La innovación tecnológica continuamente propone nuevas herramientas para un planeta cada vez más conectado1, pero al mismo tiempo expone los datos personales a nuevas amenazas y, de manera más general, los activos de información valiosos, incluidas las infraestructuras críticas, ahora expuestos a la amenaza ciber.
Consideremos la explosión del modelo. Soluciones y a todas las implicaciones organizacionales de compliance y relacionados con la seguridad, a la difusión de dispositivos biométricos y grafométricos, a la creación de perfiles, a menudo integrado en el desarrollo del sitio sw web, al desarrollo tumultuoso del IoT, que según las estimaciones más conservadoras interconectará más de 50 miles de millones de dispositivos en el 2020 entre sí. Estos modelos deben entenderse bien, evaluando su adopción de vez en cuando, equilibrando los posibles beneficios reales que conllevan con los riesgos de violación de la privacidad, y más, relacionados con su uso.
Por supuesto, cada uno da preferencia a su punto de vista, de atacante o defensor, incluso si es difícil terminar jugando solo un rol.
De una población mundial de 7,5 mil millones de personas, los usuarios de Internet son 3,6 mil millones2.
Los datos son la materia prima de la era de la información.3: toda actividad humana realiza al menos un procesamiento de datos, en alguna etapa de su ciclo de vida, para que tenga lugar. El uso de datos, con la digitalización de la información, ahora ha entrado estructuralmente en todos los procesos económicos y sociales de nuestra vida4. La rápida evolución tecnológica pone continuamente a disposición nuevas herramientas y permite procesos de procesamiento de información que anteriormente eran imposibles o solo imaginables. Si solo pensamos en la recopilación de datos, en los últimos dos años 90% de todo el patrimonio mundial digital se ha generado5, que crecen a una tasa de 50% por año. Domo estadísticas6 Ellos devuelven claramente la dimensión del fenómeno de Internet: cada minuto del día en Youtube compartes 400 horas de videos nuevos; compra productos y servicios en Amazon por más de 222.000 dólares y casi 2 millones y media reciben un me gusta en Instagram.
Según Gartner7, dentro de los dispositivos 2020 conectados a Internet of Things (IoT) que no sean PC y dispositivos móviles, habrá 25 billones (más de la mitad solo para el mercado) consumidor); Cisco predice que con el 2020 el número total de dispositivos IoT interconectados podría alcanzar el umbral de miles de millones de 50, mientras que IDC incluso lleva esa estimación a miles de millones de 212.
Todas las empresas y organizaciones están migrando, algunas sin saberlo, a un modelo digital. Que promete nuevas oportunidades, pero que también se expone a nuevos riesgos.
Las fuerzas armadas, desde hace varios años, se han sometido a procesos concretos de transformación digital, comenzando desde los EE. UU. Considere el notable desarrollo de Forza NEC, el "programa multinacional de fuerzas dentro de la OTAN para la creación de una herramienta militar innovadora a través de la digitalización compartida de información, equipos y plataformas operativas y logísticas comunes".8.
Dispositivos inteligentes, no solo los dispositivos electrónicos comunes, sino también los más avanzados y sofisticados, conectados a la red de acuerdo con el modelo de IoT, o IdC - Internet of Everything, ofrecen características cada vez más innovadoras, creativas y ventajosas, pero inherentemente tienen riesgos potenciales considerables de ser hackeado9, de enemigos que a menudo no son fácilmente identificables y que a veces pueden llevar a ataques incluso si no tienen recursos técnicos o financieros importantes.
Se convierte en una acción urgente y necesaria por parte de las instituciones para apoyar una cultura de seguridad y defensa del derecho de la persona, no distinta de sus datos personales.
El Reglamento de Privacidad de la UE10 nos ofrece la oportunidad de abordar el problema de seguridad de manera estructurada, brindando indicaciones muy útiles (especialmente en el recitales), que, si es bien recibido, permite la implementación de medidas, procesos, organizaciones capaces de soportar el gran desafío de la protección de datos.
