Infografía: La ley que podría filtrar todo lo que vemos en Internet

Seguro que todos por aquí ya conocen la Ley Chehade. El Proyecto de Ley de Protección del Menor de Contenidos Pornográficos en Internet (pdf), presentado por el congresista Omar Chehade propone que todas las conexiones a Internet en Perú sean filtradas por una Comisión Estatal con la finalidad de proteger a los niños del contenido obsceno y pornográfico. Los filtros serían aplicados por todas las empresas que brindan acceso a Internet, salvo que el usuario solicite ser excluido del programa, y podrían incluir páginas personales, blogs, servicios de almacenamiento de fotos o vídeos, redes sociales e incluso sistemas de mensajería. En Hiperderecho hemos preparado una infografía especial con tres buenas razones para no aprobar este Proyecto de Ley. Adicionalmente, hace un par de semanas enviamos una carta a todos los congresistas que integran la Comisión de la Mujer y Familia. Desde esta semana, estamos invitando a todos los interesados a hacerse escuchar y escribirle a los congresistas mediante este formulario. Continue reading

Sobre el proyecto para regular la responsabilidad de los ISPs

Miguel Morachimo de Hiperderecho (y de Blawyer) explica los antecedentes de la iniciativa del Mincetur para regular la responsabilidad de los ISPs. En una entrevista para el programa Código Abierto, el hoy Director de Hiperderecho  señala que buena parte de la mala imagen que esta iniciativa se ha ganado se debe a la ausencia de comunicación y lo limitado de la difusión del proceso.

Cuando tu equipo personal entre por la puerta, la información saldrá por la ventana

Qué fácil era cuando todos teníamos Blackberry, pero ahora vemos una larga variedad de equipos móviles en la oficina: smartphones, tablets, netbooks y las laptops de toda la vida. Bien por el consumidor, que ahora tenemos muchas opciones y mejores precios. Pero, cuando lo analizamos desde el punto de vista corporativo, la cosa ya toma otro matiz.

Desde hace un tiempo las empresas están aceptando que sus trabajadores usen sus equipos personales en la oficina. Es decir, que configuren el correo corporativo en el smartphone personal, que guarden documentos de clientes en sus laptops o accedan a aplicativos de la empresa desde sus iPads. Si no es política de la organización entregar estos equipos a sus empleados, la alternativa viene siendo que traigan los suyos propios para trabajar. Así nace una tendencia a nivel mundial llamada BYOD (Bring Your Own Device).

Muchos la vienen adoptando con entusiasmo. Sin embargo, hay un potencial riesgo de seguridad y privacidad que puede resultar siendo más costoso. ¿Se han preguntado qué sucede con la información que contiene un smartphone cuando se pierde o es robado?

The Lost Smartphone Problem fue estudio realizado en organizaciones pertenecientes a diferentes sectores de la economía estadounidense. El mismo señala que al año se pierden o roban más de 140 mil smartphones, de los cuales el 47% de casos se ha dado cuando el trabajador está fuera de la empresa, 29% mientras estuvieron de viaje, 13% en la oficina y el 11% restante no sabe ni dónde ni cómo.

Por su parte, The Symantec Smartphone Honey Stick Project fue un interesante experimento que consistió en abandonar 50 smartphones en diferentes ciudades de los EE.UU, con mecanismos para monitorear qué pasaba con ellos luego de ser encontrados por extraños (ver infografía). Los resultados mostraron que el 83% de quienes los encontraron accedieron a información personal y corporativa, y sólo el 50% se pusieron el contacto con el dueño para devolverlo. ¿Qué pasaría en el Perú en un ejercicio como este?

El punto es que los dispositivos pueden ser reemplazados, pero la información almacenada en ellos se encuentra en riesgo a menos que se tomen las precauciones necesarias para protegerla. Lo más grave es que las empresas no son conscientes de ello dejando muchas veces la seguridad en manos de los dueños de esos equipos.

Políticas de seguridad

Particularmente, considero un riesgo utilizar equipos personales para el trabajo, debido que la empresa tiene restricciones sobre ellos, con respecto a la ejecución de mecanismos de seguridad. Si los equipos son de la empresa se podrían implementar medidas como:

  • Contraseñas de bloqueo cada cierto tiempo de inactividad.
  • Mecanismo para formatear el equipo remotamente.
  • Encriptación de la información (correos, documentos, etc)
  • Instalar y mantener actualizado el antivirus y antispam.
  • Mantener actualizado el sistema operativo y otras aplicaciones (parches de seguridad)
  • Limitar o controlar la instalación de aplicaciones (evitar programas maliciosos)
  • Rastrear el equipo a través de un GPS.

BYOD

Si la tendencia va por el lado de permitir un esquema BYOD, mi recomendación es configurar una conexión remota a través de una VPN (Virtual Private Network). Esto aseguraría que en el equipo se conserve la menor cantidad de información de trabajo.

