SciELO - Scientific Electronic Library Online

 
 número9iLeger: Uma proposta de Mediação Digital para Períodos EleitoraisRecolha, preservação e contextualização de objectos digitais para dispositivos móveis com Android índice de autoresíndice de assuntosPesquisa de artigos
Home Pagelista alfabética de periódicos  

Serviços Personalizados

Journal

Artigo

Indicadores

Links relacionados

  • Não possue artigos similaresSimilares em SciELO

Compartilhar


RISTI - Revista Ibérica de Sistemas e Tecnologias de Informação

versão impressa ISSN 1646-9895

RISTI  no.9 Porto jun. 2012

https://doi.org/10.4304/risti.9.59-73 

Evaluación de la Privacidad de una Red Social Virtual

 

J. R. Coz Fernández 1, E. Fojón Chamorro, R. Heradio Gil 1, J. A. Cerrada Somolinos 1

1Departamento de Ingeniería de Software y Sistemas Informáticos. Universidad Nacional de Educación a Distancia. Ciudad Universitaria, Juan del Rosal 16, E-28040. Madrid, España. E-mail: jrcozf@gmail.com, efojonc@gmail.com, rheradio@issi.uned.es, jcerrada@issi.uned.es

 

RESUMEN

Tanto para las organizaciones y empresas como para la Sociedad en su conjunto, la protección del ciberespacio constituye un aspecto crucial y la privacidad de la información es uno de los pilares sobre los que descansa esta protección. En el proceso de construcción del ciberespacio, las redes sociales virtuales se han convertido en uno de los elementos más relevantes para el intercambio de información, y su utilización de forma global y masiva pone de relevancia su gran importancia estratégica. En este artículo se propone la evaluación de la privacidad en las redes sociales virtuales, mediante un modelo de madurez, un marco para la evaluación y un cuadro integral de mandos.

Palabras clave: Privacidad, redes sociales virtuales, modelos de madurez, cuadro integral de mandos.

 

ABSTRACT

For organizations, companies and society as a whole, the protection of cyberspace is a crucial aspect and privacy of information is one of the pillars on this protection. In the cyberspace construction process, virtual social networks have become one of the most important information exchange elements and its use in a comprehensive and massive manner has reinforced its strategic significance. This paper proposes the evaluation of privacy in virtual social networks through a maturity model, a framework for comprehensive assessment and a balanced scorecard.

Keywords: Privacy, social networks, maturity models, balanced scorecard.

 

1. Introducción

La sociedad de la información es definida como aquella en la cual la creación, distribución y manipulación de la información forman parte importante de las actividades culturales y económicas. El termino sociedad de la información fue acuñado por primera vez en 1962 por Fritz Machlup (1962), pero no es hasta la década de los 70 cuando se generaliza su uso, debido, fundamentalmente, a una evolución en los medios de generación de riquezas, pasando de los sectores industriales a los sectores de la tecnología de la información y las comunicaciones (TIC). Hoy en día la economía globalizada contemporánea concede al sector de las TIC el papel de motor de la economía global. A pesar de encontrarnos aun en los albores de la sociedad de la información, el ciberespacio, y más concretamente internet, juega un papel vertebrador en la corriente globalizadora que está desarrollándose en los comienzos del siglo XXI.

Los seres humanos, por su naturaleza, son sociables, y la cotidianidad en el uso de internet ha provocado que exporten sus usos y costumbres desde un “mundo real” a un “mundo virtual”. En el caso específico de las redes sociales, su reciente virtualización ha permitido que las redes sociales convencionales sean más accesibles a todo el mundo, permitiendo a los seres humanos comunicarse de una manera global y dinámica. Uno de los grandes retos que se presentan relacionados con las redes sociales virtuales es la protección de la privacidad de sus miembros o usuarios tal y como lo describen Adrienne Felt y David Evans (2008). La privacidad la podemos definir como el ámbito de la vida personal de un individuo que se desarrolla en un espacio reservado, y que debe de mantenerse de forma confidencial. No existen en la actualidad modelos o estándares consolidados relacionados con la privacidad de la información en este tipo de redes.

Con estos antecedentes, se presenta este artículo, donde se exponen diversos modelos y herramientas que den soporte a la gestión de la privacidad de la información en las redes sociales virtuales. El artículo se estructura de la siguiente manera. En la sección 2 se profundiza sobre el concepto de red social virtual. Los ámbitos y principios de protección que cubre la privacidad de la información en las redes sociales virtuales son presentados en la sección 3. Los procesos relacionados con la gestión de la privacidad se detallan en la sección 4. La sección 5 ofrece un resumen de algunos modelos y herramientas que pueden dar soporte a una evaluación de la gestión de la privacidad en una red social virtual como un modelo de madurez, un framework de evaluación de la madurez o un cuadro integral de mandos. Finalmente, en la sección 6 se resumen las principales conclusiones del presente artículo. Se incluye también un breve glosario de términos.

