Presentación de ciberseguridad

, Author

Presentación a la Dirección Nacional de Ciberseguridad, Seguridad Pública de Canadá

13 de octubre de 2016

Dirección Nacional de Ciberseguridad
Seguridad Pública de Canadá
340, Laurier Avenue West, 13th Floor
Ottawa, Ontario K1P 5K3
[email protected]

Asunto: Submission on Cyber Security

Señoras y señores,

Aprovechamos la oportunidad de su consulta sobre Seguridad y Prosperidad en la Era Digital para aportar nuestros comentarios sobre las implicaciones para la privacidad del enfoque de Canadá en materia de ciberseguridad, que se explica en la convocatoria publicada por su departamento el 16 de agosto de 2016.

Para poner nuestras observaciones en contexto, la Oficina del Comisionado de Privacidad de Canadá tiene el mandato de supervisar el cumplimiento de la Ley de Privacidad, que cubre las prácticas de manejo de información personal utilizadas por los departamentos y agencias federales, y la Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA), la ley federal de privacidad del sector privado de Canadá, así como ciertos aspectos de la Ley Canadiense Anti-Spam (CASA). La misión de nuestra Oficina es proteger y promover los derechos de privacidad de las personas.

Contexto

La privacidad y la ciberseguridad están estrechamente relacionadas. Por un lado, los retos de la ciberseguridad también se aplican a la privacidad. Las organizaciones deben estar al tanto de las últimas ciberamenazas para proteger sus sistemas informáticos. Y los responsables de privacidad deben hacer lo mismo para proteger adecuadamente la información personal que les confían sus clientes y empleados. Por otra parte, las políticas de ciberseguridad también pueden invadir la privacidad, al igual que las estrategias puestas en marcha para combatir las ciberamenazas, aunque no sea la intención. Las estrategias y actividades de ciberseguridad también pueden dar lugar a sistemas de vigilancia que conduzcan a un seguimiento y análisis ilimitado y perpetuo de la información personal de los individuos.

En 2014, nuestra Oficina publicó un informe sobre los intereses comunes y las tensiones entre la privacidad y la ciberseguridad. Explora cómo los desafíos de la ciberseguridad también afectan a la privacidad y la protección de datos, y cómo las políticas de ciberseguridad pueden afectar a la privacidad. También analiza la gobernanza y la seguridad del ciberespacio como cuestiones globales. Por último, el informe establece orientaciones políticas clave para integrar los valores de la privacidad en las orientaciones políticas de ciberseguridad, para fomentar enfoques legislativos que promuevan la preparación en materia de ciberseguridad y para estimular el diálogo sobre la ciberseguridad como elemento importante de la protección de la privacidad en líneaFootnote 1 El documento de consulta publicado por el gobierno es un paso adelante en el establecimiento de este diálogo.

Alentamos encarecidamente al gobierno a revisar nuestro informe de investigación para obtener una mejor imagen de las implicaciones de la privacidad. A continuación se presentan las observaciones (y los enlaces a los documentos pertinentes elaborados por nuestra Oficina) en respuesta a las preguntas específicas planteadas en el documento de consulta.

Tendencia nº 1: Cibercrimen en evolución

Tema 1.1: Contrarrestar la ciberdelincuencia – Aplicación de la ley y organizaciones de los sectores público y privado

En sus esfuerzos por contrarrestar la ciberdelincuencia, los organismos encargados de la aplicación de la ley deben ser conscientes del impacto de sus actividades en la privacidad de los canadienses. Las evaluaciones del impacto sobre la privacidad (PIA), exigidas en determinadas situaciones por la política federal, son una importante herramienta de planificación y un mecanismo de mitigación del riesgo para la privacidad. El proceso de PIA ayuda a determinar si las iniciativas gubernamentales que utilizan información personal plantean riesgos para la privacidad y ayuda a medir, describir y cuantificar esos riesgos, y proponer soluciones para eliminarlos o reducirlos a un nivel aceptable. Tanto si se trata de un organismo policial que se enfrenta a los crecientes desafíos de la ciberdelincuencia como de instituciones gubernamentales que poseen grandes cantidades de información personal de ciudadanos o empleados, las PIA ayudarán a garantizar el cumplimiento de la Ley de Privacidad, demostrarán transparencia explicando a los canadienses cómo el gobierno maneja su información personal y proporcionarán responsabilidad por el uso de la información personal. Para obtener más información sobre las EIP, le invito a consultar lo siguiente:

