Categoría: Formación

bookmark_borderInternet de los objetos. Un punto de partida.

Posted on by Félix J. Haro

EverywareEveryware, the dawning age of ubiquitous computing (Everyware, la naciente era de la computación ubicua) es un libro de Adam Greenfield del año 2006. Lo leí hace un par de años, con la sorpresa de que había sido escrito en 2005, tocando un tema que empezaba a sonar en el sector  de la tecnología. Tal y como dice el autor, la tecnología está dando un salto fuera del ordenador tradicional y metiéndose en la vida diaria. A estas tecnologías de la información ubícuas las llama «everyware», término que debiéramos añadir ya a los archiconocidos y utilizados «hardware» y «software».

De una forma bastante amena, y con un esquema bastante sencillo, Greenfield desgrana la realidad tecnológica imperante a mediados de la década pasada para anticipar con bastante acierto qué es lo que estaba por venir. Lo consigue mediante la formulación de 81 tesis, agrupadas en siete secciones temáticas.

Pongamos tres ejemplos de estas tesis para comprobar lo acertado que andaba Greenfield hace ya 7 años:

Tesis 12: el «everyware» actúa a escala del cuerpo humano

Citando literalmente al autor, «el cuerpo humano es una fuente de información en sí mismo, y tarde o temprano es inevitable que sea considerado como una fuente conectada. Los motivos son muchos: para aprovecharlo como una plataforma de servicios móviles; para registrar su posición en el espacio y el tiempo; para reunir información que puede ser utilizada para adaptar la prestación de otros servicios locales, y para obtener un conocimiento preciso y oportuno de sus constantes vitales…» 

Tesis 28: el «everyware» se verá fuertemente impulsado por la necesidad de las empresas de seguir creciendo y abriendo nuevos mercados más allá del PC

Hay que recordar que el primer iPhone es lanzado en 2007 (¡…!). La idea de Apple de llevar un ordenador personal, además de un sistema de localización, al bolsillo de los usuarios, ha sido uno de los pasos más grandes que se hayan podido dar nunca, porque han impulsado el  florecimiento de nuevos productos y servicios centrados en el usuario. Quizá sea el mayor empuje que ha podido tener el «everyware», la generalización de los teléfonos inteligentes. Y en breve, el abaratamiento de los dispositivos, como ocurre con toda la tecnología, hará que su uso se extienda con más rapidez.

Tesis 74: el «everyware» debe revelarse por sí mismo

Asume el autor que el «everyware» estará implantado a tal escala y en tantos lugares y circunstancias, que estos mismos dispositivos deberían notificar al usuario cuándo está en presencia de uno de ellos. De lo contrario, ese usuario quedaría indefenso y no podría decidir si utilizarlo o no, desconociendo las consecuencias que tiene su uso. ¿No recuerda ésto a la información previa en la recogida de datos…? Se puede conectar con la Tesis 77, que impone la necesidad de que el «everyware» pueda ser rechazado por el usuario (opt-out).

Un total de 81 tesis que hacen el libro no sólo interesante, sino casi de obligatoria lectura y punto de partida para cualquiera que quiera profundizar en el Internet de los objetos. Tiene el interés, como he comentado, de que está escrito en 2005, y que desde entonces muchas de sus predicciones se han cumplido y otras están por venir, lo que hará disfrutar aún más al lector. Ni que decir tiene que para los que nos dedicamos a la protección de datos nos ayudará a entender mejor la tecnología sobre la que ya tenemos que estar asesorando.

Aquí el blog del autor, y la página web de la empresa que dirige en Nueva York,Urbanscale.

bookmark_borderCertificaciones varias

Posted on by Félix J. Haro

churras-merinasHace un año aproximadamente un grupo de profesionales fundó la Asociación Profesional Española de Privacidad. A los pocos días, y tras el abandono de esa primera iniciativa de algunas personas, se anunció la creación del “Data Privacy Institute”, en el seno de la Asociación Española para el Fomento de la Seguridad de la Información, o ISMS Forum.