 

2. Las Redes Sociales Virtuales

El concepto general de red social lo acuñó Lozares, C. (1996) que la definió como el conjunto delimitado de actores, incluyendo individuos, organizaciones, grupos, comunidades o sociedades vinculados unos con otros mediante una relación o conjunto de relaciones sociales. Algunos autores como Vázquez Barquero, A. (1999) delimitan este concepto a la red de relaciones entre empresas u organizaciones incluyendo en el concepto el sistema de relaciones que vinculan a las empresas o actores entre sí, respecto a un contenido (recursos, información o tecnología). Otros autores se refieren a las redes sociales en Internet, cubriendo la posibilidad de establecer relaciones personales o profesionales, con individuos a los que no conocemos y de tal manera, que la red se va construyendo con las aportaciones de todos y cada uno de sus miembros, González Gálvez, P y Rey Martín, C. (2009). Tapscot, D. y Williams, A. D. (2007) defienden esta nueva forma de trabajo en red, aunando esfuerzos y colaboraciones para conseguir innovación, creando valor y apoyando a la toma de decisiones en las organizaciones y empresas.

Para otros autores es importante el papel que juega la calidad de la información contenida en las redes sociales en las decisiones estratégicas de las organizaciones, Miralles, F. (1998). Pero casi todos los autores coinciden en que las nuevas tecnologías de la información y las comunicaciones ha acelerado todos estos cambios sociales, proporcionando velocidad en el acceso y la gestión de la información y permitiendo una comunicación global, Van Bavel, R. et al. (2004) y Quan Haase, A. et al. (2002).

Los sociólogos han identificado la existencia de diferentes maneras de observar el fenómeno de las redes sociales, atendiendo a una serie de circunstancias, diferenciando entre redes sociales por filiación, como aquellas que se generan de forma espontánea en los grupos y cuya presencia imprime un clima de camaradería e identificación, redes sociales por conocimiento, como aquellas redes sociales que responden a intereses propios de la organización pero con un alto grado de interés personal, se generan para agregar valor a los procesos, mejorarlos o crearlos y redes por contexto como aquellas que responden a las funciones propias vinculadas a un cargo o a un grupo de ellos, Durán Torres, K. (2010).

El carácter social de los seres humanos es inherente a casi todas las situaciones de la vida, la cotidianidad del mundo virtual ha provocado que exportemos nuestros usos y costumbres del mundo real al mundo virtual. En el caso de las redes sociales, su virtualización ha permitido aunar todos los tipos de redes sociales del mundo real en una única red social virtual, dotándola de un carácter tangible que, en muchas ocasiones, las redes sociales reales no tienen.

Las redes sociales virtuales permiten a los seres humanos comunicarse de una manera global y dinámica dando un carácter tangible a muchos de los aspectos intangibles de las redes sociales del mundo real, al apoyarse en complejos sistemas de información y en el uso de dispositivos. Por tanto, podemos concluir que una red social virtual, en adelante RSV, son servicios prestados a través de Internet que permiten a los usuarios generar un perfil, desde el que hacer públicos datos e información personal y que proporcionan herramientas que permiten interactuar con otros usuarios y localizarlos en función de las características publicadas en sus perfiles.

Las RSV, independientemente de la tipología a la que pertenezcan, comparten un conjunto de características como la conexión rápida y dinámica de los usuarios que forman parte de la RSV, la compartición de todo tipo de información entre los usuarios, la difusión viral a través de sus usuarios y los riesgos a los que se ven expuestos los usuarios. La clasificación tradicional de las RSV se realiza en relación a dos parámetros, la temática de la RSV y el público objetivo al que van dirigidas, Larissa A. (2002). Las RSV horizontales son aquellas cuya temática es generalista y está dirigida a todos los perfiles de usuarios y las RSV verticales son aquellas RSV cuya temática es definida y está dirigida a un determinado perfil de usuario. Dentro de este tipo se encuentran las RSV profesionales.

Las nuevas necesidades de los usuarios de las RSV está provocando, cada vez más, la creación de RSV que aúnan características de las RSV horizontales y verticales, dando lugar a las RSV híbridas. En lo que respecta al formato, la mayoría de las RSV se encuadran dentro de los tres siguientes:

  1. Las plataformas de intercambio de contenidos e información permiten el alojamiento e contenidos con el objetivo de poder ser compartidos por el resto de usuarios. Este tipo de plataformas, en muchas ocasiones, no son consideradas RSV, debido a que la mayoría de los expertos en redes sociales consideran que las RSV se fundamentan en la teoría de “los seis grados de separación”, en virtud de la cual cualquier individuo puede estar conectado a otra persona en el planeta, a través de una cadena de conocidos con no más de cinco intermediarios (con un total de seis conexiones), Milgram S. (1967).
  2. Por otro lado, las redes de blogging se basan en el blog como herramienta de comunicación. La mayoría de los usuarios de este formato de RSV actualizan periódicamente el contenido de su blog compartiendo vivencias, conocimientos o ideas personales o profesionales con el resto de los usuarios autorizados.
  3. La mayoría de los usuarios de las RSV asocian el concepto de RSV con las redes sociales virtuales basadas en perfiles. Este hecho se debe, fundamentalmente, a que son el formato de RSV más numeroso, Alexa. (2012), y demandado por los usuarios de las redes sociales, Diogo T. & Isabel A. (2011). La popularidad de estas herramientas reside en su facilidad de uso, su diseño “user friendly”, el elevado número de servicios que ofrecen a sus usuarios y la teoría de los seis grados de separación, O'Connor, B. et al (2010). La búsqueda de antiguos amigos, compañeros o familiares y proporcionar un mecanismo para expresar la opinión sobre determinados asuntos son los usos más populares de las RSV, Ku, Ke, y Chen, (2009); Java, A. et al (2007).