  • Nuestras expectativas: una guía para presentar evaluaciones de impacto sobre la privacidad a la Oficina del Comisionado de Privacidad de Canadá, 2011Footnote 2;
  • Evaluación de impacto sobre la privacidad: las 10 cosas que se deben y no se deben hacer, 2016Footnote 3.
    • De acuerdo con las leyes de privacidad del sector privado de Canadá, las organizaciones deben proteger la información personal bajo su control. También deben identificar sus obligaciones en materia de privacidad y los riesgos para la misma. Las organizaciones deben tener en cuenta estos riesgos a la hora de desarrollar sus modelos de negocio, tecnologías y prácticas operativas relacionadas, así como las salvaguardias necesarias antes de lanzar nuevos productos o servicios. Deben minimizarse para la organización, sus empleados y sus clientes para mitigar el impacto de cualquier violación de la privacidad. Las organizaciones lo conseguirán si cuentan con un programa de gestión de la privacidad en evolución que tenga siempre en cuenta estos elementos.

      Nuestra Oficina ha elaborado numerosas publicaciones para ayudar a las organizaciones a cumplir con los requisitos de responsabilidad y seguridad y a eliminar ciertas amenazas a la privacidad y la seguridad, por ejemplo:

      • Un programa de gestión de la privacidad: la clave para la responsabilidad;Nota 4
      • Proteger la información personal: Una herramienta de autoevaluación para las organizaciones;Nota 5
      • Diez consejos para reducir el riesgo de privacidad, 2014;Nota 6
      • Riesgos de privacidad y seguridad asociados al uso por parte de los empleados de sus propios dispositivos con fines empresariales, 2015;Nota 7
      • Pagos electrónicos y digitales y privacidad.Nota 8
        • La Ley Anti-Spam de Canadá (CASA) ayuda a proteger la información personal de los canadienses en línea. Su aprobación en 2014 supuso un importante avance en materia de ciberseguridad en Canadá. Mi Oficina comparte la responsabilidad de la aplicación de la CASA con la Comisión Canadiense de Radiotelevisión y Telecomunicaciones (CRTC) y la Oficina de la Competencia. Se centra en dos tipos de delitos:

          • la recopilación de direcciones de correo electrónico, mediante la cual se recopilan listas masivas de direcciones de correo electrónico a través de diversos mecanismos, incluidos los programas informáticos que buscan direcciones automáticamente en Internet; y;
          • la recopilación de información personal mediante el acceso ilegal a los sistemas informáticos de otras personas, principalmente a través de programas espía.

          La OPC pone a disposición del público diversos recursos relacionados con el spam, entre los que se encuentran:

          • Amenazas en línea asociadas al spam, 2011;Nota al pie 9
          • Guía para empresas dedicadas al cibermarketing, 2015;Nota al pie 10
          • Consejos útiles para empresas dedicadas al cibermarketing, 2015.Nota a pie de página 11
          • Nuestra Oficina completó recientemente su primera investigación en virtud de la ACPA contra la entidad «Compu-Finder «Nota a pie de página 12. Esta empresa no contaba con un programa de gestión de la privacidad y, por tanto, no podía demostrar que había obtenido el consentimiento para utilizar sus direcciones de correo electrónico. Desde entonces, la empresa ha accedido a poner en marcha un programa de este tipo.

            Proteger la información personal de actividades ilegales como el malware y otros tipos de fraude no sólo es un requisito legal, sino que también es esencial para mantener la confianza en la economía digital de Canadá. El futuro crecimiento económico de nuestro país depende de la innovación y de la existencia de sólidos marcos de seguridad y privacidad que respalden a los ciudadanos y a las organizaciones.

