No sé si recuerdan la entrada titulada “El cuento de la lechera en la nube 2.0 (o porqué Google no contesta con rotundidad)” que escribimos en este blog hace ya unos cuantos meses, a raíz de la polémica desatada por Javier Mestre con su crítica al gigante estadounidense y el riesgo de utilizar Google Apps Premium Edition en entornos corporativos.
Sea como fuere, en los comentarios de aquella entrada se creó un (pequeño) debate entre “g” y Edgard que me parece muy interesante de cara a entender qué entendemos por seguridad. Resumiendo, la cuestión se sitúa en torno a la confianza que la declaración/compromiso/”contrato” de confidencialidad que Google genera en el usuario de sus servicios. Edgard lo expresó de una manera cristalina: “[…] Me temo que si Google cumpliera con toda la legislación habida y por haber seguiría siendo una opción un tanto arriesgada desde el punto de vista de la confidencialidad de los datos.“. Efectivamente, no hay que olvidar que el buscador está bajo el paragüas del acuerdo de Puerto Seguro (dejemos de lado las numerosas pegas que tiene este acuerdo, por decirlo de una manera suave), y que sin duda implanta innumerables controles físicos y lógicos para preservar la confidencialidad de los datos que gestiona, independientemente de su tipología. Dicho de otra forma, y dejando de lado los datos de carácter personal, me atrevo a afirmar que hay pocas pegas que ponerle a Google en la gestión de los datos de sus clientes y usuarios, y que legalmente está totalmente regularizado, quizá mucho más que otras tantas multinacionales de telecomunicaciones u organismos públicos. Y aún así, a pesar de esto, Google sigue sin transmitir una sensación de seguridad, cuyos detractores están en muchos casos relacionados con la seguridad de la información.
Dejemos a Google; en este caso es sólo un ejemplo. Lo que me interesa de lo expuesto hasta ahora es: tal y como expuso “g” en aquel caso, si Google dispone de todas las garantías legales, ¿no debería traducirse eso en que tiene todas las garantías? Parece ser que no; la sensación de seguridad va mucho más allá en este caso del cumplimiento legal en forma de una declaración o compromiso de confidencialidad. Pero, ¿está este hecho condicionado por la situación global y en cierto sentido hegemónica del gigante americano? Probablemente sí; de hecho, muchas empresas locales gestionan una gran cantidad de datos de pequeñas empresas y autónomos sin que exista un contrato de confidencialidad por medio, y aunque lo haya, los controles lógicos y físicos son probablemente menos exhaustivos que los de Google.
¿Estoy diciendo que deberíamos confiar en Google para que gestione el correo corporativo? No; sigo pensando que mantener información confidencial en los sistemas de la organización aporta una seguridad (en el vertiente de la confidencialidad) que ningún sistema puede todavía igualar, y Google no es una excepción. El hilo de la argumentación es el opuesto: si no confiamos en Google a pesar de sus indudables esfuerzos e inversiones en seguridad, ¿deberíamos confiar en un proveedor, un cliente, o un empleado que va a tratar nuestros datos por el mero hecho de la firma de un compromiso o contrato de confidencialidad? La respuesta es obvia: no. Dejando de lado aquellos casos en los que ni siquiera existe tal firma, aunque legalmente un documento de este tipo supone una garantía, en muchos casos detectar y probar una filtración o robo de información es más bien complejo y costoso, por no decir casi imposible, excepto en casos muy obvios, en los que el volumen de información es significativo y es utilizado de manera muy obvia fuera de la organización.
Por tanto, concluyendo, creo que queda claro que la seguridad de un proveedor, cliente o empleado no puede limitarse a un mero documento firmado (tampoco hemos descubierto nada nuevo aquí). El caso es: dejando aparte la cuestión o garantía legal, ¿de qué sirve un compromiso de confidencialidad? ¿Es algo más que un apretón de manos, un “puedes confiar en mi”, una declaración de intenciones, una formalidad que viene a representar una sensación: la confianza?
Se lo dejo como reflexión para estos dos días. Pasen como siempre un buen fin de semana.
Yo firmé un documento de compromiso de confidencialidad que tiene una vigencia de 25 años, hasta la desclasificación de aquellos documentos considerados secretos en interés de la defensa nacional.
… Y pobre de mí si no lo cumplo, aunque lo que no pueda divulgar no tenga importancia.
Un compromiso de confidencialidad, desde mi punto de vista, aparte de responsabilizar legalmente el incumplimiento de este, y -en parte- disuadir de realizar hechos delictivos, no sirve para nada más. Todos deben venir acompañados de controles de seguridad técnicos, auditorias y – sobre todo si queremos dar sensación de seguridad – transparencía de cara al público general.
Como ejemplo de casos ‘tremendos’ estan los ‘espías’ estadounidenses que filtraron contenidos al ‘enemigo’, por ejemplo la película ‘El espía’ hace un buen repaso a uno de sus casos más tremendos (un ejemplo un tanto extremista).
Esta claro que un acuerdo de confidencialidad es necesario, pero más alla de lo necesario esta lo indespensable. Pero en seguridad ¿que es necesario?¿que es indispensable? y ¿donde está el equilibrio?