 

3. Ámbitos y principios de protección

Cuando un usuario completa el proceso de alta en una RSV crea una identidad virtual. Este hecho, aparentemente cotidiano, constituye una de las mayores amenazas contra la privacidad. Esta nueva identidad será manejada por el usuario, que podrá optar por manejar una identidad virtual idéntica a su identidad real o, por el contrario, manejar una identidad ficticia, donde los datos del usuario sean ficticios. También podrá optar por el uso de identidad virtual híbrida, donde algunos de los datos de usuarios sean reales y otros ficticios. El usuario debe manejar la identidad virtual de un modo responsable con el objetivo de no comprometer la identidad real o la privacidad. A la hora de determinar qué tipo de identidad virtual debe utilizar, han de tenerse en cuenta varios factores:

  • Por un lado, el tipo de usuario de la RSV. En caso que el usuario potencial de la RSV sea un menor de edad, pero mayor de 14 años, es aconsejable hacer uso de una identidad virtual ficticia a la hora de darse de alta en la RSV. En caso que el usuario potencial de la RSV sea un adulto deberá tener en cuenta los otros factores para poder realizar una correcta toma de decisión.
  • Finalidad en el uso de la RSV solicitada. Si el propósito del alta del usuario a la RSV es profesional es aconsejable que el usuario haga uso de una identidad virtual real, ya que el objetivo suele ser la búsqueda de trabajo o el intercambio de información profesional. En el resto de los casos es aconsejable hacer uso de las identidades virtuales ficticias o híbridas.
  • Confiabilidad de la RSV solicitada. Los usuarios, antes de completar el proceso de alta en una RSV deberían realizar un pequeño estudio de la citada RSV. Este estudio debería centrase en recabar la opinión de conocidos y/o expertos que hagan uso de la citada RSV así como la lectura de las políticas de privacidad y las condiciones de uso. En el caso particular de las RSV basadas en perfiles, se constata que son el formato de RSV que gestionan identidades virtuales más extensas, debido a que son el formato que solicita a sus usuarios mayor número de datos. Es por ello, que este formato de RSV, de una manera especial, debe informar a sus usuarios de todos los procesos en los que se manejen los datos de su identidad virtual (alta, navegación, baja), así como de las consecuencias de un manejo inapropiado de los mismos.

Los usuarios de las RSV están expuestos a un conjunto de amenazas y riesgos que, en mayor o menor medida, pueden afectar a su privacidad. En la actualidad, las RSV basadas en perfiles son la tipología de RSV que exponen a sus usuarios a un mayor número de amenazas y riesgos. Esto se debe, fundamentalmente, a que se trata de la tipología que solicita y maneja mayor cantidad de datos de carácter personal. Acciones tan cotidianas, dentro de una RSV, como publicar datos de carácter personal, enviar mensajes privados, publicar fotos, etiquetar amigos, descargar aplicaciones, etc. llevan asociados un conjunto de amenazas y riesgos contra la privacidad. Algunos de los principales factores de riesgo para la privacidad de los usuarios de las RSV son:

  1. 1. La falta de concienciación de los usuarios de las RSV en las buenas prácticas en materia de privacidad. La gran mayoría de los usuarios confían en que su navegación a través de la RSV sea segura y exenta de todo riesgo. Esto se debe, fundamentalmente, a una falta de concienciación y educación en el correcto uso de las RSV, e Internet en general. La falta de concienciación no es solo un problema que puede comprometer la privacidad de los usuarios de las RSV, sino que puede comprometer la credibilidad de la RSV y su futura expansión. Por tanto, es tarea de los responsables de las RSV realizar una campaña de concienciación del futuro usuario durante el proceso del alta en la RSV, así como la de planificar un plan de formación continua durante todo el ciclo de vida del usuario en la RSV.
  2. Falta de procedimientos y mecanismos de securización. Las RSV deben de funcionar sobre plataformas informáticas seguras que garanticen la salvaguarda de la privacidad de los usuarios que la utilizan. Del mismo modo, deben ponerse a disposición de los usuarios aquellas informaciones relacionadas con los mecanismos de seguridad de la RSV, así como cuáles son los procedimientos que permitan a los usuarios conocer sus derechos y ejercerlos en los momentos que consideren oportuno
  3. Uso inadecuado de los datos de los usuarios por terceros. Es práctica común que las RSV suscriban con terceros (empresas de publicidad, marketing, etc.) acuerdos comerciales y/o de cesión de datos de los usuarios de la RSV sin el consentimiento informado del interesado. Estos acuerdos, en múltiples ocasiones, derivan en un uso incorrecto de los datos de los usuarios de las RSV, pudiendo exponer al usuario en una situación de riesgo al desvelar información sensible del mismo, que en muchos casos excede la finalidad del marco de cesión de datos. Las RSV están obligadas a informar a sus usuarios sobre el uso que hará de los datos personales que aportan y/o publican en la RSV. Esta información debe ser aportada por la RSV en el proceso de alta del usuario y aceptada por él mismo antes de hacer uso de cualquier servicio proporcionado por la Red Social Virtual.
  4. Suplantación de identidad de los usuarios. Las RSV permiten a los usuarios confeccionar su identidad digital. La falta de control en el registro de usuarios en la RSV permite suplantar la identidad de un usuario de manera sencilla, es decir, adoptar una identidad virtual ficticia a partir de la identidad real de un tercero. El principal riesgo de la suplantación de identidad son los daños irreparables a la privacidad del usuario suplantado. Hoy en día no existen mecanismos eficientes para evitar la suplantación de identidad, aunque las grandes RSV están trabajando en complejos sistemas de identificación que disminuyan el número de incidencias.

