Desde que publicamos el post Eres un PEaaS y lo sabes nos habéis preguntado varias veces “¿y qué hacemos?“. ¡Hay mucho que hacer y daremos unas pinceladas, porque seguro que nos quedamos cortos!

La respuesta no es única, ni simple, ni hay una “alternativa” 100% segura a modo de panacea ya que siendo PEaaS estamos cediendo nuestros datos para la prestación de determinados servicios y, sin esos datos, no hay prestación de dichos servicios. Esa es la clave.

Pero, si los cedemos, al menos debemos garantizar su seguridad (la nuestra), ¿no? Por eso, respecto a nuestros datos, privacidad, identidad etc., deberíamos tomar buena nota y hacer caso de aquella mítica campaña profiláctica que seguro recordaréis: “Póntelo. Pónselo.” 😉

¿Y cómo? En primer lugar, no suscribiéndonos o no contratando servicios si la gestión de nuestros datos que realizan no nos convence o no es la que deseamos. Y, respecto a los servicios que contratamos, teniendo conciencia de ello, conociendo nuestros derechos,

  • Qué datos estamos facilitando en cada caso.
  • A quién estamos facilitándoselos.
  • Cómo se entregan.
  • Por qué se necesitan y para qué se usan. Cuál es el motivo de solicitar cada dato.
  • Cómo se usarán.
  • Cómo se guardarán en los sistemas de la empresa.
  • Qué medidas y mecanismos de seguridad aplica la empresa sobre los datos.
  • Dónde se guardan (servidores y sobre todo si es o no en un país dentro de Europa).
  • Cómo se garantiza nuestra identidad para que si alguien los consigue no pueda identificarnos (seudonimizados) y tampoco pueda verlos y usarlos (encriptados).
  • Destinatarios de los datos… Si se facilitan a terceros o no.
  • Tiempo que la empresa conserva nuestros datos.

Para ello, en primer lugar, mal que nos pese, debemos leernos por completo, “de pe a pá“, esos extensísimos, tediosos y casi incomprensibles textos legales que hay que aceptar al suscribirse o contratar un servicio. Sí, sí, eso es, esos que nunca nos leemos y que siempre aceptamos a ciegas marcando la casilla “Acepto todo esto por la gloria de mi madre, JARL!” ;-).

Sí, seguro que os suenan porque están por todas partes pero bien “escondidos” y “agazapados” en 2º plano (cosa de la que se suele encargar la gente de Diseño, UX y MKT, a expensas de reñir, y mucho, con el Dpto. Legal ;-)).

Algunos de ellos son:

  • El EULA o Términos y Condiciones de Uso del servicio.
  • La Política de Privacidad.
  • El Aviso Legal.
  • La Política de Datos.
  • La Política de Cookies.
  • Y, cuantos existan en cada caso.

Leámoslos y luego, sólo si estamos de acuerdo, aceptemos (CONSENTIMIENTO) y usemos el servicio. Si no, nada.

DERECHOS DE LOS TITULARES O PROPIETARIOS DE LOS DATOS. Pero además de esto, ¿algo más? Pues sí. La LOPD y el Reglamento General de Protección de Datos (RGPD/GDPR) son clarísimos al respecto. Lo primero conocer si podemos ejercer TODOS los derechos que tenemos sobre nuestros datos y cómo lo podemos hacer.

  • Información. ¿Podemos solicitar los datos que se están recogiendo, usando y para qué?
  • Acceso. ¿Qué datos recoge el servicio, quién los tiene, para qué los usa?
  • Rectificación. ¿Son correctos y podemos modificarlos o actualizarlos?
  • Supresión. ¿Podemos solicitar que se dejen de recoger y usar nuestros datos?
  • Oposición. ¿Podemos solicitar que se dejen de usar nuestros datos para algo en concreto?
  • Limitación. ¿Podemos solicitar que usen nuestros datos ahora pero que se recojan y conserven para un posible uso más adelante?
  • Portabilidad. ¿Podemos, en todo momento, ver y conseguir una copia de los datos que nos han recogido y aceptar o denegar su uso por parte de terceros?
  • Derecho al olvido. ¿Podemos, en todo momento, solicitar que se eliminen de forma definitiva todos nuestros datos?

Y aún más. Las empresas prestadoras del servicio deben (aunque la verdad es que de forma diferente y en mayor o menor medida dependiendo del tipo de empresa, volumen y servicios que presta, etc.) favorecer y/o garantizar lo siguiente.

