Ciberseguridad: ¿por qué Costa Rica no es puerto seguro?

El experto explica desde el podio. — Roberto Lemaitre, abogado e informático especialista en ciberseguridad, expone en el Centro de las Artes. **Foto: Andrés Zúñiga / OCM.**

Computación

Ciberseguridad: ¿por qué Costa Rica no es puerto seguro?

4 de Mayo 2018 Por: Johan Umaña Venegas [1]

Expertos señalan que el país debe mejorar en legislación pero también en cultura digital para una mayor protección de la intimidad
Escuela de Computación externa preocupación y realizó un simposio sobre el tema

En medio de escándalos mundiales por la explotación indebida de la información de las personas en plataformas como Facebook, varios expertos en Costa Rica han vuelto la mirada hacia adentro para darse cuenta que en el país nos falta mucho para considerarnos puerto seguro.

Desde una legislación desactualizada –como pasa en casi todo el mundo– hasta una ciudadanía poco informada y muchas veces indiferente son motivos de preocupación en un tema que abarca tanto temas sociales, como legales y técnicos.

“Vivimos en un país muy contento, con muchas cosas positivas, pero hay que darle su importancia a temas de seguridad cibernética. Podemos incluso decir que estamos perdiendo competitividad, porque no existe la seguridad para tener bases de datos que albergen datos de otros países”, destaca el ingeniero Kevin Moraga, docente e investigador en el Centro Académico de Alajuela.

Esto motivó a que la Escuela de Computación [2], en coordinación con sus áreas académicas en Cartago, Alajuela y San José, del Tecnológico de Costa Rica (TEC) [3] realizará un simposio titulado “Ciberseguridad privacidad: ¿Por qué Costa Rica no es un puerto seguro?”.

La actividad se desarrolló en el Centro de las Artes del Campus Central del TEC, en el mes de abril, con expertos nacionales y visitantes de Canadá y Estados Unidos

“Es un tema del que generalmente se habla mucho, pero poco se detalla, es como si fuera una palabra de moda, pero en profundidad no sabemos qué es. Eso nos llama a reflexionar sobre eso y teniendo presente que la computación también es social y la computación tiene una implicación directa sobre la sociedad, nos interesa que el tema se estudie no solo desde la parte técnica, sino también en materia de derechos, de privacidad y afectaciones a las personas”, explica el ingeniero Mauricio Arroyo, director de la Escuela de Computación.

¿Qué es un puerto seguro?

Un puerto seguro es la categoría que se le asigna a un país que cumple o nivela las características de protección de los datos de las personas que existen en la Unión Europea [5]. Un requisito para albergar o transmitir datos de los ciudadanos de los países que conforman el bloque europeo.

Costa Rica no es un puerto seguro. Su legislación dista mucho de acercarse a las regulaciones europeas, que son el ejemplo a seguir en el mundo. Pero no es un caso sui generis; de hecho, en Latinoamérica Uruguay es el único país que puede ser considerado puerto seguro, mientras que México es la única otra nación que se acerca a conseguirlo.

“Europa está a la vanguardia en temas de protección de datos. Tiene un desarrollo histórico en temas de protección de datos, por su contexto histórico, de lo que ocurrió (en las guerras mundiales) valoran más el tema de los datos y su protección, saben que es información a la que se le puede dar un mal uso, así que desde hace más de 30 años vienen desarrollando los temas de protección de datos”, ahonda Roberto Lemaitre, viceministro de Telecomunicaciones y abogado-informático especialista en delitos informáticos, ciberseguridad y protección de datos.

Los principios que deben seguir las organizaciones que deseen obtener la designación de puerto seguro, según la Directiva 95/46/CE del Parlamento Europeo, son:

Información: los interesados deberán ser informados de que sus datos personales están siendo recogidos y que serán tratados únicamente con la finalidad para la que fueron recogidos.
Elección: los interesados tendrán el derecho de cancelación y oposición a que sus datos sean recogidos una vez sean recabados y a oponerse a la cesión o transferencia a terceros.
Transferencia progresiva: la cesión de datos a terceros se llevará a cabo con organizaciones que también garanticen un adecuado nivel de cumplimiento de protección de datos.
Seguridad: se deben establecer y cumplir determinadas medidas de seguridad para prevenir pérdidas de información y accesos no autorizados.
Integridad de los datos: los datos deberán ser relevantes y exactos para el propósito para el que fueron recogidos.
Acceso: los interesados podrán acceder en todo momento a la información que haya sido recabada acerca de ellos y podrán corregirla o eliminarla si es inexacta o inadecuada.
Ejecución: se deben destinar medios y recursos para garantizar el debido cumplimiento de estos principios.

El peso de Europa para llevar la batuta en temas de protección de datos personales es evidente a nivel mundial, ya que muchas compañías nivelan sus políticas globales en materia de seguridad para cumplir con los requerimientos legales de la Unión Europea.

“Europa mueve a las compañías en esta temática porque al final de cuentas son mercados globalizados, los datos se negocian y se mueven mientras se cumplan con esos derechos y de acorde a las necesidades. Cualquiera que quiera hacer negocios con Europa de transferencias de información tiene que cumplir”, detalla Lemaitre.

Para Lemaitre, el evento organizado por la Escuela de Computación es un ejemplo de que en el país ha empezado a surgir el interés por mejorar en temas de ciberseguridad, pero falta mucho, particularmente en el tema de un marco normativo moderno que garantice a las personas la protección de sus datos y el conocimiento de sus derechos.

“Me parece que es un tema que obligadamente se va dar dentro de poco, que empecemos a discutir cómo adaptar nuestras leyes, especialmente por los cambios que se están dando en Europa”, sentencia Lemaitre.

Jóvenes prestan atención en el auditorio. — Dada la preocupación por la situación del país en materia de ciberseguridad y protección de los datos personales, la Escuela de Computación realizó un simposio en el que se analizó el tema desde perspectivas legales, sociales y técnicas. **Foto: Andrés Zúñiga / OCM.**

Pasos para mejorar

Más que actualizar las leyes, también falta una mejor oferta académica para formar profesionales y técnicos en temáticas de ciberseguridad y un esfuerzo nacional por concientizar a la población en estos temas.

Por su parte, la Escuela de Computación evalúa cómo incluir la ciberseguridad como un pilar en el rediseño de su plan de estudios.

“Estamos intentando concretar un grupo de interés en el tema de la ciberseguridad, que sirva para estudiar la materia y de ahí desarrollar cosas de vida académica, que tienen que ver tanto con la universidad como con la población en general”, explica Arroyo.

Asimismo, detalla el director de la Escuela de Computación, se buscan fortalecer alianzas con organizaciones internacionales que se enfocan en ciberseguridad y derechos cibernéticos. También, trabajo conjunto con el Gobierno, diferentes organizaciones estatales y alianzas público-privadas.

“Cuando hablamos de ciberseguridad, más allá de la protección de datos, en Costa Rica el marco legal es bastante limpio, lo que falla es la capacidad de respuesta, la cooperación entre instituciones. Sigue faltando gente especializada, coordinación entre las instituciones”, comenta Lemaitre.

Un tema de particular preocupación para los distintos especialistas es que en el país falta mejorar mucho en materia de capacitación a la ciudadanía, para evitar que las personas sean víctimas de daños como estafas en línea, robos de contraseñas o violación de su privacidad.