Las RSV deben salvaguardar y garantizar a sus usuarios el ejercicio de sus derechos al honor, vida personal y familiar y a la propia imagen. Los citados derechos consisten esencialmente en lo siguiente:

-ü El derecho al honor es aquel derecho a la protección de la imagen pública de una persona, de la consideración social en la que es tenido, de su nombre y su reputación, de tal forma que el resto de individuos lo respeten. Dicha protección, como excepción a lo usual en los derechos de la personalidad, se extiende más allá del fallecimiento por medio de acciones concedidas por el Ordenamiento a sus causahabientes.

-ü El derecho a la propia imagen atribuye al individuo la capacidad de ejercer un control sobre la captación, grabación, uso y difusión de su imagen, entendida como representación gráfica de la figura humana, y también de su voz.

El derecho a la intimidad se entendió inicialmente por doctrina y jurisprudencia como un bien ordenado a la protección de lo más interno y reservado de las personas. Posteriormente la jurisprudencia y la evolución social han definido un derecho a la intimidad de contenido amplio y textura abierta, cuyas manifestaciones son múltiples.

La protección de datos personales. El derecho a la protección de datos alcanza a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales. El que los datos sean de carácter personal no significa que sólo tengan protección los relativos a la vida privada o íntima del usuario, sino que los datos amparados son todos aquellos que identifiquen o permitan la identificación de la persona, pudiendo servir para la confección de su perfil ideológico, racial, sexual, económico o de cualquier otra índole, o que sirvan para cualquier otra utilidad que, en determinadas circunstancias, constituya una amenaza para el individuo.

Protección de consumidores y usuarios, La proliferación de RSV está modificando las prácticas comerciales. Este hecho se debe, en gran medida, a que los usuarios de las RSV son clientes potenciales de toda empresa, grande o PYME, que realice campañas de marketing o publicidad a través de las RSV. Comienza a ser una práctica común entre las grandes corporaciones, y cada vez más entre las PYMES, que destinen parte de su presupuesto de marketing y/o publicidad a campañas que usan a las RSV como plataforma. Este nuevo modelo, sin duda, es beneficioso para las empresas y usuarios ya que permiten realizar transacciones comerciales de manera más rápida y sencilla. Pero como ocurre siempre, todo beneficio tiene su riesgo, y en el caso de las transacciones comerciales se centran en la inseguridad de las transacciones electrónicas a través de la red, la validez de contratos, el derecho de los usuarios o la jurisdicción en caso de litigios.

Protección de la propiedad intelectual. Otro de los grandes retos de la Sociedad de la Información es controlar el derecho a la propiedad intelectual de los contenidos que se intercambian a través de Internet. Con las premisas de que el autor es la persona física o jurídica que crea una obra, la propiedad intelectual de una obra literaria, artística o científica corresponde al autor por el sólo hecho de su creación, los derechos de propiedad intelectual se componen tanto de derechos personales, como de los derechos de explotación sobre la obra y son consideradas obras de propiedad intelectual las obras literarias, artísticas o científicas, podemos concluir que la protección compromete, tanto a los derechos morales como patrimoniales. Los Derechos morales son derechos inherentes a la persona física y, por tanto, irrenunciables, encontrándose entre ellos la "paternidad" de la obra, la integridad de la misma, la decisión sobre su difusión y el reconocimiento de su autoría y los derechos patrimoniales son derechos cuantificables económicamente y que pueden ser dispuestos por los sujetos titulares (personas físicas y jurídicas). Estos derechos son los relativos a las actividades de reproducción, distribución, comunicación pública y transformación.

