica más actualizados y completos para garantizar la confidencialidad, integridad y accesibilidad de los datos serían las ISO/IEC 27001 e ISO/IEC 27002. El código ISO/IEC 15480 presenta un proceso de evaluación extremadamente costoso y lento, no siendo por ello usado por los gobiernos o los mercados de defensa. También impediría el desarrollo de los productos, ya que la garantía de los certificados se vería alterada por ajustes de seguridad.
Según la naturaleza de los datos y la organización o entidad en cuestión que procura la defensa y vigilancia, existen múltiples marcos de protección o «frameworks» (National Institute of Standards and Technology, 2013). Para adoptar dichos códigos la entidad debe organizar sus propios riesgos de información, clarificar sus objetivos de control y aplicar los posibles controles o fórmulas existentes para tratar los riesgos de seguridad según la guía del código estándar.
En el mismo año y unos días anteriores, la Ley 39/2015 de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas dispone en su artículo 17.3 «Archivo de documentos» que: «Los medios o soportes en que se almacenen documentos, deberán contar con medidas de seguridad, de acuerdo con lo previsto en el Esquema Nacional de Seguridad, que garanticen la integridad, autenticidad, confidencialidad, calidad, protección y conservación de los documentos almacenados.
En particular, asegurarán la identificación de los usuarios y el control de accesos, así como el cumplimiento de las garantías previstas en la legislación de protección de datos». Pero no se especifica que la naturaleza de los datos sean electrónicos. Aunque se ensalza el valor y eficacia de la incorporación de los medios electrónicos en su tercer párrafo con estas palabras: «Porque una Administración sin papel basada en un funcionamiento íntegramente electrónico no sólo sirve para mejora los principios de eficacia y eficiencia, al ahorrar costes a ciudadanos y empresas, sino que también refuerza las garantías de los interesados».
El artículo 13.h de esta Ley afirma que uno de los derechos de las personas en sus relaciones con las Administraciones Públicas es: «la protección de datos de carácter personal, y en particular a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas». En el artículo 16.1 se detalla que: El Registro Electrónico General de cada Administración funcionará como un portal que facilitará el acceso a los registros electrónicos de cada Organismo. Tanto el Registro Electrónico General de cada Administración como los registros electrónicos de cada Organismo cumplirán con las garantías y medidas de seguridad previstas en la legislación en materia de protección de datos de carácter personal.
Con esta descripción se pone de manifiesto el valor de la accesibilidad de los datos electrónicos y en el artículo 3 de ese mismo apartado, se menciona la integridad de los datos electrónicos de esta manera: Para ello, se emitirá automáticamente un recibo consistente en una copia autenticada del documento de que se trate, incluyendo la fecha y hora de presentación y el número de entrada de registro, así como un recibo acreditativo de otros documentos que, en su caso, lo acompañen, que garantice la integridad y el no repudio de los mismo. Respecto a la confidencialidad específica de los datos tipo electrónicos, no se mencionan en particular en esta ley.
Ya desde la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD) y el Real Decreto 1720/2007, de 21 de diciembre, se impuso la obligación a las empresas y organismos, tanto públicos como privados, de establecer unas medidas de seguridad destinadas a garantizar la protección de los datos de carácter personal contenidos en ficheros automatizados o en formato papel.
El National Institute of Standards and Technology (NIST) en el año 2013 publicó una especial revisión (número 4) numerada 800-53, en la que se proporcionaba una aproximación más holística a la información referida a la seguridad y al manejo de los riesgos, proporcionando a las organizaciones privadas y públicas los conocimientos fundamentales sobre el reforzamiento de sus sistemas de seguridad y de los entornos donde sus sistemas estarían operando.
Basado en el principio estratégico de «Construirlo muy bien» (Build It Right), se analizan varios sistemas de control de seguridad, para la monitorización constante de información básica en tiempo real, que es esencial para los líderes experimentados en cuanto a la toma de decisiones basadas en un menor impacto de riesgos para sus negocios. Además, esta publicación especial ha sido ampliada para incluir ocho nuevas familias de control de privacidad basadas en los Principios de Práctica de Información Justa internacionalmente aceptados.
Bases de Datos Sanitarios
El anonimato de los pacientes respecto a sus datos clínicos es una variable que ha de protegerse en todo intercambio de datos sanitarios. El paciente acude solicitando ayuda para solventar o mitigar un asunto referido a su salud, sin que ello implique que desee ser conocido por su dolencia en la comunidad médica ni entre otros pacientes con similares dolencias, ni que desee ser mencionado o referido en algún lugar por su condición médica. Las pruebas sanitarias a las que se someta no conllevan ningún acuerdo implícito de intercambio de sus datos, a no ser que firme específicamente un documento consintiendo en dicho uso médico más general. Igual sucedería con los datos académicos respecto a los estudiantes, o para el personal de plantilla de una empresa, etc. En la actualidad existen programas informáticos desarrollados para garantizar los requerimientos del mantenimiento de autonomía, la privacidad y la confidencialidad de los pacientes que opten por compartir sus datos para las bases de datos de los investigadores.
Por ejemplo, el programa OTRIS (Open-access Translational Research Information Systems) permite el manejo y estudio de bases de datos clínicos obtenidos en laboratorios públicos y privados y otras fuentes de forma confidencial, conservando el complicado balance entre los aspectos éticos, legales y sociales. Además, estas bases de datos también son susceptibles de violaciones a la privacidad, aunque es posible mitigar estos ataques (Malin y cols., 2010). Por otro lado, el poner en común estos datos médicos numéricos de diferentes lugares y profesionales médicos, tendría la ventaja de aunar y normalizar los criterios médicos para evitar sesgos, falsos positivos o negativos, criterios médicos errados o fallos sanitarios, que se pondrían de manifiesto comparando las características médicas de los grupos de pacientes diagnosticados con el total de toda la población.
En lo referido a los datos genómicos y de todo tipo de información sanitaria protegida (PHI, protected health information), existe un alto nivel de protección en las llamadas «nubes biomédicas» (Biomedical Clouds) (Grossman y White, 2012). Éstas pueden contener una mezcla de datos, públicos algunos de ellos, otros restringidos, de manera que la protección de estas nubes ha de ajustarse a sus características específicas. El análisis de los datos se puede realizar dentro de la propia nube, sin necesidad de mover los datos, aunque podrían descargarse si así se requiere. En la nube ha de haber espacio y cabida para los nuevos datos que vayan incorporándose, ampliando así la fiabilidad de la información que pueda contrastarse en ese lugar e igualmente ha de ser posible inter-operar con otras nubes de datos en análisis más complejos e intercambiar datos entre ellas sin que suponga un coste extra (Grossman y White, 2012).
Las nuevas tecnologías están avanzando respecto al tratamiento de los datos personales, pero es necesario una mayor garantía de protección. En particular, la definición de dato personal, el reforzamiento de los sistemas y principios de encriptado (garantizando el anonimato de los datos personales de los pacientes hacia el personal sanitario) y la transferencia de datos entre nubes, serían los elementos a mejorar para una mayor garantía de protección (Molnár-Gábor y cols., 2017).
En el ámbito sanitario existe desde 1996 la HIPAA (Health Insurance Privacy and Accountability), que garantiza la privacidad y confidencialidad de los datos médicos mediante sofisticados protocolos. En el año 2009, en la política americana se amplió el concepto al HITECH (Health