Posibles riegos y reemplazo de la encuesta Online

En la última década ha habido una avalancha de softwares, herramientas, sistemas y servicios en la Internet para realizar encuestas Online, desde empresas como SurveyMonkey, QuestionPro y hasta la propia Google, todos ellos se han empeñado en producir un cambio en la forma como los datos de las encuestas son colectados y almacenados, ofreciendo para ello servidores en la Internet para que miles de usuarios comiencen a crear sus encuestas y a cargar datos en repositorios alojados mayoritariamente en Estados Unidos. Si bien este cambio ha sido positivo, sobre todo por el impacto favorable en el precio de los Estudios cuantitativos, la verdad es que ha obligado a los usuarios a exponer sus datos, que pueden ser sensibles a la vista de las redes, de los servidores y de los empleados de las mismas empresas proveedoras de estos servicios de encuestas Online. Si bien la encuesta Online mediante servicio contratado a un tercero o SaAS (Software como Servicio) tiene su espacio bien justificado, queremos saber si existen formas más seguras de realizar encuestas en aquellos casos donde debemos asegurar que la confidencialidad de la información y de los datos no sea vulnerada. Viendo el estado actual de la tecnología informática es posible encontrar opciones de reemplazo al servicios SaAS tradicional para alojar nuestra encuesta Online confidencial, no obstante primero vamos a aclarar dos conceptos fundamentales para preparar el terreno, ellos son "Off-primesses" (Fuera de nuestro Sitio) y "On-Premises" (En de nuestro Sitio)

OFF PREMISES VS. ON PREMISES

Off-premises significa que cuando usted usa un servicio de encuestas Online (SaAS), tal como QuestionPro, Google o SurveyMonkey, sus datos estarán siendo almacenado en los servidores de la empresa que Ud. contrata, así sus datos estarán expuestos a la vista de los empleados de estas empresas y podrían estar sujetos a las vulnerabilidades propias de sus sistemas, que incluyen hacking y posible robo de información. Tenga en cuenta que al usar estos sistemas, usted esta cediendo el control de sus datos a estas empresas, usted cede la responsabilidad de almacenamiento, de respaldos y de seguridad. Por el contrario, un software ON-Premises significa que al usted usar estos sistemas, usted tiene el acceso exclusivo a sus datos, los cuales están siendo almacenados en sus propios servidores, será de su responsabilidad el control de la seguridad, el almacenamiento y respaldos de los datos. La ventaja de los sistemas On-premises, es que sus datos no están siendo vistos por los empleados del proveedor del software para encuestas.

Es posible que a su empresa le interese aplicar una encuesta Online, pero que los datos sean almacenados en sus propios servers, y no en la nube de la empresa proveedora. Así, en lugar de contratar un servicio SaAS genérico como SurveyMonkey, su empresa podría disponer de sus propios servidores (Linux o Windows), bien sea que estos servers sean máquinas físicas ubicadas en sus propias oficinas, o máquinas virtuales contratadas a un tercero local o global. Al almacenar los datos en su servidor propio (On Premises) se garantiza que hayan menos ojos viendo sus datos, sobre todo si logramos usar un sistema que nos garantice que lo que se almacena en el server no sea entendible por paquetes de softwares comerciales. De allí la necesidad de codificar, encriptar y no usar bases de datos comerciales, o estructuras de datos entendibles por los paquetes de software comerciales.

Aunque el software Rotator es una aplicación de escritorio que le permite crear encuestas en un pc con Windows, a la hora de publicar el cuestionario, nuestros usuarios tienen 3 opciones a seleccionar: 1) Publicar en un servidor de su propiedad (su propio servidor Linux, o en un hosting contratado por Ud. a un tercero.) 2) Publicar en un servidor privado, pero administrador con nuestra empresa, lo que significa que Ud. Puede contratar con nuestra empresa un servidor para su uso exclusivo, y 3) Publicar en cualquiera de los servidores de la nube de Rotator, lo cual equivale a procesar su encuesta tal como lo hace SurveyMonkey o QuestionPro, es decir. Su encuesta estaría alojada en un servidor propiedad de Rotator Software. Típicamente nuestros servers están localizados en Canadá y usa, contratados a proveedores globales de alta calidad. Veamos a continuación las definiciones:

SERVIDOR “PROPIO” – CONTROLADO POR EL USUARIO FINAL

Como su nombre lo indica, un servidor “PROPIO” es una máquina física, virtual o un hosting contratado a un tercero por parte del usuario de Rotator. En este caso, ROTATOR SOFTWARE no tiene ningún tipo de injerencia técnica ni administrativa y todas las tareas de administración, configuración, monitoreo y respaldo corren por cuenta del usuario final. Al adicionar un servidor propio al Modelador de Estudios, la comunicación se realiza unidireccionalmente MODELADOR <–> SERVIDOR PROPIO y en ningún momento se realizan envíos de datos o de cuestionarios a servidores propiedad de Rotator Software. Así pues, el beneficio de instalar un servidor propio es el control total centralizado y la confidencial de sus datos. Adicional a estos beneficios, el usuario puede usar su propio hardware y escalarlo en la medida de sus necesidades, así como aplicar políticas corporativas de uso, seguridad y respaldos de servidores.

SERVIDOR “PRIVADO” – CONTROLADO POR ROTATOR SOFTWARE

Un servidor PRIVADO es un servidor administrado por Rotator Software, pero que se destina exclusivamente a un usuario en particular, al contratar un servidor privado se ofrece una configuración media (2 GB RAM, 2 CPU y discos SSD), la cual puede escalar en la medida de la necesidad del cliente. La ventaja del servidor privado es que se garantiza que no haya otras encuestas en paralelo de otros usuarios, y que su uso sea exclusivo por la empresa contratante. Aunque el servidor “privado” es usado única y exclusivamente por el cliente final, su administración corre por cuenta de Rotator Software, y, asimismo, aunque Rotator Software monitorea constantemente los servidores privados para garantizar su disponibilidad, queda de parte de nuestros proveedores actuar y responsabilizarse cuando ocurren fallas de hardware o de software.

SERVIDORES DE LA NUBE – CONTROLADOS POR ROTATOR SOFTWARE

Un “servidor de la nube” es un servidor compartido donde diversos clientes pueden almacenar sus encuestas. Los servidores de la nube de Rotator son servidores de alto desempeño, lo que permite ejecutar en paralelo unas 50 encuestas de tamaño medio. En la medida en que nuestra empresa vaya creciendo en clientes y en estudios, iremos agregando nuevos servidores a la nube. Para diferenciar a los servidores de la nube les hemos dado nombre de dioses griegos, ejemplo ARES, ARTEMIS, ADONIS, HERMES, EROS, POSEIDON, HADES, CHRONOS, ZEUS, AFRODITA, APOLO, etc. Todos ellos operando bajo el dominio “ROTATORSERVER.COM”, como, por ejemplo: “HTPS://ZEUS.ROTATORSERVER.COM”. Al momento en que un usuario publica un cuestionario en la nube, el sistema revisa cual servidor esta más desocupado y realiza allí la publicación. La desventaja de usar la nube de Rotator es su desempeño, sobre todo para usuarios que necesitan publicar muchos estudios concurrentemente, o cuando los estudios a publicar son muy grandes, tanto en preguntas, base de participantes, casos o en número de respondientes concurrentes (o de operadores CATI). En estos casos recomendamos optar por un servidor “PRIVADO” o por un servidor “PROPIO”.

Encuestas ultra confidenciales. Se podría usar un servicio SaAS de encuestas Online, tipo SurveyMonkey o QuestionPro?

Recientemente un usuario de Colombia nos ha contactado porque su organización (anónima) quería realizar una encuesta a las víctimas de secuestros de grupos paramilitares colombianos para analizar la frecuencia de estos eventos y los tipos de maltratos que recibían las victimas, el lugar de los eventos dónde ocurrían, entre otros aspectos relacionados con la violencia y criminalidad de estos grupos armados. El problema era que la organización ejecutora de la encuesta, quería mantenerse anónima para evitar retaliaciones y problemas posteriores, en caso de que las informaciones colectadas en las encuestas fueran divulgadas por algún medio antes de ser entregada a su cliente final, el cual era un organismo internacional del cual también querían mantener el anonimato.