            A diferencia de la LPRPDE, la Ley de Privacidad no exige a las instituciones gubernamentales que protejan la información personal bajo su control. Nuestra Oficina ha hecho recomendaciones al Parlamento sobre esta cuestión (entre otras) para fomentar la reforma y modernización de la Ley para reflejar los cambios en la tecnología y su uso desde que entró en vigor en 1983Footnote 13.

            Tema 1.2: La aplicación de la ley en el ciberespacio

            Cuando se trata de las expectativas de los canadienses en cuanto a la privacidad y la investigación policial de la actividad en línea, las encuestas y los tribunales de Canadá han sido muy claros en cuanto a que los derechos de privacidad y las libertades de la Carta que disfrutamos como ciudadanos en nuestra vida cotidiana fuera de línea también deben ejercerse en línea. El Tribunal Supremo de Canadá lo dejó claro en 2014 en el caso R. contra Spencer. Concretamente, en lo que respecta a los poderes policiales, las herramientas de investigación utilizadas en línea deben tener las mismas salvaguardias, umbrales de autorización y requisitos de carga de la prueba y de mitigación que sus homólogas de registro e incautación fuera de línea. En Spencer y en otras decisiones anteriores, el Tribunal Supremo de Canadá ha sido muy coherente en este sentido: como sociedad, no ponemos en peligro la protección de los derechos fundamentales para facilitar la aplicación de la ley o agilizar los procedimientos judiciales.

            La Ley de Protección de los Canadienses contra la Ciberdelincuencia, que entró en vigor en marzo de 2015, dotó a la policía de una serie de nuevas herramientas, como la facultad de vigilar las comunicaciones electrónicas, localizar las transacciones digitales y emitir órdenes que exigen la conservación de las pruebas electrónicas. Corresponde a las instituciones gubernamentales demostrar que existe un problema grave y explicar cómo superarían los obstáculos a la investigación. Por último, creemos que existen vínculos entre las cuestiones planteadas en el documento de consulta y la consulta sobre seguridad nacional lanzada poco después. Haremos más comentarios sobre la aplicación de la ley y las actividades de las agencias de seguridad nacional en el contexto de esta consulta y los haremos públicos.

            Tema 1.3: Protección contra las ciberamenazas avanzadas

            En un entorno en el que los ciberataques se producen a diario, no se puede exagerar la importancia de adoptar un marco de seguridad completo y holístico para protegerse del acceso no autorizado a la información personal. Nuestra Oficina investigó recientemente una violación de datos en el sitio de citas para adultos Ashley Madison. Nuestra investigación puso de manifiesto la importancia fundamental de que las organizaciones que disponen de información personal por vía electrónica cuenten con procesos, procedimientos y sistemas explícitos y adecuados para gestionar los riesgos de filtración de datos y con los conocimientos técnicos necesarios (internos o externos) para ello. Esto es especialmente importante cuando se trata de información sensible, cuya divulgación podría causar graves daños a la reputación o a las personas afectadas. Nuestra Oficina ha recordado a las organizaciones que poseen información personal sensible o grandes cantidades de información personal que deben contar con medidas de seguridad de la información, tales como:

            • una política de seguridad;
            • un proceso explícito de gestión de riesgos que aborde los problemas de seguridad de la información, desarrollado por personas debidamente cualificadas; y;
            • una formación adecuada en materia de seguridad y privacidad impartida a todos los empleados.
              • La legislación que obliga a notificar las violaciones de datos es una forma eficaz de reforzar la responsabilidad de las organizaciones en cuanto a la protección de la información personal bajo su control y a la adopción de las salvaguardias adecuadas. En 2016, IPSOS realizó una encuesta para el Centre for International Governance Innovation (CIGI)Nota 15 sobre la seguridad y la confianza en Internet entre los canadienses. Según la encuesta, el 18% de los canadienses ha sido informado de una violación de la seguridad de su información personal. Hasta la fecha, el enfoque de Canadá respecto a la notificación de violaciones de datos ha sido incoherente. Las organizaciones están obligadas a notificar las violaciones de datos sanitarios en varias provincias, como Ontario, Nuevo Brunswick y Terranova y Labrador. En Alberta, las organizaciones del sector privado están sujetas a la Ley de Protección de la Información Personal de la provincia; en todo el país, estarán sujetas a la LPRPDE. La política del gobierno federal exige que las instituciones gubernamentales sujetas a la Ley de Privacidad informen a la Oficina del Comisionado de Privacidad de Canadá y a la Secretaría del Consejo del Tesoro de Canadá sobre cualquier violación sustancial de la privacidad y sobre las medidas de mitigación aplicadas. La OPC recomendó la notificación obligatoria de infracciones en virtud de la Ley de Privacidad.Nota 17