  • Contar con la aceptación y consentimiento informado, libre, específico, inequívoco o no tácito por nuestra parte que nos garantice contar con toda la información acerca del uso de los datos por parte del servicio, sin ningún tipo de coacción, de forma específica sobre ese servicio o sub-servicio, y quedando muy bien evidenciado  que lo aceptamos.
  • Dónde se alojan los datos, respecto a en qué servidores, como a su localización y específicamente si es en un país dentro de la EU, o no.
  • Cifrado o encriptado que garantice la protección del dato desde el punto de vista de que éste sea irreconocible e inusable en el caso de ser robado o apropiado.
  • Seudonimización que garantice la imposibilidad de identificar a la persona propietaria del dato en el caso de ser robado o apropiado.
  • Existencia de un DPD (Delegado de Protección de Datos). Es garantía adicional que la empresa cuente con un rol especial dentro de la organización para encargarse de todo el cumplimiento de la RGPD, de la protección del dato y especialmente de las personas que es de lo que se trata.
  • Que estén disponibles los datos de contacto del DPD para realizar consultas, solicitudes y gestionar nuestros derechos.
  • Que se pueda consultar la Política de Seguridad de la Información (PSI) que aplica la empresa para asegurar los datos.
  • Política de cookies (y aceptación o rechazo) que permita saber qué tipos de cookies se usan y cómo se tratan.

En resumen, sentido común (el menos común de los sentidos ;-)) sobre aspectos básicos y habituales de ciberseguridad:

  • No facilitar datos personales, confidenciales y sensibles a cualquiera.
  • Facilitar solo la información que estimemos estrictamente necesaria, y no más.
  • Desconfiar de personas, emails y notificaciones sospechosas que solicitan datos con alguna excusa.
  • No acceder a nuestros servicios desde enlaces desconocidos y sospechosos en “extraños” emails.
  • Asegurarse siempre de que estamos en sitios oficiales y quien es, es realmente quien dice ser
  • Tener cuidado y/o denegar el acceso en todo momento a datos concretos como los del GPS, la geolocalización, los contactos de nuestra agenda, las conversaciones, los chats, nuestras fotos y vídeos, los contenidos de nuestros emails, la huella dactilar, reconocimiento facial, etc. a determinadas Apps y software, en todo momento.
  • Usar contraseñas seguras fáciles de recordar pero difíciles de averiguar. Por supuesto, no facilitárselas a nadie.
  • Cambiar periódicamente nuestras contraseñas.
  • Cerrar sesión (salir o deslogarse) cada vez que hayamos finalizado de usar un servicio en el que nos hayamos tenido que identificar con usuario y contraseña.
  • Tener siempre actualizado el software, navegadores y Apps de nuestros dispositivos, el que se usa en los servicios que empleamos y cualquier otro.
  • Tener instalados antivirus y otras herramientas de seguridad.
  • Hacer copias de seguridad de nuestros datos, fotos, vídeos, documentos, etc.
  • Tener cuidado con las WiFis a las que nos conectamos.
  • Verificar la legitimidad de las comunicaciones que recibimos y de las webs que visitamos.
  • Navegar solo por páginas Web seguras (HTTPS).
  • Etc., etc., etc.

Aun así, y aunque todo se cumpla como debe, es probable que la empresa, el servicio, el producto, haya sido ciberatacado por ciberdelincuentes que hayan robado los datos de sus bases de datos (fuga de datos).

En tal caso, conviene también revisar periódicamente si algunos de nuestros datos (email, contraseñas, DNI, teléfono, tarjetas bancarias, etc.) han sido comprometidos o robados, con algunas de las aplicaciones de rastreo que existen al respecto.

Ejemplo de “Have I been pwned?” para saber si nuestro email ha sido comprometido. Como este servicio hay muchos otros tanto para los emails como para otros tipos de datos.

Y, sobre todo, ¡mucho cuidado con la ingeniería social! ¡Que no nos la cuelen! ¡No picar en engaños!

Recordad lo que se suele decir, que “cuando un producto es gratuito, el producto eres tú“. Pero del mismo modo, cuidado con los productos y servicios de pago pues también recogen y tratan nuestra información.

Y, para finalizar os dejamos con un vídeo que explica (y muchísimo mejor que nosotros ;-)) todo esto. Es el fiel reflejo de lo que “claudicamos” y entregamos a terceros a consta de poder utilizar sus servicios y productos de forma gratuita y/o pagando por ello (que incluso tiene más INRI ;-))!

Recordaros que podéis seguirnos en nuestro Twitter, Instagram y en nuestro canal principal de Telegram y en el canal destinado a CTI.