Todas las entidades del tercer sector que trabajan con datos personales de la misma entidad como de las personas a las que atienden, muchas de ellas que suponen información sensibledeben tener especial cuidado en protegerlas para evitar su robo, tal y como recoge el Reglamento General de Protección de Datos (RGPD). En los últimos años, con el mayor grado de transformación digital en los procesos que experimentan las entidades, la seguridad de estos datos es uno de los retos a causa de los diversos rayones a los que está sometida esta información de las entidades tan valiosa por personas ciberdelinqüents.
La Mesa del Tercer Sector Social de Cataluñaa través del proyecto m4social, tratar de promover la innovación y la transformación digital de las organizaciones sociales. Con la colaboración de Ingenieros Voluntarios, se realizan asesoramientos, de la mano de profesionales, a las entidades del tercer sector. Uno de los aspectos tratados es el fomento de una mayor conciencia y madurez digital entre las entidades para reducir los riesgos relativos al escape de información.
Ingenieros Voluntarios lo conforman miembros del Colegio de Ingenieros Agrónomos de Cataluña, de Ingenieros de Caminos, Canales y Puertos de Cataluña, de Ingenieros Industriales de Cataluña, de Ingeniería Informática de Cataluña y de la Asociación Catalana de Ingenieros de Telecomunicación. Hablamos sobre estos acompañamientos y la importancia de proteger los datos en las entidades del tercer sector con los ingenieros voluntarios Jesús Arribas i Jordi Ruppmann.
¿Qué actividad lleva a cabo desde ingenieros voluntarios?
Jesús Arribas (JA): Ingenieros voluntarios somos un grupo de voluntarios de ingeniería de Catalunya. Básicamente, lo que queremos hacer es poner al servicio de la sociedad, de las entidades sociales, nuestros conocimientos y nuestra experiencia para ayudarlas en lo posible. Normalmente, nuestro voluntariado no es finalista y se dirige más a entidades. Son voluntariados y ayudas más de tipo secundario, aunque también hacemos de carácter finalista.
(JA): Actualmente, estamos trabajando con un proyecto de transformación digital de la mano de la Mesa de entidades del Tercer Sector Social de Cataluña con el que, durante el año, apoyamos a diversas entidades. También estamos poniendo en marcha un proyecto de mentoría con jóvenes para poderles facilitar la inserción en el mercado laboral. Asimismo, hemos realizado un proyecto para ayudar en temas de eficiencia energética a los edificios con entidades que coordinan pisos para gente sin recursos. Y cabe destacar también la ayuda que hemos ofrecido a las entidades y centros especiales de trabajo en temas de gestión y mejora de procesos.
Con la transformación digital, ha surgido la ciberseguridad. Ante todo, ¿en qué estado se encuentra la transformación digital dentro de las entidades?
(JA): En mucha parte del sector social, me refiero a las entidades más pequeñas, les sobrepasa el tema de la digitalización, lógicamente. Están muy volcadas y muy dedicadas a la atención primaria de sus beneficiarios, lo normal o es esperable que hagan. Sin embargo, no piensan en la digitalización, o les queda un poco lejos de entrada. Algunas se dan cuenta de que hoy en día, en un mundo en el que todo va con ordenador y con internet, ven que no pueden quedarse atrás, pero piensan que con un ordenador ya digitalizan la entidad. Y no es así, el ordenador es una caja tonta que hará lo que tú le pidas que haga o deje de hacer.
¿Cuál es el proceso a seguir para lograr una transformación digital en la entidad?
(JA): Antes de pasar a la transformación digital, es necesario poner en orden tu casa, saber cómo haces las cosas, qué es lo que haces, qué es lo más importante de todo lo que haces, cómo deberías gestionarlo, etcétera , para que cuando tengas claro esto, sabrás qué herramienta necesitas y cómo te ayudará. Ésta es la visión que intentamos aportar a este tipo de entidad que no tiene tantos medios, una manera de poder orientarse en este mundo, de priorizar los procesos que tienen y, a partir de ahí, liderar la digitalización en esta dirección .
Jordi Ruppmann (JR): A veces existe confusión de terminología. La digitalización no deja de ser la automatización mediante herramientas digitales de procesos, mientras que la transformación digital está relacionada con una nueva visión de la estrategia para dar respuesta a las demandas de la sociedad digital. Llevamos 3 años trabajando con la mesa, y hemos acompañado a las entidades a identificar lo que están dentro de esta sociedad digital en la que ofrecen un servicio, como entidad social.
¿Las entidades son conscientes de que es necesario realizar esta transformación?
(JR): Hay entidades que sí tienen interés, porque se dan cuenta de que el problema no es tanto mecanizar o automatizar un proceso, porque si tienen defectos en este proceso, lo que harán es automatizar los defectos y los errores, y todavía tendrán más problemas de forma exponencial. Nosotros las acompañamos con esta línea, definiendo primero esta hoja de ruta estratégica.
