En Colombia se creó la ley 1581 de 2012 encaminada a establecer reglas que garanticen el derecho a la protección de los datos personales, con dicha Ley se buscó alcanzar un mejor grado de seguridad de cara a incremento en el uso de medios digitales para el manejo de la información. Ahora bien, ya han pasado casi 11 años desde el momento en que se publicó oficinalmente y 6 años desde que se expidió su primer decreto reglamentario, sin embargo, las organizaciones aún no logran seguir todos los preceptos que esa Ley establece y, por el contrario, cometen innumerables fallas procedimentales que crean brechas y facilitan la interceptación de los datos.
Dentro del panorama presentado hay errores comunes que tan solo se hacen visibles a través del principio de seguridad de la Ley 1581, estos errores pueden causar perjuicios a los titulares de la información personal, y daños económicos a la organización producto de sanciones económicas derivadas de la negligencia en el tratamiento de los datos a su cargo. A continuación, se citan algunos casos de fallas que deberían ser tenidos en cuenta por las empresas que día a día se esfuerzan en cumplir la Ley.
- Funcionarios que se conectan a internet a través de redes públicas o abiertas:
Esta circunstancia se crea por una labor que se realiza fuera de la organización tal como sucedería con vendedores, asesores técnicos de campo, responsables de trámites y logística en aduanas, o empleados con actividades de teletrabajo. Se ha observado que en casi un 80% de los casos, a dicho personal se les exige enviar informes de resultados a través de líneas de consolidación de datos, y en al menos un 35% de las ocasiones ese mismo personal no cuenta con planes de datos móviles o fijos para permitan gestionar la comunicación en forma privada, por tanto las acciones de envío de información se realizan a través de interconexiones poco seguras que podrían facilitar la interceptación de contraseñas, formularios u otros datos sensibles. De hecho, con tan solo olvidar cerrar una sesión en un café internet se podría comprometer parte de la información de la empresa o al menos los datos personales del mismo funcionario.
- Hacer uso de una misma contraseña para manejar diferentes cuentas:
Este error va ligado al uso del correo electrónico, plataformas especializadas, redes sociales o las cuentas para trámites bancarios, y es cometido por todo tipo de funcionario en innumerables entidades. Si bien es cierto que la responsabilidad de evitar tal error recae directamente en el usuario que hace uso de una plataforma, también lo es que cada organización tiene la obligación de capacitar y/o concientizar a cada empleado sobre los riesgos de seguir esa práctica. En el mundo real, si un delincuente logra romper alguna seguridad y averigua la contraseña de un usuario por ejemplo en una red social, con absoluta seguridad utilizará la misma contraseña para intentar acceder a otras aplicaciones y si dicho usuario manejó una única clave entonces de seguro el delincuente no solo intentará robarle sus cuentas bancarias, sino que lo suplantará en el momento que tenga acceso a las plataformas de uso corporativo.
- Navegar en internet a través de páginas Web sin certificado de seguridad:
Las páginas en mención “HTTP” corresponden a contenidos que manejan un protocolo transferencia de datos poco seguro, contrario a lo que sucede con los sitios que cuentan con el encabezado “HTTPS” los cuales poseen un sistema de cifrado de datos que hace inoperante su interceptación, ello debido a la altísima dificultad para descifrarlos. Los sitios “HTTPS” además cuentan con un certificado digital que puede ser garantía para quien navega y requiere entregar sus datos personales, en tal caso el usuario debe verificar que el certificado del sitio sea de tipo “OV”, (con verificación de la organización) o “EV” (con verificación ampliada de la entidad que trata los datos), así podrá comprobar que existe la empresa y que su identidad corresponde a la misma organización que es propietaria del dominio y que solicita los datos. Aquí es importante tener en cuenta que las páginas de estafa con sitio falso generalmente operan con encabezado HTTP o con HTTPS de tipo “DV” (con verificación tan solo de dominio); por tanto, es deber del funcionario realizar las comprobaciones pertinentes antes de enviar datos sensibles como por ejemplo los que corresponden a las afiliaciones en salud de un conjunto de empleados.
- Descargar y ejecutar archivos de orígenes desconocidos:
Generalmente estos archivos llegan adjuntos a correos electrónicos de remitentes con los que no ha compartido su dirección de email. Se debe evitar abrir estos archivos, y más bien enviarlos a la bandeja de correo no deseado, bloqueando la cuenta de origen. Otra fuente de estos archivos son los sitios de descarga de programas ligados al acceso a documentos, videos o imágenes, en este caso los funcionarios deben ser instruidos para no aceptar este tipo de descargas, y los ordenadores asignados deberán estar configurados para que a nivel usuario no se pueda instalar ningún tipo programa; omitir esto podría exponer un equipo de cómputo a la acción de malware o de programas espía que se orientan a robar todos los datos que existan en él.
- Instalar aplicaciones no comunes que den acceso al micrófono y a la cámara en smartphones:
Tales aplicaciones podrían insertar código oculto que facilitaría el espionaje de las llamadas de un funcionario, o permitirían el acceso a directorios con documentos o imágenes. De hecho, se sabe que cierto software es capaz de transmitir las conversaciones que ocurren en el medio ambiente o visualizar entornos, todo sin siquiera que el usuario esté utilizando el teléfono. Adicionalmente es indispensable cifrar el contenido de las tarjetas de memoria, y establecer contraseña segura o activación con huella para el acceso del dispositivo, de lo contrario los datos personales contenidos en él podría caer en manos de terceros en caso de robo o pérdida del equipo.
Se debe recordar que los riesgos dentro el tratamiento de los datos personales son muy variados; por tanto, es necesario contemplar todos los escenarios y prepararse para resolver todo tipo de contingencia.
