Seguridad o privacidad ¿Alguna diferencia?

De

Imagen de: https://nordvpn.com/es/blog/privacy-vs-security/


Wow, tenía muchísimo tiempo sin escribir, desde Julio del 2020, en un tiempo donde aún no hablamos de pandemia y justamente la entrada tiene relaciona con el tema de este post, Privacidad.

Para retomar el tema de Seguridad de la Información vs Privacidad, es interesante ver algunas definiciones que me gustan (Según glosario NIST y una traducción mía):

  • Seguridad de la Información: enfocado en la protección de la información y los sistemas de información contra el acceso, uso, divulgación, interrupción, modificación o destrucción no autorizados con el fin de proporcionar confidencialidad, integridad y disponibilidad.
  • Privacidad: Garantía de que se protege la confidencialidad y el acceso a cierta información sobre una entidad.
Según estas definiciones pudiéramos pensar que la gestión de Seguridad de la Información cubre el aspecto especifico de Privacidad, y según mi opinión y experiencia no es conveniente verlo así, ya que pudiéramos pecar en perder el foco específico de esta materia. Me gusta ver la privacidad como ese aspecto sensible que involucra el ámbito de la vida personal de un individuo y que, por lo tanto, seguridad de la información sería una herramienta que ayuda a proteger ese aspecto teniendo un balance con el resto de sus objetivos.

Siempre suelo decir que podemos hacer mucha Seguridad de la Información con poca o nula privacidad, pero es imposible hacer privacidad con poca o nula Seguridad de la Información, y de ahí lo importante de tener roles específicos que velen por cada ámbito.

Me gusta dar la siguiente situación hipotética, con el fin de tener un contexto más claro de la importancia de cada rol:

Con el fin de velar por el adecuado uso de un sistema de correo electrónico, el equipo de Seguridad de la Información o Antifraude propone realizar un control sobre el envío de correo electrónico, donde algunas personas de dichos equipos revisarían al azar correos electrónicos a fin de identificar potenciales divulgaciones de información, parece una acción legitima, pero ¿Qué pasa con la privacidad de esas comunicaciones? Si cambiáramos el canal y en vez del correo electrónico dijéramos que alguien estaría escuchando las conversaciones telefónicas ¿Sentirían que es algo más invasivo?

Aun cuando el correo electrónico o las llamadas telefónicas se tratase de un canal de comunicación corporativo, en él se realizan comunicaciones sensibles que no deben ser vista por personas externas a las que está dirigido el mensaje. Si no tenemos una perspectiva de privacidad, se pudiera implementar dicho control sin mayores inconveniente, sin embargo, con un rol de Privacidad separado al de Seguridad de la Información y buena cultura, se entrega mayor y mejores garantías para que el diseño de control no vaya en contra de la privacidad de las personas. 

¿Podrán existir situaciones donde se deba revisar una comunicación?

Pues si. Existen situaciones de investigación justificadas y que debiesen pasar por un proceso de aprobación, que permitiría revisar ciertas comunicaciones en vista de un evento que se deba revisar para recabar información.

Por mucha seguridad que se quiera implementar en una organización o incluso en un país, está no debe ir en contra de los derechos de las personas, y justamente ese es el valor y la diferencia entre Privacidad y Seguridad de la Información, velar que, desde un punto de vista de riesgos internos y externos, no se atente con ese derecho fundamental y que ni Seguridad de la Información u otro elemento amenacen dicho derecho.

¿A ti te gustaría que alguien estuviera escuchando o viendo tus mensajes en pro de un "bien mayor"?

Seguramente la respuesta es un rotundo NO. Por más que no estés infringiendo la ley o no estés haciendo algo indebido que debas ocultar, tiene derecho a tu privacidad, y por más que se quiera mantener un entorno seguro, este no debe ir en contra de tus derechos.

Soy de la idea que hay situaciones de situaciones, pero esos casos puntuales o extremos no pueden afectar nuestros derechos fundamentales, por ello es fundamental que existan organizaciones, áreas, personas o cualquier otro, que tenga un rol relevante en que esos derechos no se vean mermados.

Imagen de: https://nordvpn.com/es/blog/privacy-vs-security/

Comentarios

Publicar un comentario

Populares

Seguridad: ¿Física, lógica o de la información?

De
Imagen
El concepto de seguridad ha sufrido cambios de identidad a través del tiempo, sin perder ciertos principios que garantizan la integridad, disponibilidad y confidencialidad de los activos. Cuando comenzamos adentrarnos en el mundo de la seguridad dentro de las organizaciones, solemos escuchar títulos tales como seguridad informática, cyber seguridad, seguridad física, lógica o simplemente seguridad de la información, que en general tienen dos vertientes en cuanto a su objetivo: Seguridad física : Su objetivo principal suele ser la seguridad de las personas y los recursos tangibles de la organización. Esta tipo de seguridad se caracteriza por tener mecanismos destinados a proteger físicamente recursos tales como personas, sala de procesamiento de datos, edificios, entre otros (Si sé que no es políticamente correcto decir que las personas somos un recurso/activo, pero para efectos prácticos lo llamaremos así, eso sí, somos el recurso más importante que existe).  Seguridad lóg
Leer más

Seguridad: Diseñar controles o vivir en el descontrol

De
Imagen
En cierta medida, vivimos con un grado de tranquilidad de acuerdo a la sensación de seguridad que tengamos, y esa sensación de seguridad está estrechamente relacionado al funcionamiento de los controles. Si recuerdan un poco, en varias oportunidades he escrito que los controles son aquellas medidas que nos permiten disminuir la probabilidad o el impacto de la materialización de una amenaza, por lo tanto, entre más conforme estemos con su funcionamiento, sentiremos que estamos mejor preparados para hacer frente a una situación adversa. Está realidad aplica para todo, nos sentiremos más a gusto haciendo algo si tenemos controles que nos den tranquilidad. Por ejemplo: si vamos a salir y está lloviendo de manera moderada, con utilizar un chaqueta impermeable con capucha sería suficiente (control para no mojarnos), pero si está lloviendo muy fuerte, es muy probable que ese control sea insuficiente, por lo que deberíamos cambiarlo o agregar otros, como un paraguas, botas a prueba de agu
Leer más

Presentación: Un poco de mi

De
Imagen
Veamos ¿quién soy? Si hablamos desde el aspecto profesional (No hablaré mucho del personal porque los aburriría mas), soy Ingeniero en Electrónica, estudie esa carrera en un lugar muy hermoso de Venezuela (Puerto Ordaz, deje mi hogar para irme a estudiar 5 años en otra ciudad). Me gradué con el honor de ser el número uno de mi promoción, creo que corrí con la suerte de que mi mejor amiga (por mucho más inteligente, dedicada y con mejores notas) no se pudo graduar en ese momento (Luego se graduó cum laude. Hola Lorena!). Conseguí trabajo en Caracas (La capital de Venezuela, y como toda capital, un caos), unos ocho meses después de haberme graduado (Me lo tome con calma, mis papas no tanto). En mi primer trabajo tuve un breve contacto con la seguridad informática, estuve desarrollando sistemas de seguridad con biometría (Un intento fallido que duro no más de 4 meses). De ahí pase a formar parte de una importante empresa de telecomunicaciones donde inicie verdaderamente mi carrera profe
Leer más