En las teorías económicas liberal y neoliberal, las fuerzas del mercado son suficientes para controlar el buen desarrollo de las empresas y servicios, ya que todos aquellos que sean francamente malos, caerán de la preferencia de los compradores y poco a poco desaparecerán, quedando únicamente aquellas empresas que, por su valor y “bondad”, hayan captado el mayor número de ventas.
Es entonces, de acuerdo con este modelo, el incentivo económico el que obliga a las empresas a tomar decisiones en un sentido o en otro. Precisamente esto es lo que podemos observar en la realidad.
Resulta evidente que el hecho de admitir que a una organización le ha ocurrido un incidente de seguridad (y me refiero a incidente de seguridad como está definido en los documentos de la serie ISO 27000) no le va a traer a ésta ningún beneficio económico; por el contrario, la reputación de la empresa quedará dañada y habrá que realizar gastos para recuperar lo perdido. Por lo anterior, es evidente que difícilmente habrá un incentivo económico para reportar incidentes de seguridad, y por tanto, el mercado, por sí mismo, no podrá garantizar la supervivencia de las empresas que aseguren mejor sus datos.
Y la seguridad de los datos, ¿le es interesante al mercado?
¿Es de interés para los consumidores que las empresas resguarden sus datos correctamente?, ¿es también de interés para los consumidores que las empresas reporten sus incidentes de seguridad?, ilustraré la respuesta con un caso reciente: En enero de 2010 la institución bancaria HSBC tuvo que realizar una campaña muy fuerte para controlar los daños derivados de una “clonación masiva”[1] de tarjetas de débito en el estado de Jalisco, México, en la cual centenas de personas fueron víctimas de fraude al hacérseles cargos con las tarjetas clonadas. En posteriores notas[2], ejecutivos del banco declararon que estaban reembolsando a los clientes los cargos no reconocidos, que el incidente no había sido derivado de un “hackeo” ni abuso interno y que estaba circunscrito a un número “limitado de ataques a cajeros automáticos”. En el feliz supuesto de que el banco haya reembolsado las cantidades defraudadas a todos y cada uno de los cuentahabientes afectados, continúa siendo una pérdida importante, especialmente para los consumidores que recibieron un susto mayúsculo y la imposibilidad de usar sus fondos por al menos 48 horas. Es claro que existe un enorme interés del consumidor en que sus datos se resguarden correctamente y en que los incidentes se reporten de manera oportuna, cuando menos en situaciones como esta, en la cual se vieron afectados datos privados y sensibles de los clientes.
¿Quién puede balancear la situación?
En este particular incidente, HSBC parece haber procedido correctamente, ya que dentro de las acciones que mencionaron como parte de su respuesta, está la notificación oportuna a todos los clientes afectados para que en, conjunto pudieran tomar medidas que limitaran su exposición al fraude. Sin embargo, HSBC actuó de acuerdo a sus procesos de control de fraudes, no de acuerdo a regulaciones mexicanas, lo que deja un vacío legal muy peligroso, ya que no hay en México nada que obligue a las empresas a realizar las acciones que en este caso HSBC sí tomó.
Las autoridades gubernamentales son las indicadas para darle mayor peso al interés de los clientes en que se brinde protección a su información sensible y además que se les informe oportunamente en el caso de que la organización que la maneja haya sufrido algún incidente de seguridad que exponga tal información. La manera de hacer contrapeso al mero interés económico es mediante la regulación de las prácticas en materia de seguridad de la información, sobre todo aquellas que, como el robo de información de tarjetas de débito, entrañan un potencial daño a la sociedad.
En los Estados Unidos de América prácticamente todos los estados consideran en sus legislaciones normatividad relacionada con el reporte de incidentes de seguridad que involucren información personal[3], y al parecer, también la Unión Europea está cercana a contar con su propia legislación en la materia[4].
México cuenta ya con algunas leyes que abordan delitos informáticos, pero definitivamente no hay mucho relacionado con la notificación obligatoria de incidentes de seguridad. Me parece claro que hay mucho que ganar y poco que invertir al promulgar en México una ley de notificación de incidentes de seguridad basada en las que se han promulgado en EE.UU.; realmente no es necesario ser innovadores y pioneros en este tema, y sí lo es por otra parte, el actuar de manera diligente para proteger a la sociedad de los nuevos riesgos que conlleva este mundo interconectado.
[1] CNN Expansión, ver nota publicada en http://exp.mx/n0028NP
[2] Periódico Milenio, ver nota relacionada en http://impreso.milenio.com/node/8707272
[3] Listado de estados en EE.UU. que cuentan con legislación sobre la notificación de incidentes de seguridad en http://www.ncsl.org/IssuesResearch/TelecommunicationsInformationTechnology/SecurityBreachNotificationLaws/tabid/13489/Default.aspx
[4] Revista ZDNet Reino Unido, ver nota relacionada en http://www.zdnet.co.uk/news/security-management/2010/04/27/data-breach-notification-law-coming-says-watchdog-40088780/
Deja tu comentario