El 10º Congreso Internacional de la Asociación Profesional Española de Privacidad (APEP) ha traído encuentros memorables llenos de aprendizaje en términos de seguridad para las compañías. La mesa redonda titulada “La gestión del riesgo tecnológico” fue un ejemplo de didactismo por las principales ideas que sus ponentes aterrizaron, entre ellas: la tecnología es un modificador del riesgo y no un riesgo per se; la obsolescencia tecnológica puede ser más peligrosa que las nuevas tecnologías; y la ciberseguridad es clave para prevenir riesgos.
Ana de la Higuera, vocal de APEP, inició la mesa preguntando por las opiniones de los expertos sobre la vinculación de la tecnología al riesgo desde el punto de vista de la privacidad.
Javier Aznar, Socio de Ciberseguridad y Privacidad en KPMG, considera que “asociar tecnología a riesgo es un error”. Para el experto, las tecnologías, en sus vertientes de privacidad, ayudan a mejorar el tratamiento de los datos, asisten en su protección y facilitan que el DPO pueda articular mejor la estructura del dato.
Para Susana Rey, DPO en el Grupo MASORANGE, “la tecnología no es más que un factor de riesgo”. Esta idea expresa que el riesgo asociado a la privacidad ya existía en el soporte físico de los documentos. Al fin y al cabo, la digitalización aumenta la seguridad; pero, como dice Susana, también “modifica el riesgo”. A tales efectos, se vuelve crucial hacer más confiable a las tecnologías mediante “análisis de riesgos” que incluyan “test de ponderación”.
Finalmente, Javier Cao Avellaneda, IT Risk Leader en Govertis, habla de Análisis DAFO y la importancia de ver oportunidades en el riesgo.
¿Qué riesgos suponen las tecnologías obsolescentes?
Aunque la intuición impulsa a pensar que las nuevas tecnologías son las precursoras del riesgo, los “sistemas pre-RGPD”, como dice Susana Rey, van aparejados a varios peligros: “tienen escasez de funciones que pueden vulnerar la seguridad, como la cancelación de datos”.
Para la DPO, “hay que tener en cuenta el ciclo de vida de la tecnología y gestionar su vejez haciéndose preguntas como: ¿durante cuánto tiempo tendrá parches? O ¿cuánto se podrá adaptar a los cambios?”
De estas cuestiones nace el lema “sin seguridad, no hay privacidad”, una máxima que se debe regular “reanalizando riesgos periódicamente” y decidiendo el momento oportuno para dejar de usar una tecnología por su obsolescencia.
Se trata de un problema de múltiples aristas, pues como Javier Cao indica, la obsolescencia tecnológica merma alcanzar aspiraciones como la interoperabilidad de las herramientas.
La ciberseguridad en la gestión del riesgo
Para Javier Cao, existen 2 bandos: atacantes y defensores. “Como todo caso tiene un uso de abuso, hay que preguntarse qué va a hacer el malo para que esto no funcione”. Javier pone de ejemplo las “inyecciones de prompt” para forzar a ChatGPT a inferir respuestas comprometidas. La labor de la ciberseguridad no deja de ser anticiparse a estos problemas.
En tal empresa, la IA juega un papel esencial. Como indica Susana Rey, “gracias a que puede analizar ingentes cantidades de datos, puede avisar de cualquier problema antes de que suceda”.
¿Qué medidas de responsabilidad proactiva recomendáis a las empresas?
Los expertos respondieron indicando varias líneas de acción que, en su conjunto, plantean un framework bastante interesante:
Javier Aznar expresa la importancia de definir usos de IA y sus riesgos aparejados.
Javier Cao apuesta por la mejora continua y anima a recurrir a las normas ISOS 27001 e ISOS 27701 para evaluar los sistemas de seguridad de la Información; y a la ISOS 42001 para emprender el viaje desde la responsabilidad y la sostenibilidad.
Susana Rey, finalmente, incita a actuar lo antes posible.“Dos años pasan muy rápido”, dice haciendo referencia al plazo efectivo del Reglamento de Inteligencia Artificial y a la carrera que el RGPD lanzó en el año 2018, que para muchos fue a contrarreloj.
