Para muchos, la tecnología moderna y sus implicaciones son complejas de entender a cabalidad. En algunas organizaciones eso puede desconcertar a ciertos gerentes de unidades administrativas, debido a que percibir y comprender un panorama entero, integral y dinámico de sus decisiones o las demandas de los niveles estratégicos, no estuvo en su formación académica y por ello depende de su experiencia y estudio propio. Y es que si se toman decisiones de impacto sobre supuestos tecnológicos, hay riesgos de que consecuencias no previstas puedan afectar al negocio, incluso perjudicarlo. La pérdida financiera podría acontecer y si es grave, hasta producir inestabilidad que conduzca a la quiebra.
Ese puede ser el caso con la privacidad o soberanía de los datos, dos conceptos “difusos” para muchos gerentes cuya formación ha sido marcadamente restringida al mero entorno tecnológico. Privacidad y soberanía sobre entes digitales, como pueden ser los datos, que en agrupamiento e interpretación dan origen a informaciones, conocimientos y sabiduría, se vinculan con marcos regulatorios de naciones, que controlan y/o restringen su acceso, almacenamiento y tránsito. Comúnmente, esto no es materia de estudios en carreras del tipo ingeniería o ciencias naturales y ello resulta una debilidad inicial, para quienes deben ocupar cargos en niveles de gestión alta o mediana.
La privacidad es algo que intuitivamente asociamos con un sujeto y la soberanía con un estado, por eso no resulta evidente su aplicación en entornos corporativos y menos aplicados a bits. ¿Qué significa y cuáles consecuencias ocasiona el contratar un servicio de almacenamiento o transferencia de datos en ambientes externos a la infraestructura tecnológica de una organización?. Esa respuesta es clave al momento de decidir, pero comúnmente se ignora en muchos esquemas de selección de un proveedor. Por ejemplo, se va a contratar un servicio de mensajería o correo electrónico y se observan con atención características de rendimiento, retorno de inversión, ganancia económica, cantidad máxima de accesos simultáneos, volumen de registro disponible y presencia de cifrado, más se subordina aspectos como son la soberanía de datos, dado que puede que no se conozcan los detalles propios del almacenamiento o redes físicas del proveedor. De hecho, con frecuencia la promesa del servicio incluye un tácito: “no se enrede con detalles, nosotros lo hacemos y le aseguramos la calidad del servicio que usted contrata”.
Hay otras ocasiones, donde la consideración de esos aspectos relevantes se traspasan a los departamentos de consultoría legal y ello en principio luce bien, pero el tema es una conjunción de áreas legal y técnica, lo cual, analizado desde perspectivas aisladas es una visión parcial y a menudo fallida. El todo es más allá de las suma de las partes, es una afirmación que proviene de la teoría de sistemas y no es casual o menor. Así pues, la incertidumbre puede llegar hasta tocar el poder ejecutivo de una nación y como la tecnología de hoy tiene incidencia sobre la seguridad de estados, entonces se está haciendo frecuente que los directivos de grandes emporios tecnológicos sean interpelados por comisiones de congresos o asambleas. Allí se le hacen preguntas directas y no pocas respuestas asombran a muchos.
Ese es el caso de Anton Carniaux, director de asuntos públicos legales de Microsoft® en Francia, quien acompañado por Pierre Lagarde, director técnico en esa misma corporación estadounidense y sede europea, el pasado 18 de Junio, declararon que después de la promulgación del “Acta de la Nube” -enmienda H.R.4943 con título número 18- en el año 2018, por parte del congreso de Estados Unidos de América, ellos “… no pueden garantizar …” la plena soberanía de los datos de sus clientes franceses. También expresaron que hasta ahora no han tenido que transferir datos de sus clientes en Francia, fuera de sus servidores, sin el consentimiento de estos y que su procedimiento, hace un escrutinio cuidadoso de las solicitudes que puede recibir, no respondiendo ligeramente ante esas demandas.
De manera pues, que la empresa expresó claramente sus límites legales para proveer de privacidad y soberanía con sus servicios en la nube y es posible que otras empresas estadounidenses también tengan similares restricciones con sus clientes, al igual que posean obligaciones con la misma ley que los coloca en inferioridad ante algunos organismos de seguridad o justicia norteamericana. En realidad esto no debería ser sorpresa alguna, su raíz es de hace casi siete años, pero hay veces que es bueno mostrar estos sucesos, para así recordar que en materia de ciberseguridad los criterios para adopción de una tecnología o una solución de servicios, no necesariamente deben circunscribirse a la esfera cuantitativa de indicadores y métricas sobre funcionamiento operacional y ganancia. Suponer que cualquier cifrado de datos corporativo puede detener a las agencias de inteligencia de nuestros días, puede pagarse caro. Sigue siendo un asunto de suposiciones erradas.
En fin, estas situaciones hoy deben ser estudiadas incluyendo los contextos locales e intereses geopolíticos del momento. Algo que hace décadas atrás no tenía tanto peso como ahora sucede. Para ser más claro, cerramos estas palabras citando al investigador Hamid Salim, quien en su disertación del 2014, para obtener una maestría en el MIT, escribió: “… la ciberseguridad requiere un enfoque holístico y para crear una estrategia holística, las organizaciones deben ir más allá de la tecnología de seguridad y comprender y abordar también los riesgos no técnicos que contribuyen al problema de la ciberseguridad”.
Autor: Miguel Torrealba Sánchez
Departamento de Computación y Tecnología de la Información de la Universidad Simón Bolívar
mtorrealba@usb.ve
