En un anterior post de este blog hablé de unos cuantos principios básicos del cifrado de la información. Y sí, muy bonito, pero… ¿para qué quiero cifrar yo mi información?
De entrada, porque puede que la ley lo exija. Muchísimas personas y empresas tienen en sus discos duros información que necesita protección. Las grandes empresas sí que lo saben y tienen sistemas complejos, caros y difíciles de manejar, pero para algo tienen departamentos enteros con personal dedicado a ello.
Un usuario particular o una pyme no pueden permitirse esos lujos, y por eso no se mantiene la información con una adecuada protección. Veamos un par de casos.
Hace unos años tuve la oportunidad de llevar a cabo una auditoría de seguridad en un colegio. Era (bueno, sigue siendo, el colegio sigue existiendo) un colegio católico, y tenían un buen sistema informático. En sus sistemas tenían una estupenda base de datos sobre los alumnos, con toda la información relativa a los alumnos. Vamos, que tenían apuntado hasta las faltas de asistencia y sus aficiones deportivas.
El sistema era genial, en cualquier momento se tenía acceso a toda la información de un niño, y tanto los padres como los profesores podían hacer un seguimiento del niño. Estupendo, pero vayamos con unas cuantas consideraciones.
- Es información de un menor
- Contiene datos sobre su salud
- Contiene datos personales de los niños/padres: cuenta corriente, dirección, etc.
- Contiene datos sobre las creencias de los niños/padres: primera comunión, confirmación…
Simplemente con un pequeño vistazo a la estructura de la base de datos hizo que se me encogiera el cuerpo entero ante la posibilidad de que la Agencia de protección de datos supiera de la existencia de esos datos así almacenados. Si queréis adivinar hasta dónde podían llegar los problemas, echad un vistazo aquí.
Una vez corregidos los errores y hecha una adecuada protección, hay que empezar a pensar más allá de ese ejemplo. ¿Cuántos colegios, guarderías, centros de estudio o similar tienen datos como esos? ¿Saben que más allá de la multa que pueden recibir esos datos pueden ser robados?
La solución, aparte de una buena estructura de seguridad es el cifrado. Si esos datos están cifrados, ante un posible robo de información los datos serán ilegibles. Será la última barrera de seguridad ante los atacantes.
Y el otro caso es casi similar. Hace un tiempo fui a una revisión médica, y el doctor que me atendió estuvo introduciendo mis datos médicos en un ordenador portátil. Finalizada la consulta le pregunté por la seguridad de los datos allí metidos, ya que en cualquier momento podría entrar un ladrón y llevarse su ordenador. Con mucha tranquilidad me dijo que no, porque se llevaba el ordenador a casa todos los días. Caramba, como médico es muy bueno, pero como usuario de la informática dejaba mucho que desear. Es mucho más inseguro andar moviendo el ordenador de un lado a otro que dejarlo en la consulta con la alarma conectada.
¿Debe cifrar la información de ese ordenador? De nuevo volvamos aquí y lo revisamos.
Cifrar información de un ordenador es terriblemente sencillo, y el ahorro de costes sobre una posible multa es realmente increíble. Y no ya la multa, sino que en el caso del colegio estamos ofreciendo demasiada información sobre menores, y en el caso del médico, sobre la salud de los pacientes.
Cifremos la información, y no solo porque nos vayan a poner una multa, al fin y al cabo, a nadie le gusta que nuestros datos más íntimos salgan a la luz por un descuido… ¿o no?
Fernando de la Cuadra
@ferdelacuadra