                La notificación obligatoria refuerza la seguridad al proporcionar una visión más completa de las prácticas de seguridad y permitir la detección y corrección de problemas sistémicos. También nivela el campo de juego para las organizaciones en términos de aplicación. Al imponer las mismas obligaciones a todas las organizaciones, se evita que una organización sea injustamente señalada cuando informa proactivamente de una violación de datos.

                Tema 1.4: Potenciar la participación pública – Tema 2.1: Fomentar la confianza de los consumidores en el comercio electrónico

                Nuestro mandato incluye la concienciación del público sobre cuestiones de privacidad y derechos de privacidad. Para ello, publicamos regularmente diversos recursos educativos para los canadienses. Creemos que la mejor manera de que los canadienses se protejan de muchos riesgos de privacidad, incluido el acceso no autorizado a su información personal, es conocer sus derechos y tomar decisiones informadas sobre qué información personal comparten, con quién la comparten y con qué propósito. Por ejemplo, hemos elaborado materiales de buenas prácticas para proteger la información personal, entre ellos:

                • El robo de identidad y usted, 2014;Nota al pie 18
                • Diez consejos para prevenir el robo de identidad, 2013;Nota al pie 19
                • 10 consejos prácticos para proteger su buzón de correo electrónico, su ordenador y su dispositivo móvil, 2015.Nota al pie 20
                  • Nuestra Oficina trabaja con diligencia para educar a los individuos y a las organizaciones sobre las implicaciones en materia de privacidad de las nuevas tecnologías, las iniciativas gubernamentales y las prácticas empresariales. Además de elaborar sus propios informes de investigación sobre diversos temas, como los drones Nota 21 y el análisis predictivo Nota 22, financia investigaciones independientes a través del Programa de Contribuciones. El objetivo de este programa es generar nuevas ideas, enfoques y conocimientos sobre la privacidad que las organizaciones puedan utilizar para proteger mejor la información personal o que los canadienses puedan utilizar para tomar decisiones más informadas sobre su privacidad. Nuestra Oficina ha financiado recientemente investigaciones sobre temas tan diversos como los vehículos conectadosFootnote 23 y la seguridad de los rastreadores de fitness.Footnote 24

                    Nuestra Oficina también ha publicado orientaciones (comentadas a lo largo de esta presentación) para ayudar a las organizaciones a proteger mejor la información personal bajo su control. Las personas deben tomar medidas para ser conscientes de los riesgos y protegerse en consecuencia, pero la protección de la información personal no debe recaer únicamente sobre sus hombros. Las organizaciones también tienen un papel que desempeñar en este sentido. La confianza en la economía digital depende de ello.

                    Conclusión

                    En un mundo de fronteras cada vez más difusas, la colaboración entre los especialistas en ciberseguridad y las autoridades de protección de datos es cada vez más importante. Su renovado enfoque de la ciberseguridad pone de manifiesto la necesidad de promover y proteger las libertades en línea y garantizar la colaboración y coordinación entre jurisdicciones. En este contexto, es esencial que los expertos en ciberseguridad y las autoridades en materia de privacidad, como nuestra Oficina, colaboren aún más estrechamente para mejorar las salvaguardias tanto en el sector público como en el privado y garantizar que la privacidad sea un principio rector de los esfuerzos de ciberseguridad. Esperamos contribuir a este diálogo.

                    Por favor, acepten, señoras y señores, el testimonio de mi más alta consideración.

                    El Comisario,

                    Original firmado por

                    Daniel Therrien

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *