Buenas prácticas de seguridad en la protección de datos personales

Por: Héctor José García.—(*)

  • Las tendencias tecnológicas nos han puesto en un mundo dinámico, interconectado y abierto, esto nos obliga a ser responsables con el tratamiento de la información a fin de evitar el robo y uso indebido de la misma.

Durante el primer semestre de 2015 la Superintendencia de Industria y Comercio, SIC, interpuso multas por un valor cercano a los 1.500 millones de pesos a empresas que incumplieron la Ley de Datos Personales. Los sectores de las telecomunicaciones, comercio, automotor y cajas de compensación son algunos que han recibido dichas sanciones, pero puede ampliarse la lista si no se toman medidas de seguridad y control de la información con los mecanismos idóneos.

Aunque es de público conocimiento la existencia de la Ley de Protección de Datos Personales expedida en el 2012 para evitar, entre otras cosas, el tráfico y circulación ilimitado de las bases que contienen datos públicos o privados de las personas, aún falta camino por recorrer para que en el país se promueva una cultura de seguridad de la información; las entidades públicas y empresas privadas son las llamadas a garantizar la aplicación de la normatividad existente.

Primero que todo hay que tener en cuenta la gran evolución tecnológica que el país está viviendo, y el incentivo del gobierno en la utilización de las tecnologías de la información y las comunicaciones disponibles para la gestión de las empresas y la administración pública. Actualmente el tratamiento de los datos personales se puede ejecutar a través de páginas web, almacenamiento en la nube, internet, canales VPN, correo electrónico, SQL server entre otros, como medios electrónicos utilizados por las organizaciones que almacenan datos personales en estructuras tecnológicas. Estos canales se encuentran obligados a garantizar la seguridad tecnológica de los mismos y pueden hacerlo con el uso de los  servicios de certificación digital regulados por Ley 527 de 1999. Dichos servicios son desarrollados para prevenir riesgos como la suplantación de identidad y ataques de piratas informáticos tales como phishing, hacking, ingeniería social, entre otros.

Las amenazas crecen diariamente y las estadísticas lo demuestran: en el 2015 la Unidad de Delitos Informáticos de la Policía Nacional recibió más de 7.000 denuncias, el 64 por ciento de éstas incluyeron el robo de información por medios informáticos.

A lo anterior se suma que las empresas colombianas perdieron más de 600 millones de dólares debido a ataques cibernéticos el año pasado y en el 2014 se estimó que las compañías de todo el mundo perdieron un trillón de dólares a causa del cibercrimen.

La situación es alarmante pero en el país existen, desde hace más de una década, entidades de certificación digital que tienen el carácter de “terceros de absoluta confianza” denominados así por la tecnología basada en criptografía que aplican para la protección de ambientes electrónicos y la seguridad de la información contenida en estos.

A la fecha, más de 26.000 empresas han invertido en servicios de certificación digital para proteger sus canales transaccionales. Certificados de Servidor para asegurar técnicamente los sitios web, autenticación electrónica a través de biometría y claves de un solo uso, mecanismos de cifrado, firmas electrónicas y correos electrónicos certificados, han blindado procesos, trámites y servicios del fraude y del robo de información.

La invitación para quienes lideran el tratamiento de los datos personales y la seguridad de la información en las organizaciones colombianas es la apropiación de las TIC con buenas prácticas y esto solo se logra invirtiendo en altos estándares de seguridad que otorguen validez jurídica y probatoria, además de eficiencia y competitividad.

 

(*) Director Académico del Centro de Estudios de Derecho y Tecnologías de la Informaciones y las Comunicaciones -CEDT- de la Facultad de Derecho de la Pontificia Universidad Javeriana. Actualmente Presidente de Certicámara S.A., Colombia. (Entidad de Certificación Digital y Autoridad de Registro).