La protección de los Menores. Los menores de edad conforman el segmento de usuario, de las RSV, más vulnerable. Los menores de edad son el segmento de la población que en mayor proporción hace uso de Internet y sus servicios. La curiosidad y falta de madurez son dos de los factores, que sin duda, provocan que los menores de edad estén expuestos a mayores riesgos que el resto de usuarios en el uso de Internet. La concienciación y educación de los menores permitirá minimizar los riesgos a los que se pueden ver expuestos cuando navegan por Internet, y en especial, cuando hacen uso de las RSV. El papel de los padres o tutores en la educación de los menores respecto al correcto uso de Internet es vital, pero, en muchas ocasiones, estos padres o tutores no disponen de la formación mínima necesaria para llevar a cabo esta tarea.

En la actualidad, hay vigentes una gran cantidad de legislaciones nacionales e internacionales relativas a la protección de datos. A pesar de esta diversidad, todas ellas tienen un conjunto de principios comunes. Estos son:

i. Principio de calidad de los datos. Los datos que se recaben deben ser pertinentes, adecuados y no excesivos para la finalidad para la que son recogidos. Las RSV, en la mayoría de los casos, vulneran este principio al no ser capaces de delimitar los límites de este principio.

ii. Consentimiento previo e informado a los usuarios sobre el tratamiento de los datos y su cesión a terceros. Los usuarios de las RSV deben ser informados de la finalidad de la recogida de sus datos de carácter personal, así como el uso y posibles cesiones a terceros que se pudiesen llevar a cabo.

iii. Derechos ARCO (Acceso, Rectificación, Cancelación y Oposición). Los usuarios deberán tener la capacidad de ejercer sus derechos de acceso, rectificación, cancelación u oposición respecto a sus datos de carácter personal en cualquier momento y mediante medios gratuitos y de fácil acceso.

iv. Garantía de confidencialidad. Se debe garantizar que los datos de carácter personal de los usuarios deberán ser manejados y gestionados de tal forma que solo sean accesibles por las personas autorizadas por el usuario.

v. Regulación de la transferencia internacional de datos. Las RSV deben operar desde países confiables y que posean regulaciones en materia de protección de datos internacionalmente aceptadas.

vi. Securización de los medios automatizados. Los responsables de las RSV deben implementar todas las medidas técnicas y procedimentales con el objetivo de securizar la plataforma en la que reside la RSV.

 

 

4. Procesos de Gestión de la Privacidad

Para la gestión de la privacidad de una red social virtual (RSV), las fases más críticas son el proceso de alta del usuario en la RSV, el uso de determinados servicios de la RSV y el proceso de baja de los usuarios de la RSV:

  • En el proceso de alta en la RSV los usuarios facilitan una cantidad importante de datos de carácter personal. En la mayoría de las ocasiones los datos son excesivos para la finalidad de su uso por parte de la RSV y, por tanto, en la mayoría de las ocasiones exponemos nuestra privacidad.
  • La utilización de servicios que permiten la publicación de fotos, chatear con el resto de usuarios, enviar mensajes privados, etc. pueden comprometer la privacidad de los usuarios de la RSV, así como la de terceros, ya sean usuarios de la RSV o no.
  • El proceso de baja de usuarios de la RSV es el último momento crítico, debido, fundamentalmente, a que la mayoría de las RSV no realizan un borrado efectivo de los datos facilitados por los usuarios a lo largo de su ciclo de vida en la RSV.

Los cinco procesos principales relacionados con la gestión de la privacidad en una red social virtual son:

  1. La gestión de usuarios de la RSV. Este proceso incluye todas las actividades relacionadas con la gestión de usuarios de la RSV: el alta out-site e in-site de los usuarios, la gestión de los accesos a la RSV, la modificación de los datos de usuario, las diferentes modalidades de baja de usuarios, como la baja voluntaria, la baja tras la no confirmación en el proceso de alta, out-site, la baja promovida por los gestores de la RSV, las notificaciones de gestión de la RSV o las comunicaciones de tipo comercial.
  2. La protección de los derechos de usuarios de la RSV. En este proceso se incluye la protección de los derechos ARCO, los procesos relacionados con la Agencia de Protección de Datos en España e incluidos en la Ley de Protección de Datos (LOPD), el movimiento internacional de los datos, la protección del derecho, el honor y la intimidad de los usuarios de la RSV, la propiedad intelectual y el derecho de los consumidores, los mecanismos de denuncia, el secreto de las comunicaciones y las herramientas de auto inspección.
  3. La navegación de los usuarios en la RSV. El proceso de navegación abarca aspectos como la gestión de las sesiones de usuarios, los idiomas, el alta, modificación y borrado de contenidos de texto y multimedia y la gestión del almacenamiento de esta información.
  4. La formación de los usuarios de la RSV. La formación tiene como objetivo la concienciación y la guía de los usuarios en el uso de la RSV. Este proceso incluye la segmentación de los tipos de usuarios en base a su grado de conocimiento técnico y de uso, la gestión de contenidos de tipo formativo, los planes de formación, los cursos y las notificaciones legales y técnicas en la RSV.
  5. La seguridad de la plataforma de la RSV. La seguridad de la plataforma tecnológica sobre la que se soporta la RSV es el pilar básico sobre el que debe sustentarse una RSV. Este proceso incluye multitud de aspectos tanto de seguridad lógica, de seguridad física, de continuidad como de procedimientos y técnicas de seguridad. También se incluyen todos los procesos relacionados con la auditoria de la plataforma y la organización responsable de su explotación y gestión.