Aquí volver fácilmente los que están en nuestra opinión el más útil, para reconocer la formación de un potente "firewall", destinado a apoyar y fortalecer la conciencia de las personas que manipulan los datos personales, sino también de lo que desarrolla los sistemas de protección de datos, mediante la inserción en loops del ciclo de vida del proyecto de desarrollo de la Seguridad e Privacidad , el comportamiento humano como un requisito a tener en cuenta, al mismo nivel que los requisitos funcionales y obligatorios. Para una efectiva Seguridad e Privacidad por diseño11.
El garante de privacidad, en una declaración reciente emitida en un comentario sobre el caso Wikileaks-CIA12 de hecho afirma que "es esencial, sobre todo, invertir en privacidad por diseño y de forma predeterminada, diseñado para reducir el riesgo de invasión en nuestra esfera privada a partir de la misma configuración de los dispositivos. Pero, sobre todo, no debemos resignarnos al proceso aparentemente imparable de la vigilancia global, al que estamos cada vez más expuestos y que noticias como esta lamentablemente confirman".
En particular, la referencia a la protección de datos desde el diseño es explícita en el recital 78 del GDPR, mientras que el recital 83 presenta el enfoque basado en el riesgo necesario para enfrentar el compliance con la nueva regulación de privacidad, subrayando, en el considerando 90, la evaluación de impacto indispensable que siempre debe considerarse para definir las prioridades y áreas de aplicación de las medidas de seguridad a implementar.
Interesante para volver sobre el trabajo de P. Perri13 sobre la formalización de los criterios y estándares de seguridad, que ofrece una guía bien estructurada para comprender las relaciones entre los elementos a considerar para abordar correctamente la compleja teoría del análisis de riesgos.
En mi opinión, un enfoque orientado al establecimiento de esquemas de certificación debería ser apoyado vigorosamente, sobre todo a nivel de Servicio / Producto, con un modelo basado en la imparcialidad de los organismos de evaluación / certificación, garantizando el nivel de "Privacidad de seguridad" del objeto. Evaluación, en la línea de los Criterios Comunes.14, que requieren la adopción de modelos organizativos y procesos de desarrollo orientados a la protección de datos.
Con el fin de proteger mejor la confidencialidad de las comunicaciones electrónicas y un alto nivel de protección de la privacidad, la Comisión Europea ha propuesto recientemente nuevas reglas para todas las comunicaciones electrónicas, la denominada Directiva de privacidad en línea.15.
Sin embargo, también se les pide a los ciudadanos que desempeñen un papel activo en la protección de su privacidad, con comportamientos que son cada vez más conscientes de los riesgos potenciales derivados del uso de las nuevas tecnologías y los servicios / productos puestos a su disposición y los beneficios que pueden ofrecer. surgir.
Massimo Montanile: DPO - Responsable de protección de datos de Elettronica SpA Fellow del Instituto Italiano de Privacidad. Miembro de Federprivacy y del CDTI - Club Managers of Information Technologies de Roma. Licenciado en 1983 en Ciencias de la Información con honores por la Universidad de Salerno. Durante más de treinta años se ha ocupado de las tecnologías de la información y la seguridad de la información; ha adquirido una importante experiencia en diversas empresas multinacionales. Su debut laboral, en continuidad con su carrera universitaria, es en la startup Sintel en Salerno, socio de Siemens. Investigador desde 1984 en los Laboratorios de I + D de Olivetti en Ivrea, ha diseñado y desarrollado Protocolos de Comunicación Nivel 2 ISO / OSI, diseñando e implementando un autómata de estado finito para la prueba exhaustiva de protocolos de comunicación. En particular, ha desarrollado software seguro para organizaciones de todo el mundo (en particular, Israel, EE. UU.) En plataformas UNIX. Posteriormente ocupó diversos puestos de dirección de proyectos para la Administración Pública Central en Olivetti Roma. Tras un interludio de consultoría en el campo militar en Agusta (en el Ataque “Mangusta” A129), se trasladó al Grupo Telecom Italia en 1997, ocupando varios puestos dentro del Corporate, en Roma y, desde 2003 en Milán, en el campo de Compras. Desde 2007 en Elettronica SpA, actualmente ocupa el cargo de Delegado de Protección de Datos del Grupo. Ha publicado artículos y trabajos sobre Privacidad en prestigiosas revistas, entre las que se encuentran Il Corriere della Privacy y Labor Law & Practice de IPSOA, disertando como ponente en diversas conferencias temáticas (Privacy Day 2015 y 2016; ICT Festival 2016; Project "Vivi internet, al seguro "; etc.). Ex Auditor Líder UNI EN ISO 9001 Cepas, está certificado por TÜV como "Oficial de Privacidad y Consultor de Privacidad" e inscrito en el Registro de Videovigilancia de TÜV. Auditor Cepas Provisional SGSI. Auditor Líder IEC / ISO 27001 calificado por Cepas / DNV-GL.