Paralelamente, antes de lanzar el proyecto sería saludable responder a las siguientes interrogantes:

  • ¿Se permitirían todo tipo de modelos de smartphones o tablets?.
  • ¿La conexión a los recursos de la empresa sería directa (correo, agendas, aplicativos) o a través de VPN?
  • ¿La empresa estará en la capacidad de implantar una configuración básica, exigiendo tener instalado (y actualizado) un mínimo de aplicaciones a fin de resguardar la seguridad de la información?
  • ¿Se aceptará la posibilidad de formatear el equipo como consecuencia de alguna falla o aplicación maliciosa, sin que la empresa se haga responsable de la información o aplicaciones personales que no se puedan recuperar (fotos, videos, aplicaciones, etc)?
  • ¿Será posible comprometer al dueño del equipo que, por razones de seguridad, se limitará o bloqueará la descarga e instalación de archivos y aplicativos riesgosos o que infrinjan el derecho de propiedad intelectual?
  • En caso el trabajador deje la organización ¿cómo asegurar que la información corporativa no se vaya con él?
  • ¿Cuál sería el nivel de soporte informático que la empresa ofrecería para estos equipos? Estaría limitado sólo a aplicaciones de índole laboral (correo electrónico, agendas, etc)?
  • Para los casos de accidente, pérdida o robo ¿habrá reposición? Para los casos de desperfectos ¿se ofrecerán equipos temporales?

Pienso que aclarando estas dudas se puede llegar a tener un dimensionamiento claro sobre lo que puede significar, realmente, adoptar un esquema BYOD en la organización.

Sube a mi nube, Nubeluz

Seguro que el término Cloud Computing ya no es exclusivo de las conversaciones entre los “techies” de la oficina. Sospecho que pocos son quienes realmente saben de qué va la cosa y quizás los CSP (Cloud Service Providers) estén apostando a que mientras más familiar sea el término, más fácil será convencernos de que no hay nada por qué preocuparse.

No somos pocos los que pensamos que los principales puntos críticos de esta tecnología recaen en la confidencialidad de la información y la responsabilidad derivada de incidentes relacionados con este servicio. En este sentido, vale la pena dar un vistazo para ver si existe regulación o algún tipo de guía sobre la nube.

España y Europa

Hace unas semanas la Agencia Española de Protección de Datos junto al Consejo General de la Abogacía Española publicaron el informe titulado “Utilización del Cloud Computing por los despachos de abogados y el derecho a la protección de datos de carácter personal” (aquí). Este documento ofrece orientación sobre los aspectos a tomar en cuenta en caso quisiéramos contratar estos servicios, considerando como base 3 aspectos claves:

  • Responsabilidad sobre el tratamiento de los datos, así como la normativa y jurisdicción aplicables.
  • Seguridad y confidencialidad de los datos.
  • Aspectos técnicos y jurídicos del contrato que debe firmarse.

Documento por demás valioso tomando en cuenta que los abogados son depositarios de la información de sus clientes, y como tales, tienen el deber de guardar la privacidad de la misma, así como el secreto profesional.

A principios de año la European Network and Information Security Agency (ENISA) publicó “A guide to monitoring of security service levels in cloud contracts” (aquí), una guía práctica para verificar que se cumplan todos los aspectos relacionados con la seguridad de la información. Si bien está enfocada al sector público, funciona perfectamente para el privado.

La misma Agencia publicó tiempo atrás la Cloud Computing Risk Assessment (tiene versión en español) que presenta un exhaustivo análisis de las ventajas, riesgos y vulnerabilidades de la nube (como para que no nos cuenten cuentos). Además, incluye criterios para evaluar riesgos, comparar ofertas de distintos CSP y asegurar un adecuado nivel de servicios. Muy didáctico, porque lo desarrollan tomando como escenario un caso de migración de una MYPE hacia la nube.

Vayan hasta el final de este documento, que trae como anexo un análisis de cinco cuestionamientos legales que suelen preocuparnos a quienes miramos con cierta expectativa a este nuevo paradigma, como son:

  • Protección de datos (disponibilidad, integridad y garantías)
  • Confidencialidad
  • Propiedad intelectual
  • Negligencia profesional
  • Servicios de subcontratación y cambios de control.

Estados Unidos

Desde 2010 EE.UU cuenta con un plan llamado Cloud First y la Federal Cloud Computing Strategy, enfocados a reducir la infraestructura informática tradicional en manos de las entidades de gobierno, migrándola a la nube en aquellos casos que sea más eficiente términos operativos y económicos.

En esa línea, The Federal Risk and Authorization Management Program (FedRAMP) es un programa creado por (y para) el gobierno estadounidense que responde a le necesidad de estandarizar criterios de evaluación y supervisión de servicios ofrecidos en la nube. Funciona así:

  • Los CSP deben implementar los requisitos de seguridad de la FedRAMP (basados en Federal Information Security Management Act – FISMA y la NIST 800-53)
  • Contratar los servicios de una empresa que audite sus servicios y productos (hay una lista de auditoras certificadas).
  • Luego de pasar la auditoría la FedRAMP incluye al CSP en su registro de proveedores homologados.

