19 octubre 2006

Responsabilidad estatal en materia de seguridad (II)

Hoy recupero el tema de un post anterior, una vez que ha surgido algún que otro comentario al respecto. Como esperaba, es un tema que despierta controversia, aunque en este caso creo que no está correctamente interpretado.

La responsabilidad estatal, al menos desde mi punto de vista (creo que el autor del artículo se puede aproximar a él, pero prefiero no posicionarle y que lo haga él mismo si es que tiene conocimiento de este post y lo considera oportuno), pasa por establecer unas condiciones mínimas de funcionamiento. De hecho, no es algo nuevo, ya que estas condiciones mínimas son, sencillamente, las leyes (junto con el resto de ordenación y regulación, evidentemente). Si lo traducimos a términos relacionados con la seguridad de la información, y usamos un ejemplo tan conocido como puede ser la LOPD, creo que es sencillo de entender. Las leyes (en este caso, la propia Ley Orgánica de Protección de Datos) serían las políticas de seguridad, a las que entiendo que se refiere el artículo. Y el procedimiento correspondiente, que regula cómo se debe aplicar la política, no sería otro que el Reglamento de Medidas de Seguridad.

En este caso, el papel del estado pasa por definir cuáles son las medidas mínimas que se deben respetar en relación al tratamiento de datos personales, sobre todo en materia de confidencialidad. Pero si nos centramos en otra de las dimensiones de la seguridad, la disponibilidad, creo que podemos ver claramente las repercusiones que en este ámbito tienen ciertas infraestructuras críticas como pueden ser las líneas de comunicaciones o las de transporte de electricidad.

Desde mi punto de vista, el estado debe garantizar unas mínimas políticas de seguridad a sus clientes, los ciudadanos. A partir de ahí, serán las empresas y los propios usuarios los que decidan si prestan o exigen mejores condiciones. Pero si no se definen unos mínimos exigibles... ¿Cómo se puede garantizar que se alcanza el nivel de servicio necesario? En aspectos como la seguridad de la información, dejar todas estas condiciones en manos exclusivas del mercado (con los vicios inherentes que conlleva) creo que es demasiado arriesgado. Volviendo al ejemplo de la LOPD, me parece correcto que el estado, dentro de su responsabilidad en materia de seguridad, defina unos requisitos mínimos tanto a nivel de políticas como de procedimientos, que tanto empresas como administraciones deban cumplir. Y el propio mercado ya provocará que algunas de ellas mejoren esas condiciones y decidan incluso llegar a implantar un SGSI para mejorar dicha seguridad. Pero, mientras tanto, el tratamiento de los datos personales de los ciudadanos será mínimamente seguro.