Nombre, apellido y dirección de correo electrónico son tres datos personales que nos piden prácticamente en cualquier tipo de operación "online" que hagamos, desde transacciones complejas hasta la simple inscripción a un evento. Incluso suelen pedir más información.

Para hacer uso de la misma, lo correcto es que la empresa que la recibe sea clara con el propósito para el cual la recolectó y solicite a la persona que la subió “a la nube” autorización para utilizarla con el propósito acordado.

Al hacer clic en el botón “aceptar” estamos brindando nuestros datos personales a alguien cuya identidad no necesariamente conocemos.

La empresa que recibe la información puede usarla con diferentes propósitos, ya sea para acreditarnos al evento puntual que nosotros decidimos o para enviarnos invitaciones a todos los eventos que se hagan sobre temas relacionados.

Hoy no somos los usuarios quienes decidimos cómo se trata la información que compartimos en Internet y aún no hay una verdadera conciencia sobre el tema.  

Las empresas que trabajan con servicios en la nube se enfrentan a un doble desafío: por un lado tienen la responsabilidad de tratar con datos de terceros que no les pertenecen y por el otro tienen que proteger a los mismos frente a cualquier tipo de riesgo.

Transparencia y seguridad son dos pilares que las empresas y los proveedores de nube deben ofrecer y a los cuales los usuarios debemos prestar atención.

Cuando hablamos de las vulnerabilidades a las cuales estamos expuestos hay que dejar en claro algo: ninguna empresa está totalmente exenta de riesgos, todas pueden eventualmente sufrir algún tipo de ataque cibernético.

En este sentido lo que se recomienda es adoptar un proceso establecido de Gestión de los riesgos: proceso documentado y conocido, con personas responsables y mecanismos de control, donde se determinen el mayor número posible de amenazas a las que la organización se expone y la forma a partir de la cual se pueden minimizar los riesgos relacionados.

Esto no solo es útil para preservar la información que se maneja sino que también apunta a la empresa que -más allá de evitar problemas legales- debe asegurar la continuidad de sus servicios, brindar confianza a sus clientes y entregar los productos de la manera adecuada.

En el mundo de los negocios de hoy, la tecnología es una herramienta que nos habilita para muchas otras cosas y la migración hacia la nube ya es un hecho.

Sin embargo, antes de tomar la decisión es importante evaluar cómo se tratarán los datos propios y de terceros que se suben a la nube, considerar temas de costos de entrada y salida, de conectividad, entre otros.

Una recomendación es empezar de a poco, hacer pruebas, primero con la información menos crítica y luego con la más sensible.

También es recomendable implementar un Sistemas de Gestión de Riesgos (SGR) que es el corazón de los Sistemas de Gestión de Seguridad de la Información (SGSI).

La Argentina es un país pionero en la región en estas cuestiones ya que fue de los primeros países en publicar una norma de requisitos para certificar un SGR y ya hay casos de éxito, la IRAM 17551.

Una novedad a nivel Internacional de ISO (International Standardization Organization) y de IEC (International Electrotechnical Comission), en esta línea, es la recientemente publicada norma ISO/IEC 27018 que se sancionó a mediados de 2014 y apunta directamente a los proveedores de servicios en la nube.

Establece claramente las responsabilidades entre: el IPP Controler (la entidad que da los datos al prestador de servicios de cloud  y que le indica cómo hacer su procesamiento), el PII Processor (al prestador de servicios de cloud  que registra los datos y opera con esa información) y el dueño de los datos.

Tiene que haber un acuerdo firmado donde esten definidas las responsabilidades, donde el PII Procesor acepta la responsabilidad de velar por esos datos y la deja por escrito en un contrato y donde el usuario es el que va a determinar qué uso autoriza de esos datos.

Esta norma es nueva en Argentina, implica un gran avance en cuanto al respeto por la privacidad de la información ya que su filosofía está centrada en los derechos de los usuarios finales.

Los proveedores de nube que certifiquen la ISO/IEC 27001 siguiendo lo indicado en la ISO/IEC 27018 estarán dando un tratamiento transparente y responsable de la información.

Mi recomendación es que -tarde o temprano- habrá que ir hacia la nube, pero también dependerá de cada caso. Empecemos por implementar el Sistema de Gestión de Riesgos, pensemos cuál es la información crítica y cual no.

La elección del proveedor y de un eventual consultor es importante, y también lo será el hecho que certifiquen este tipo de normas ISO/IEC que agregan valor y confianza a sus servicios.

Confiamos en que en un futuro no muy lejano, seremos los usuarios quienes podremos decidir en qué eventos nos anotamos y qué tipo de invitaciones queremos y no queremos recibir.