Otro caso que llego a nuestra oficina, fue el de un usuario de Brasil, quien estaba haciendo una encuesta sobre una investigación procesal que se le estaba siguiendo a un político de renombre en ese país, y querían medir varios aspectos relacionados con los actos de corrupción tanto real como percibida, en los cuales ese personaje estuvo involucrado. El problema era que los respondientes de la encuesta eran personalidades de alto rango social y político de Brasil, así, muchos de los participantes del Estudio se negaron a responder encuestas online auto aplicadas respondidas en sus computadoras, en sus dispositivos móviles, o en equipos de terceros conectados a través de la internet.

Estos dos casos de encuestas con datos altamente confidenciales nos hacen pensar, no sólo en la metodología correcta a emplear en estos Estudios, sino en las tecnologías de software más apropiadas para colectar y analizar los datos, de forma de garantizar al 100% que los datos colectados no sean divulgados, robados, extraídos, vistos, o atajados por algún pirata tecnológico, o por los mismo empleados que dan soporte a la infraestructura tecnológica de la empresa proveedora del servicio de encuestas en línea.

Cómo es que los datos de una encuesta Online pueden ser robados?

Hay varias maneras en las que la extracción de la información de encuestas confidenciales pueda ser realizada, aquí mencionamos algunos de los métodos que pueden usar los hackers, piratas o personas malintencionadas que desean robar los datos para usarlos en actos de extorción, black-mailing o para publicarlos en medios masivos como periódicos, sitios web online amarillistas tipo Wikileaks, etc.

1. LOS PROPIOS EMPLEADOS DE LAS EMPRESAS QUE PROVEEN SERVICIOS DE ENCUESTAS ONLINE

Empleados de Empresas como SurveyMonkey, QuestionPro que atienden el mercado masivo de las encuestas online y que colectan anualmente miles de encuestas de todo tipo, desde encuestas sobre lanzamientos de nuevos productos y encuestas presidenciales, hasta llegar a encuestas altamente confidenciales como las mencionadas en este papel. ¿Qué tan probable es que esas encuestas altamente confidenciales, tales como las mencionadas aquí, puedan ser vistas, o peor aún, extraídas o robadas por algún empleado que esté disgustado con la empresa? Por otro lado, conocemos verdaderamente las políticas de seguridad de datos, de confidencialidad de la información y del secreto estadístico que manejan estas empresas. Si usted cree que por el hecho de que su encuesta esté alojada en servidores ubicados en Estados Unidos, y que la empresa proveedora sea norteamericana, la cual en teoría esta regida por leyes estrictas, sepa bien que Wikileaks surgió justamente en Estados Unidos y que esa organización robó todo tipo de información incluyendo documentos secretos de la casa blanca y del pentágono.

2. HACKERS QUE QUIEREN VIOLENTAR LA SEGURIDAD DE LOS SERVIDORES DE LA EMPRESA CONTRATADA.

La segunda posibilidad de que la seguridad de su encuesta Online sea vulnerada puede ser debido a un hacker anónimo quien tenga acceso a los servidores donde su encuesta está siendo alojada, penetre en la base de datos y haga copia de sus datos y los transfiera a su propio computador. Aunque cada vez los servidores son más inteligentes y son menos difícil de invadir, cada vez surgen métodos novedosos para el hacking y para el robo de credenciales, así que no podemos desestimar este escenario. Muchas empresas como Rotator Software prefiere no usar bases de datos comerciales o estructuras de datos faciles de entender ademas de aplicar mecanismos de encriptación a sus datos, incluyendo algortimos de HASH, MD5, entre otros.

Políticas de Seguridad de datos de algunas empresas proveedoras de encuestas Online

La mayoria de las empresas que proveen softwares para encuestas bajo la modalidad de SaAS (Software como Servicio) mantienen políticas rigurosas para el tratamiento de la informacion de sus clientes, sobre todo con relación a los empleados, sean directos o indirectos, quienes tienen acceso a los datos del Estudio. En el caso de Rotator Software, nuestros empleados firman un contrato que se renueva anualmente para proteger la confidencialidad y la seguridad de los datos colectados por nuestros clientes. A continuación presentamos las declaraciones y políticas de confidencialidad y seguridad de la informacion de algunas empresas proveedoras de servicios, herramientas, sistemas y software para encuestas que hemos encontrado en la Internet.