 

5. Modelos y herramientas de evaluación

A continuación se muestran algunos modelos y herramientas que pueden dar soporte a la evaluación de la privacidad en una red social virtual.

5.1. El modelo de madurez

El primer modelo de madurez nace de las investigaciones realizadas en la década de los 80 por el Instituto de Ingeniería del Software de la Universidad Carnegie Mellon, junto con la MITRE Corporation, para la mejora del proceso de diseño y desarrollo del software. Fruto de estas investigaciones se desarrolla un marco de trabajo que se denominó Proceso de Madurez. Este marco de trabajo está relacionado con el concepto de la administración de la Calidad Total, TQM, (Ashley Rawlins, R. (2008)), y contaba con cinco niveles y una implementación de prácticas de calidad bien definidas.

Se puede considerar que el primero modelo de madurez fue una aplicación de TQM para el desarrollo de software. Pero no es hasta 1989 cuando se publica el libro titulado "Managing the Software Process", S. Humphrey, W (1989). En esta obra ya encontramos un marco de trabajo definido por cinco niveles de madurez. Este libro se puede considerar el primer modelo de madurez de la industria. Desde 1987 hasta 1997 este modelo ha ido evolucionando, pasando por las versiones 1.1., Beth Chrissis, M. et al. (2003), y 1.2., M. Ahern, D. et al (2008).

Además de este modelo, identificado como CMM, existen otros modelos de madurez ya consolidados en la industria, como por ejemplo, el Modelo de Madurez de la gestión de proyectos, portfolios y programas (P3M3), S. Bonham, S. (2008), de la Oficina de Comercio del Gobierno Británico (OGC), o el Modelo de Madurez de la Seguridad (SS-CMM), Abhijit Belapurkar A. et al. (2009).

En lo que se refiere a la gestión de la privacidad en redes sociales virtuales tenemos el modelo de madurez en materia de privacidad de una red social virtual, J.R. Coz and E. Fojón (2010), que está compuesto por una serie de componentes:

  1. El análisis de las RSV.Incluye un estudio en profundidad del concepto de red social virtual. Este estudio incluye las diferentes tipologías de las RSV, se presentan los diferentes formatos en que se presentan las RSV, se analiza el concepto de “identidad virtual”, la “cadena de valor” de las RSV y se ponen de manifiesto los principales riesgos a los que están expuestas estas redes. Por último, se realiza un resumen del “modelo de negocio” que las sustenta y se obtienen una serie de conclusiones sobre el futuro de este modelo.
  2. Estudio de Privacidad. Este modelo de madurez detalla los diferentes ámbitos de protección de las RSV y para cada uno de estos ámbitos, se describen los principios comunes, los riesgos a los que están sometidos y las medidas de protección, de carácter general, que pueden ser acometidas.
  3. Resumen Ejecutivo. El resumen ejecutivo contiene los antecedentes y conceptos necesarios para entender el modelo, su estructura, los objetivos y beneficios que aporta el modelo y se organizan todos los Procesos de Gestión de la Privacidad y los Niveles de Madurez.
  4. Modelo de Madurez, Procesos y Niveles. El Modelo está compuesto por cinco Niveles de Madurez (inicial, repetible, definido, gestionado y optimizado), cada uno de ellos se organiza en varios procesos y subprocesos de gestión de la privacidad. A su vez, cada subproceso contiene una serie de áreas clave de procesos y cada área se mide en prácticas clave. Además, cada Área Clave del Proceso, que puede ser evaluada por las diferentes Prácticas Clave, tiene una correspondencia con una serie de requisitos que deben de cumplirse. En total, hay 214 requisitos en todo el Modelo, que se encuentran organizados por Áreas Clave.

5.2. El framework de evaluación

El framework de evaluación complementa el modelo de madurez y permite normalizar el diagnóstico de cumplimiento del modelo en una organización responsable de la gestión de una RSV, J.R. Coz and E. Fojón (2010). Este framework hace uso de un “cubo de gestión”. Las dimensiones de este cubo representan todos los aspectos de gestión del framework. La primera dimensión del Framework de Evaluación son los Condicionantes (o requisitos previos) y los Objetivos. Existen una serie de condicionantes relativos a la Planificación, a la recogida de información, a las prácticas organizacionales, al equipo de trabajo, a la validación y a los informes de evaluación.

Estos condicionantes incluyen una serie de requisitos que deben de cumplirse con carácter previo al desarrollo de la evaluación. La segunda dimensión del cubo son los recursos, incluyendo roles y herramientas de evaluación, y las características de los informes de evaluación. Por último, la tercera de las dimensiones es el método de evaluación.