Nota:
1 A. SORO, Libre y conectado, Edizioni Code, Turín, 2016
2 Datos en 4 May 2017. Fuentes e información: World Development Indicators (WDI) - Banco Mundial; Medición de la sociedad de la información - Unión Internacional de Telecomunicaciones (UIT)
3 A. ROSS, ex asesor del Departamento de Estado para la Innovación con Hillary Clinton y profesor en la Universidad de Columbia y la Universidad Johns Hopkins, explica cómo los datos son el motor de nuestra era, especialmente en su libro "Nuestro futuro - Cómo enfrentar al mundo en los próximos veinte años.", Feltrinelli, Milán, 2016, pp. 191-229.
4 A. SORO, Libre y conectado, Edizioni Code, Turín, 2016
5 P. BAE BRANDTZÆG (SINTEF ICT), en Science Daily "Big Data, para bien o para mal: 90% de los datos mundiales generados en los últimos dos años"
6 J. JAMES, Los datos nunca duermen 4.0Domo https://www.domo.com/blog/data-never-sleeps-4-0/ [Último inicio de sesión: 4.11.2016]
7 Gartner, Gartner dice que 4.9 Billion Connected "Things" se usará en 2015, comunicado de prensa, Gartner Symposium / ITxpo 2014, noviembre 9-13 en Barcelona, España.
8 http://www.difesa.it/Amministrazionetrasparente/segredifesa/Pagine/RirdiprogrammaForzaNEC.aspx Fuente: Ministerio de Defensa
9 Wikileaks ha publicado recientemente miles de documentos confidenciales, atribuidos a la CIA, sobre un programa de piratería basado en malware y ciber-arma. Este supuesto sistema de piratería permitiría a la CIA controlar los teléfonos de compañías estadounidenses y europeas, como el iPhone de Apple, el Android y Microsoft de Google, e incluso los televisores Samsung, usándolos como micrófonos secretos.
10 REGLAMENTO (UE) 2016 / 679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO DE 27 April 2016 relativo a la protección de las personas en relación con el procesamiento de datos personales, así como a la libre circulación de dichos datos y deroga la directiva 95 / 46 / CE (reglamento protección de datos).
11 A. CAVOUKIAN, "Operacionalizar la privacidad por diseño: una guía para implementar prácticas de privacidad sólidas", en línea, 2012. https://www.ipc.on.ca/wp-content/uploads/Resources/7foundationalprinciples.pdf [Último inicio de sesión: 31 Octubre 2016]
12 Wikileaks: Privacy Authority, arrojó luz sobre la piratería informática de la CIA lo antes posible. Declaración de Antonello Soro, Presidente del Garante para la protección de datos personales. (Adnkronos, 8 March 2017)
13 P. PERRI, Privacidad, ley y seguridad informática, Giuffrè Editore, Milán, 2007
14 Il Criterios comunes para la evaluación de la seguridad de la tecnología de la información (también conocido como Common Criteria o CC) es una norma internacional (ISO/IEC 15408) para la certificación de la la seguridad informática. Para una discusión completa, vea http://www.difesa.it/SMD_/Staff/Reparti/II/CeVa/Pagine/standard_valutazione.aspx
15 2002 / 58 / EC (Reglamento sobre privacidad y comunicaciones electrónicas), Bruselas, 10.1.2017 Comisión Europea - Propuesta para la protección de datos personales - COM (2017) 10 final - 2017 / 0003 (COD)
(foto: Guardia Costera de EE. UU. / Guardia Nacional del Ejército de EE. UU. / Reserva del Ejército de EE. UU.)
