Tecnología y derechos de usuarios

Tecnología y derechos de usuarios, entrevista a Pablo F. Iglesias

Hoy cumplo unas de mis grandes metas desde que mi blog se asomó al mundo 2.0:  Quería tener presente a Pablo F. Iglesias para hablar de tecnología y derechos.

Hace poco coincidimos en un evento sobre legalidad y carreras de drones al que lo invité deseando poder acribillarle a preguntas a lo Gestapo, pero el evento se prolongó y yo tuve que salir corriendo como novia a la fuga, así que esta es oficialmente mi primera charla con Pablo y algunas de las preguntas que hoy puedo formularle.

Si quieres encontrarlo es mejor que empieces escribiendo su marca personal Pablo Yglesias que ha conseguido diferenciar gracias a la Y y unas dosis descomunales de trayecto profesional.

Pablo pertenece a una especie de profesionales cuyo currículo es una especie de triatlón Iron Man, vamos, nada terrenal: Analista de información en Nuevas Tecnologías y Seguridad Informática, Consultor de Estrategia y Marca, emprendedor de pura cepa, creativo y para rematar, un gran productor de conocimiento para otros profesionales como esta servidora que se alimentan de sus curradísimos contenidos que presenta en   su Comunidad de Nuevas Tecnologías y Seguridad de la Información PabloYglesias

Personalmente no he encontrado una comunidad tan nutritiva como la que ha creado Pablo y por esa razón, hoy para mí es un gustazo tenerlo en esta que es mi casa, tertuliando sobre espacios comunes: Tecnología y Derechos.

Tecnología, derechos y seguridad, una charla necesaria con Pablo F. Iglesias

Te invito a participar de esta charla abierta entre dos frikis de la tecnología en donde solo el que sabe de verdad responde 😉

MB: Eres un gran productor de contenido sobre tecnología y seguridad, temas que hasta ahora parecía preocupar solo a las grandes empresas o aquellas que gestionaban información especialmente sensible ¿Crees que las pequeñas empresas y autónomos deberían asumir también esta preocupación y dedicar recursos a reforzar su seguridad interna?

PI: Bueno, lo de buen productor de contenido no sé, jaja. Se intenta hacer lo mejor posible J. Respecto a tu pregunta, por supuesto. Tenemos que preocuparnos tanto si trabajamos en una gran empresa como si tenemos una pyme, somos autónomos, o somos meros usuarios.

Hay que tener en cuenta que ahora el target ha cambiado. Resulta muy complicado atacar a una empresa como Google, y en cambio, resulta muy fácil hacer lo mismo con una pequeña empresa o un usuario medio. Claro está, parece que el beneficio de atacar a un gigante es muy superior, pero hay que considerar que la mayoría de ataques se realizan a día de hoy de manera automatizada. A nivel puramente económico, sale igual de rentable, ya que no se ataca a una pyme, se ataca a miles, y lo mismo pasa con los usuarios.

Tampoco es que haya que vivir con miedo. Simplemente tenemos que entender el escenario donde nos movemos, y ser conscientes de que tanto a nivel usuario como a nivel de trabajador de una empresa, podemos ser objetivos de la industria del cibercrimen. No porque un cibercriminal ruso nos tenga enfilados, sino porque esta industria a “industrializado” (http://www.pabloyglesias.com/crime-as-a-service-caas/) los ataques amparándose en el aún escaso conocimiento que tenemos del funcionamiento de la tecnología.

MB: Ya se ha aprobado el nuevo reglamento de protección de datos a nivel europeo y no obstante, hay muchos profesionales y empresas que todavía siguen al margen de la LOPD ¿Cómo explicas tu ese desafecto?

PI: Se junta el hambre con las ganas de comer. Por un lado, la mayoría de usuarios somos desconocedores de todos los entresijos legales que hay tras la LOPD, y aplicamos (quien aplica) parches que a veces reman a corriente de la legislación española, y otras veces solo aplican legislaciones menos restrictivas.

Además, tendemos a centrar recursos más en aquello que nos atañe directamente (como mantener el negocio en pie), y obviamos todo aquello que no repercute en un plazo corto de tiempo en el mismo.

Dicho esto, creo que estamos ahora mucho mejor que lo que estábamos hace unos años, y seguramente, estamos mucho peor que lo que estaremos en años venideros, conforme las nuevas generaciones, más cercanas a la tecnología, y el propio peso de la ley (lamentablemente parece que solo aprendemos a golpes) nos empujen en este camino.