(JR): Una de las cosas principales en estos acompañamientos es que el trabajo debe hacerlo la dirección de la entidad, y no el ingeniero voluntario, quien en realidad hace de coach. En algún momento hemos utilizado la palabra sherpa, de ayudar con algunas ideas, pero para que la entidad sea la que trabaje. Lo que intentamos es avanzar lo más rápido posible, pero que sean las entidades las que realmente se hagan su proyecto.
¿Cómo reciben las entidades ese compañía?
(JR): En la mayoría de los casos las entidades esperan soluciones, pero antes hay que ver en qué punto de madurez digital se encuentran, en qué momento necesitan estas soluciones o identificar de dónde se obtienen los datos. Y es aquí donde comienza a aparecer el problema, porque muchas tienen cierto desorden con el tema de los datos. Tienen datos multiplicados y no coherentes, en excels larguísimos. Primero debemos hacer que el dato sea único, ya partir de ahí entramos en temas de seguridad.
¿A qué se refiere?
(JA): Sucede a menudo que una persona registra la información de un usuario, pero después este usuario va a otra persona que lo registra de nuevo en otro lugar, y la entidad puede tener el nombre de una misma persona en diversas bases de datos, e incluso, escritos de distinta forma, y muchas veces, además, expuestas. Esto es fruto de que la prioridad de las entidades es atender a la persona, y no tanto registrar un dato una única vez. Pero sí es verdad que esta parte queda en un segundo plano y no se dan cuenta de que están trabajando en un mismo dato varias veces y de una forma que complica cualquier gestión.
(JA): Excel es una gran enea de la que se hace un mal uso. Cuando se trabaja con excelso, primero, nadie tiene garantía alguna de que el documento que hay en la entidad, con toda la información, esté bien montado. Segundo, no todos los excelso se hablan entre sí o son compatibles, lo que dificulta la gestión. Y tercero, ¿dónde pones este Excel? Si la persona que se encarga de él se marcha de la entidad, este documento se puede perder. O si tiene una contraseña y no la sabemos, pues no se podrá aceptar a ella. Excel es la forma que tienen todas las entidades de empezar, pero es donde se pierde la gestión de los datos de la entidad. Tienes muchos datos, pero no tienes información coherente.
Y una vez realizado el tratamiento de estos datos, ¿qué riesgos existen? ¿Qué buscan las personas delincuentes en las entidades?
(JA): Diría que en las entidades, por el tipo de trabajo que realizan, hay un punto de cierta despreocupación. Es decir, nadie piensa que desde fuera les puedan hacer daño, generalmente no piensan, ya veces bajan la guardia. Es necesario que la gente tome conciencia de que, aunque parezca que no son importantes para otra persona, nunca sabes por quién eres importante. Tampoco es necesario estar desconfiando todo el día.
(JR): Los ciberdelincuentes te atacan porque eres vulnerable y porque realmente no has hecho tus deberes previamente. Creo que es importante realizar un análisis de la gestión del riesgo, identificarlo y saber qué podemos y qué no podemos controlar. La idea es minimizar los riesgos, porque nunca podemos evitarlos completamente. Los hackers siempre van por delante de todos, y éste es uno de los problemas que tenemos.
Hable de madurez digital. ¿Qué acciones se suelen realizar y ponen en riesgo la seguridad de los datos?
(JR): La madurez digital es la mentalidad de ser conscientes de los riesgos existentes. Por ejemplo, traer información sensible en un USB. Si lo pierdes, dejas de tener el control de estos datos. Este escape de información puede generar un gran problema. Primero para la persona, porque esto puede tener graves consecuencias, y después para la entidad, que es la responsable de los datos.
(JR): Podemos realizar todas las formaciones o webinares sobre protección de datos y de ciberseguridad, pero es necesario que las entidades sean conscientes de los riesgos de las acciones que realizan. Podemos tener un ordenador muy protegido, pero si existen las contraseñas en post-its pegados al monitor, es una información a la que puede aceptar cualquier persona ajena. O si dejamos un portátil en un espacio en el que puede penetrar todo el mundo, si se lo llevan, ya hemos perdido toda la información. Esta concienciación la intentamos reforzar en los acompañamientos. Con concienciación y madurez digital, las entidades ya ganan mucho en protección de datos.
Para realizar una transformación digital y para tener una buena seguridad deben destinarse recursos que, muchas veces, las entidades no tienen.
(JA): Digitalizarse a coste cero coste cero es imposible, porque aparte del coste de la herramienta en sí mismo, aunque algunas puedan ser muy económicas para las entidades sociales, debe añadirse el coste de las horas que debes invertir para poner en marcha aquella herramienta y formar a los usuarios a los que, una vez les cuentes herramienta, deberás acompañarles de forma formada.
(JR): Si se trabaja para tener una buena seguridad, puedes trabajar el proyecto con tranquilidad y bien pensado, ganas tiempo, puedes negociar precios y haces una puesta en marcha no traumática. Sin embargo, si lo haces cuando has tenido un ataque, ya vas a contrapié. Además de hacer frente a las multas que tengas que pagar, o las posibles demandas por daños y perjuicios, además habrá que terminar haciendo igualmente el proyecto de seguridad de la información, pero ahora en condiciones totalmente negativas y con un mayor coste .