Si bien parece que ambas se dedican a lo mismo, esta mañana he escrito mi opinión en un grupo de Linkedin que se llama “Profesionales Privacidad”, y pienso que es bueno que comparta mis impresiones, ya que he llegado a la conclusión de que nada tienen en común los planteamientos de ambas. Y es que hay bastante barullo y revolución, pero no pueden confundirse churras con merinas.

Mis razones son las siguientes, por supuesto siempre sujetas a mejor crítica:

1.- Especificidad

La APEP es la primera asociación creada con objetivos exclusivamente relacionados directamente con la protección de datos, o si se le quiere llamar así, con la “privacidad”. El DPI, hasta donde yo conozco, no tiene personalidad jurídica propia, sino que es un proyecto que se crea en el seno del ISMS, que está dedicado a cuestiones más relacionadas con la seguridad. En su propia página web dice que su objetivo es “fomentar la seguridad de la información en España”. Y de ahí que sea natural que tanto la certificación como los objetivos del DPI estén más dirigidos a ese campo.

2.- Acreditación de especialistas

El CDPP es un certificado no especializado. Y me explico: con un solo examen te acreditan como experto técnico-jurídico-organizativo. Sin embargo, la acreditación ACP distingue entre ámbito jurídico y técnico, incluyendo lo organizativo en ambos, y dando lugar a dos especializaciones, que llaman “auditor” y “consultor/gestor de seguridad”.

3.- Materia y tipo de examen para acreditarse

La APEP se ha centrado en la protección de datos, y le da un peso específico alto a esa normativa en su sistema de certificaciones (ACP). Primero hay que superar un examen sobre conocimientos de LOPD y normativa asociada, para luego optar por la especialización que interese. En el caso del DPI, para obtener su certificación (CDPP), hay que aprobar un examen cuya materia está compuesta por sólo un 40% de LOPD y una normativa asociada muy variopinta. El resto hasta completar el 100% está relacionado con la seguridad de la información y su gestión.

El examen para obtener el CDPP es tipo test. El de ACP también es tipo test, y además, hay que desarrollar casos prácticos. Me parece más exigente este último, porque el aspirante ha de desarrollar de su puño y letra, pudiéndose evaluar con más fiabilidad el conocimiento real de una persona sobre esa materia.

4.- Exigencia de experiencia para acreditación

Ambos piden 3 años de experiencia. La APEP permite convalidarlos por 20 proyectos realizados con el perfil que se solicite, siendo revisados por un comité. En el caso del DPI no se menciona cómo se comprobará esa experiencia.

5.- Apadrinamiento:

Tanto la APEP como el DPI tienen previstos procedimientos por los cuales se otorga la certificación a profesionales con experiencia (apadrinamiento o “granfathering”). El DPI exige estar en posesión de un máster, lo que dejará fuera del proceso a profesionales que tengan una experiencia de peso, y además exige 6 años de experiencia en “el ámbito de la privacidad, la protección de datos de carácter personal y la seguridad de la información”. Por poner un ejemplo concreto, alguien acreditado como CISA, y que ni haya tocado la LOPD jamás, podrá acceder al CDPP.

La APEP sin embargo pide 5 años de experiencia o haber realizado 40 proyectos y demostrarlo, pero siempre relacionados con la protección de datos. Poco comentario más hay que hacer: sí o sí, protección de datos, no otras materias que, sin desmerecerlas, no garantizan conocimiento y aplicación de la normativa, que es lo que a fin de cuentas ha de aplicar un profesional de la protección de datos, sea de perfil jurídico o técnico.

6.- Código ético

La APEP exige que el profesional certificado se adhiera a un código ético que supongo que garantizará cierta homogeneidad en el modo de trabajar. Cuando lo publiquen lo sabremos, pero hasta podría llegar a la retirada de la certificación o expulsión de la asociación si se quebranta. El DPI no contempla algo parecido, quizá no quieren controlar estos aspectos.

El planteamiento de la APEP me resulta novedoso porque se centra en la protección de datos, dándole el papel y la sustantividad que se merece. La iniciativa del ISMS Forum es una evolución de certificaciones relacionadas con la seguridad de la información, como el CISA, para darles un poco de contenido legal. Es un punto de vista más tradicional y cercano a lo que teníamos hasta ahora.