El nuevo reglamento europeo exige a las empresas ser más proactivas en lugar de ser reactivas ante los riesgos y establecer un sistema de privacidad por diseño y por defecto ¿Cómo valoras tu este cambio normativo?

Es un cambio totalmente necesario, aunque entiendo que resulta difícil de aplicar en según qué sectores.

No es lo mismo una startup que puede permitirse trabajar con metodologías agile, e incluir en el ciclo de desarrollo de producto el security by design, que una corporación que tiene ya una metodología de trabajo interna instaurada, con decenas (o cientos) de productos en el mercado.

Fíjate que aquí, casualmente, las pymes tiene una capacidad de pivotaje superior a la de las grandes empresas, y en un país como España regido principalmente por pequeñas y medianas, lo suyo es que seamos pioneros a la hora de cubrir la ideosincracia del escenario actual.

MB ¿Cuáles a tu juicio son los retos más urgentes que deberán asumir las empresas para poder prevenir, detectar y reaccionar adecuadamente ante posibles brechas de seguridad?

PI: La principal y más obvia es conocer los riesgos y formar a la plantilla en el uso seguro de los recursos. La mayoría de las brechas de seguridad se deben a mala praxis por parte de los trabajadores.

El BYOD (tráete tu propio dispositivo) y la gestión cruzada de recursos corporativos en entornos personales (como la nube), representan a la vez una gran oportunidad para conciliar el trabajo con la familia, y la vez, un problema para gestionar la seguridad corporativa.

La idea es precisamente ofrecer al trabajador las herramientas adecuadas, siguiendo patrones del mínimo privilegio posible, para minimizar, en la medida de lo posible, los riesgos asociados a estos nuevos entornos.

Y por último, claro está, implantar la filosofía de la seguridad en todos los ciclos y metodologías de trabajo. La unión de un sistema informático robusto, con una gestión de roles adecuada, con una formación de trabajadores mínima, cubre prácticamente la mayoría de brechas de seguridad que podemos sufrir.

MB: Por último, quiero que te mojes un poquito: constantemente surgen nuevos modelos de negocio en internet y profesionales, fundamente bloggers, que establecen toda su actividad económica en internet (venta de infoproductos, esquemas de afiliados, AdWords, estrategias de captación de leads, etc.) Un porcentaje escandaloso no cuenta con ninguna adecuación legal (deber de información, Identificación de vendedor, políticas de privacidad, condiciones de contratación, etc.  ) o es una simple copia y pega de políticas estándar ¿Qué opinas tu sobre esto? ¿Crees que es falta de conciencia o pura indolencia? ¿Cómo crees que se deba avanzar en este campo?

PI: ¿Esto no irá por mí, verdad? Jajaj. Es un tema muy interesante y complejo de afrontar.

Como bien sabes, la legislación europea, frente a la americana, tiende a considerar lo nuevo (quizás todavía no correctamente recogido en la legislación) como prohibido.

Esto genera un entorno en el que los nuevos modelos de negocio tienen que adaptarse a legislaciones que a veces poco tienen que ver con ellos.

Sin ir más lejos, hasta hace poco (y corrígeme si me equivoco), la gestión de datos personales estaba regida por la legislación creada en su día para mantener directorios físicos (armarios repletos de ficheros), y por tanto, cubrían en algunos casos los paradigmas de un entorno digital, y en otros (como el tema de la seguridad, y al ser el mundo digital eminentemente ubicuo) quedaban totalmente descontextualizados.

Esto no quita que todos aquellos que trabajamos en la red tengamos que dedicarle el tiempo necesario (o contratar a alguien que nos asesore) para cubrir aquellos flecos que seguramente se nos escapan.

Y el copia/pega de políticas de privacidad es un buen ejemplo. Como también lo es pretender que por tener un plugin de alerta LOPD cumplimos con la normativa.

También entiendo que la abogacía, en la medida de lo posible, debe acercarse al usuario, y no al revés. En esto entra el papel de personas como tú, Marina, que intentan explicar de una manera lógica y cercana el lenguaje incomprensible para el resto de mortales (entre los que me incluyo) que los abogados os empeñáis en utilizar :P.

¿Y tu que opinas? ¿Crees necesario un debate sobre Tecnología y derechos ?