A continuación, en la Figura 1, se muestra un gráfico muy resumido del método de evaluación que comienza con una primera fase de preparación, que incluye la planificación inicial y la recogida de datos, continua con una segunda fase de actividades sobre el terreno, que incluye una auditoria, entrevistas y análisis de datos y finaliza con la tercera y última fase de entrega de resultados, que incluye un informe final de la evaluación con las conclusiones y recomendaciones. Este informe final, describe el nivel de madurez en el que se ubica la organización y contiene recomendaciones para lograr alcanzar el siguiente nivel de madurez.

 

 

5.3. Un Cuadro Integral de Mandos

El Cuadro Integral de Mandos (CIM) es un sistema de gestión propuesto por S. Kaplan, R. and P. Norton, D. (1996) y que va más allá de la perspectiva financiera con la que los gerentes evaluaban la marcha de una empresa u organización. Este sistema permite que veamos a la organización desde cuatro perspectivas: el desarrollo y aprendizaje, el cliente, la financiera y la interna del negocio. Tomando como referencia este concepto se ha desarrollado un CIM que de soporte a la realización de una auditoria de evaluación del modelo de madurez en materia de privacidad de una red social virtual, J. R. Coz et al. (2010). Este CIM propone esta evaluación desde las cuatro perspectivas:

  1. Perspectiva de Desarrollo y Aprendizaje. Incluye todas aquellas prácticas clave y requisitos que se engloban dentro de la formación: la estrategia de la formación de los usuarios de la RSV, la segmentación de la formación, los contenidos de los cursos, los mecanismos de formación, el mantenimiento de las materias de formación, el plan de formación, los cursos de iniciación y la formación continua.
  2. Perspectiva del Cliente. El rol del cliente lo asume el usuario de la RSV. La perspectiva del cliente incluye la gestión de los usuarios de la RSV (todos los procesos relacionados con las altas, modificaciones y bajas de usuarios) y la gestión de los derechos, que engloba: los procesos de gestión del derecho a la protección de datos de carácter personal, del derecho al honor, la intimidad personal y familiar y la propia imagen, del tratamiento para usos comerciales, del movimiento internacional de datos y de la propiedad intelectual.
  3. Perspectiva Interna del Negocio. La perspectiva interna del negocio abarca todos los procesos relacionados con la gestión de la seguridad de la plataforma que da soporte a la RSV, incluyendo aspectos de seguridad lógica, como el control de accesos, la continuidad del servicio (copias de seguridad, recuperación, etc.), la gestión de incidencias, el cifrado de las comunicaciones, el hacking ético, la gestión de cookies y web beacons, los permisos sobre el contenido publicado, la seguridad física y las auditorias.
  4. Perspectiva Financiera. Incluye todas las cuestiones relacionadas con el comercio electrónico y las plataformas de pago de las RSV, en el caso de que incluyan este tipo de servicios.

La herramienta nos permite garantizar el cumplimiento de los requisitos expuestos en el Modelo de Madurez y en el Framework de Evaluación de la Madurez.

 

6. Conclusiones

En este artículo se analiza el concepto de red social virtual y los aspectos más relevantes relacionados con la gestión de la privacidad de la información, un asunto muy crítico y que constituye uno de los elementos básicos en la protección de la seguridad del ciberespacio.

En el presente artículo se han expuesto los principios y ámbitos de protección en las redes sociales virtuales y los principales procesos de gestión de la privacidad de la información. Además, en el artículo se describen varias propuestas para evaluar la gestión de la privacidad en las redes sociales virtuales como un modelo de madurez, que permite clasificar las redes en base a su nivel de protección, un marco de evaluación, que normaliza el proceso de evaluación de la privacidad y una herramienta en forma de cuadro integral de mandos, que da soporte a una auditoria de evaluación.

Todas estas propuestas ofrecen un marco de referencia sobre la privacidad de la información en las redes sociales virtuales que puede sentar las bases de una futura normalización en esta materia.

Glosario

  • Usuario: persona física titular de los datos.
  • Bloqueo de datos: la identificación y reserva de los datos con el fin de impedir su tratamiento.
  • Comunicación o cesión de datos: toda revelación de datos realizada a una persona distinta del interesado o usuario.
  • Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.
  • Datos de carácter personal: información concerniente a una persona física, que identifican la misma o permiten la identificación.
  • Fichero: conjunto organizado de datos. Puede ser una base de datos estructurada, una hoja de cálculo o un documento electrónico cuyo el contenido sean datos de carácter personal.
  • Identificación del afectado: cualquier elemento que permita determinar directa o indirectamente la identidad física, fisiológica, psíquica, económica, cultural o social de la persona afectada.
  • Disociación: todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.
  • Transferencia de datos: el transporte de los datos entre sistemas informáticos por cualquier medio de transmisión, así como el transporte de soportes de datos por correo o por cualquier otro medio convencional.
  • Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permiten la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

 

Referencias bibliográficas

Abhijit Belapurkar A. et al. (2009) “Distributed Systems Security: Issues, Processes and Solutions”. John Wiley and Sons, 2009.         [ Links ]

