Jueves 10 de octubre de 2024
Tiempo de lectura: 3 min
● En un intento por abordar la falta de indicadores para evaluar la seguridad de los datos personales en diversos entornos (hogar, transporte, etc.), dos investigadores franceses están desarrollando NumDiag, una herramienta de diagnóstico que proporciona una puntuación combinada de la vulnerabilidad de los aspectos técnicos, organizativos y aspectos humanos de los entornos digitales.
● Las “puntuaciones de datos” generadas por NumDiag tendrán en cuenta una variedad de criterios, como métodos de transmisión de datos, ubicaciones de servidores, información sobre los usuarios, responsabilidad por el diseño de los dispositivos y el nivel de información proporcionada a los usuarios.
● Un prototipo de software para NumDiag estará disponible a finales de 2024 y las pruebas piloto comenzarán en 2025. Las puntuaciones generadas por la nueva herramienta se basarán inicialmente en declaraciones de primera parte, pero posteriormente podrán ser auditadas con la posible colaboración de los franceses. CNIL, organismo de control de datos. Una entrevista con la investigadora de TI Anne Laurent.
¿Qué lo motivó a desarrollar un sistema de calificación de confianza digital?
Gwenaëlle Donadieu y yo trabajamos inicialmente juntas en el proyecto HUman at home (HUT), en el que investigamos el impacto de vivir en una casa equipada con una amplia gama de sensores en la privacidad y cómo se podría proteger. Nos dimos cuenta de que cuando te mudas a un apartamento, este tiene un certificado de eficiencia energética que te informa sobre su consumo de energía, pero no te dan un indicador fácil de entender que te diga si tus datos personales estarán en riesgo allí o no. . Y esto se aplica a todo tipo de entornos: tranvías, edificios de apartamentos, ciudades, etc. Para un indicador de este tipo deben influir consideraciones informáticas y tecnológicas, pero también debe tenerse en cuenta cómo se organizan los entornos conectados respecto de sus usuarios: la información que se les ha proporcionado y si se ha obtenido su consentimiento para el uso de dispositivos tecnológicos. Ese fue nuestro punto de partida: crear un indicador apropiado con una dimensión humana que combine la información proporcionada a los usuarios con consideraciones legales y técnicas. Y así surgieron NumDiag y Datascore.
La idea es seguir los datos desde el entorno local del usuario hasta el proveedor del servicio.
Su sistema se parece mucho a un Nutri-Score digital. ¿Qué criterios piensas tener en cuenta?
Sólo mirar los dispositivos IoT individuales no nos dice todo lo que necesitamos saber, y sus criterios de evaluación serán diferentes dependiendo de dónde estén ubicados: por ejemplo, una cámara instalada en una universidad francesa no tendrá la misma calificación que otra instalada. en una universidad china, aunque sea exactamente el mismo dispositivo. En la práctica, necesitamos respuestas a muchas preguntas: ¿qué pasa con los métodos de transmisión de datos, por ejemplo entre cámaras y servidores? ¿Dónde están ubicados los servidores? ¿En una nube soberana o en terceros países? ¿Se informa de su presencia a los usuarios que pasan por debajo de las cámaras? ¿Se destruirán los servidores cuando se retiren las cámaras? ¿Podemos estar seguros de que los discos duros serán destruidos con un taladro? ¿Los sistemas en cuestión han sido diseñados de manera responsable?
Su objetivo es establecer una puntuación que tenga en cuenta criterios complejos y heterogéneos pero que al mismo tiempo sea fácil de entender…
Así es. La idea es seguir los datos desde el entorno local del usuario hasta el proveedor del servicio. Y el desafío es encontrar el método correcto para combinar todos los elementos que se miden en una única puntuación legible, teniendo en cuenta que algunos de ellos deberán ponderarse de manera diferente. Por ejemplo, no podemos darnos una puntuación demasiado alta si se ha descuidado algún aspecto de la protección de datos.
¿Cuándo estará disponible esta solución?
Estamos en el proceso de finalizar los criterios de evaluación y las ponderaciones con miras a lanzar una aplicación prototipo para fines de 2024, que comenzará su implementación piloto en 2025. Nuestro objetivo es aumentar la conciencia pública sobre Datascore, aunque es posible que eso no sea el nombre final, para fomentar su adopción por parte de los proveedores de servicios. También esperamos que algunas empresas estén dispuestas a utilizarlo para llamar la atención sobre sus propias iniciativas de protección de datos, o simplemente como un marco objetivo para mejorar sus salvaguardas existentes.
¿Se auditarán los Datascores?
Inicialmente, los Datascores se basarán simplemente en las declaraciones de los proveedores de servicios, por lo que no serán certificativos. Sin embargo, estamos planeando un marco en el que las auditorías serán realizadas por auditores autorizados oficialmente, que pagarán por utilizar nuestro software. También hemos estado hablando con la CNIL [editor’s note: the French National Commission on Informatics and Liberty]quién podría presionar a las organizaciones para que asuman el desafío y también desempeñen un papel en el proceso de auditoría. Nuestras conversaciones con la CNIL han sido muy positivas: aprecian la dimensión humana de Datascore y están dispuestos a ayudar con el proyecto.