El objetivo es evaluar sólo una vez a los proveedores y que las agencias de gobierno utilicen estos resultados tantas veces como sea necesario, evitando repetir procesos de selección una y otra vez.

Si bien el enfoque es para las agencias de gobierno norteamericanas, se rescatan criterios interesantes que se pueden implementar en el sector privado.

Epílogo

En verdad el hemisferio norte siempre está a la vanguardia en temas tecnológicos, así que quienes tenemos en la mira cambiar nuestra “gestión de activos” por una “gestión de servicios” contamos con un material valioso y de lectura obligatoria. No hay pretextos.

Sin embargo, situándonos por este lado del hemisferio, la regulación es casi nula, por lo que habría que utilizar otras herramientas antes de tomar una decisión tan importante y de tanto impacto. Ya será para la próxima.

eBay y la responsabilidad de los eMarkets por productos falsos

Como es conocido, eBay es el portal de subastas en línea más importante del mundo. Tal como eBay, gran parte de este tipo de compañías no son responsables de la mercancías exibidas en su portal, sino que simplemente constituyen una pasarela entre quienes desean venderlas y quienes están dispuestos a pagar por ellas. Sin embargo, una serie de recientes decisiones judiciales parecen retar el modelo de las subastas en línea al responsabilizar al portal por la calidad y la autenticidad de las ofertas realizadas.

En junio de este año eBay fue sentenciada por el Tribunal de Gran Instancia de Troyes, Francia, al pago de 20 mil euros por vender artículos falsificados del fabricante de artículos de lujo Hermes. Para Hermes, eBay era culpable de falsificación al habilitar los mecanismos necesarios que permitieron la transacción fraudulenta.

Peor le fue en un caso seguido ante el tribunal de Comercio de París. Este colegiado falló a favor de seis de las marcas que gestiona Louis Vuitton Moet Hennessy(LVMH) el mayor conglomerado de productos de lujo del mundo. Dos fueron las conductas antijurídicas que LVMH endilgó a eBay. Para la compañía francesa el portal era responsable de poner a disposición del público una serie de productos de cuero falsificados de su cartera de marcas y de constituir un mecanismo para vender sus productos fuera de los canales autorizados por ella. El fallo, hecho público a finales de junio, prohibió a eBay vender los perfumes de cuatro de las marcas de LVMH (Dior, Kenzo, Givenchy y Guerlain). Asimismo, el tribunal ordenó a eBay al pago por los daños ocasionados de 19,28 millones de euros a LVMH y de 16,3 millones de euros a Christian Dior Couture. Asimismo, dispuso el pago de de 1,16 millones para Christian Dior, 667 mil euros para Kenzo, 686 mil para Givenchy y 686 mil para Guerlain por permitir la venta de los productos de estas marcas sin autorización.

Sin embargo, no todas han sido malas noticias para eBay. Recientemente, un tribunal de Nueva York falló a su favor en el proceso iniciado por la joyería Tiffany en el año 2004 al permitir la venta de algunas falsificaciones de sus productos. De acuerdo con la demanda, eBay no habría tomado las precauciones suficientes para prevenir la venta en su portal de joyas falsificadas. Opinión que no fue compartida por el tribunal. Cabe recordar finalmente que todavía no han sido resueltas las demandas que L´Oreal, el mayor fabricante de cosméticos del mundo, presentara contra eBay en Francia, España, Alemania, Reino Unido y Bélgica por permitir la venta de falsificaciones de sus productos en su portal.

Nos encontramos ante dos aspectos que desde hace tiempo son materia de intenso debate: la defensa de los derechos de propiedad intelectual y la responsabilidad de los proveedores de servicios en Internet. Una aproximación a estos aspectos los podemos encontrar en el post de Annika Mengisen: Did eBay Start a Counterfeit Crackdown? (Freakonomics). El post reproduce una entrevista a Judith Zaichkowsky autora del libro “The Psychology Behind Trademark Infringement and Counterfeiting” y a Kal Raustiala y Christopher Sprigman coautores del trabajo “The Piracy Paradox: Innovation and Intellectual Property in Fashion Design”.

Para Raustiala y Sprigman existe una diferencia entre los casos de falsificación comunes y el de eBay, puesto que este portal no es un vendedor, sino un intermediario en línea que sólo relaciona a propietarios con posibles compradores. Los almacenes de “ladrillo-y-mortero” como CVS/pharmacy tienen la capacidad de verificar las mercancías que adquieren y por lo tanto de distinguir si un bien es genuino o falso. EBay no podría hacerlo aunque quisiera.

Para el profesor Zaichkowsky el problema está en la demanda. Si existen personas dispuestas a comprar bienes falsificados habrán fabricantes de estos bienes. La solución no está en la ley sino en crear una imagen negativa de aquellos que consuman bienes falsificados. Japón tiene el consumo más bajo de carteras falsificadas porque quien las usa padece un gran rechazo social, mientras que los consumidores de los EE. UU. piensan que es hasta divertido poseer algunas falsificaciones.