Adrienne Felt and David Evans (2008) “Privacy Protection for Social Networking Platforms. Workshop on Web 2.0 Security and Privacy”. Oakland, CA. 22 May 2008.         [ Links ]

Alexa. (2012) “Alexa Top 500 Global Sites”. Retrieved March 2012, from http://www.alexa.com/topsites        [ Links ]

Ashley Rawlins, R. (2008) “Total Quality Management (TQM)”. ISBN 1434372987, 9781434372987. AuthorHouse, 2008.         [ Links ]

Beth Chrissis, M. et al. (2003) “CMMI: guidelines for process integration and product improvement”. ISBN 0321154967, 9780321154965. Addison-Wesley, 2003.         [ Links ]

Diogo T. & Isabel A. (2011) “Análise de opiniões expressas nas redes sociais“. RISTI, Edición N.º 8, 12/2011.         [ Links ]

Durán Torres, K. (2010) “Las Redes Sociales como estrategia competitiva para las PYMES: Caso de estudio empresas registradas en el Sistema Universitario de Mejora Empresarial (SUME)”. Tesis presentada a la Facultad de Contaduría y Administración de la Universidad Veracruzana, Región Xalapa.         [ Links ]

Fritz Machlup (1962) “The production and distribution of knowledge in the United States”. Princeton University Press, 1962. ISBN 9780691003566.         [ Links ]

González Gálvez, P y Rey Martín, C. (2009) “Redes sociales como fuente de capital social: una reflexión sobre la utilidad de los vínculos débiles”. RISTI. Edición nº 3. 06/2009. ISSN: 1646-9895        [ Links ]

J. R. Coz et al. (2010) “Cuadro Integral de Mandos como soporte al proceso de Evaluación de la Madurez de una Red Social Virtual en materia de Privacidad“. V International Congress on IT Governance and Service Management: Proposals for Tough Economic Times. Alcalá de Henares, Junio 2010.         [ Links ]

J.R. Coz and E. Fojón (2010) “Modelo de madurez para la privacidad de una red social virtual”. ISBN 1445720175, 9781445720173. Lulu Enterprises Inc., 2010.         [ Links ]

Java, A. et al (2007) “Why We Twitter: Understanding Microblogging Usage and Communities”. Procedings of the Joint 9th WEBKDD and 1st SNA-KDD Workshop 2007. San Jose, California , USA.         [ Links ]

Ku, L., Ke, K., & Chen, H. (2009) “Opinion Analysis on CAW2.0 Datasets. Paper presented at the Content Analysis in Web 2.0”. Workshop, 21st April 2009, Madrid, Spain.         [ Links ]

Larissa A. (2002) “Redes sociales y partidos políticos en Chile”. REDES- Revista hispana para el análisis de redes sociales”. Vol.3,#2, sept-nov. 2002.         [ Links ]

Lozares, C. (1996) “La teoría de redes sociales”. Papers, nº 48, pp. 103-126        [ Links ]

M. Ahern, D. et al (2008) “CMMI Distilled: A Practical Introduction to Integrated Process Improvement”. ISBN 9780321461087. Addison-Wesley, 2008.         [ Links ]

Milgram S. (1967) “The small world problem”. Psychology Today. 1967;1:61-7.         [ Links ]

Miralles, F. (1998) “El saber de les organitzacions. Sistemas d’informació. Reptes per a les organitzacions”. Barcelona: Columna edicions, Edicions Proa. Pp 41-60.         [ Links ]

O'Connor, B. et al (2010) “From Tweets to Polls: Linking Text Sentiment to Public Opinion Time Series”. The International AAAI Conference on Weblogs and Social Media, Washington DC.         [ Links ]

Quan Haase, A. et al. (2002) “Capitalizing on the Net: Social Contact, Civic Engagement and Sense of Comunita”. In Barry Wellman and Carolyne Haythornthwaite (Eds.). The Internet in everyday life. Maryland: Blackwell Publising.         [ Links ]

S. Bonham, S. (2008) “Actionable Strategies Through Integrated Performance, Process, Project, and Risk Management”. ISBN 1596931191, 9781596931190. Artech House, 2008.         [ Links ]

S. Humphrey, W (1989) “Managing the Software Process”. ISBN 0201180952, 9780201180954. Addison-Wesley, 1989.         [ Links ]

S. Kaplan, R. and P. Norton, D. (1996) “The balanced scorecard: translating strategy into action”. ISBN 0875846513, 9780875846514. Harvard Business Press, 1996.         [ Links ]

Tapscot, D. y Williams, A. D. (2007) “Wikinomics. la nueva economia de las multitudes inteligentes”. Barcelona: Ediciones Paidós.         [ Links ]

Van Bavel, R. et al. (2004) “ICTs and Social Capital in the knowledge society”. Institute for prospective technological studies”. Technical Report EUR 21064 EN.         [ Links ]

Vázquez Barquero, A. (1999) “La Teoría del Desarrollo Endógeno”, Madrid: Pirámide.         [ Links ]

 

Recebido / Recibido: 17/03/2012

Aceitação / Aceptación: 30/05/2012