25 enero 2007

El valor de los datos personales

Es curioso observar cómo el valor que se da a los datos personales varía enormemente en función de los datos en cuestión y quién los valore.

Hoy en DiarioTI publican una noticia interesante. Un sitio web estadounidense publica un servicio que permite, al introducir un número de tarjeta de crédito o una identidad, verificar si está siendo utilizado de forma fraudulenta en Internet. Evidentemente, la utilidad del servicio es clara, pero el uso que se da a los datos personales es, cuando menos, cuestionable. Y no sólo por el peligro que entraña la difusión de esos datos si la web es crackeada, sino por el propio uso que dicho servicio hace de esos datos. Su recopilación ya es algo cuestionable (para qué se pueden utilizar esos datos?), pero es que si lo miramos desde nuestra LOPD el propio servicio deja de tener sentido (debido al deber de información, nadie tendría que consultar la web para conocer si sus datos están ahí).

De todas formas, este artículo me lleva a una reflexión sobre el valor que se da a los datos personales. En este caso se les otorga un elevado valor tanto por parte de la organización, que ofrece el servicio, como por parte de los usuarios (que se supone que lo utilizarán). E incluso los críticos también los consideran importantes, aunque sea desde el punto de vista del uso que la compañía pueda hacer de ellos. Pero qué valor real les da la compañía?

Si pruebas el servicio, te das cuenta de que en realidad es un reclamo para recabar tus datos completos, a cambio de un "Free StolenID Monitor". En realidad, la compañía ofrece una aplicación, y se dedica a recopilar y organizar una enorme base de datos de tarjetas usadas de forma fraudulenta, con el objetivo final de recabar más datos personales. Y esto no es más que otro caso, porque seguro que todos conocemos un montón de campañas comerciales que te regalan productos, descuentos, y todo tipo de promesas a cambio de que les des tus datos personales completos.

Lo más llamativo de todo ésto es que los usuarios parecemos no darle demasiada importancia a ceder estos datos. En mayor o menor medida, todo el mundo está dispuesto a cederlos a cambio de los "regalos" sin mayor problema. Es curioso ver cómo el público en general damos tan poca importancia a ceder nuestros datos, mientras que las compañías les dan un valor tan alto que están dispuestas a "comprarlos" a precios de regalos de importante cuantía económica, en algunos casos. Parece existir una importante excepción, y es la referente a datos personales de carácter económico (números de cuentas, de tarjetas, ...), que aunque la ley los identifica en muchos casos como de nivel bajo, la mayor parte del público en general no está dispuesta a cederlos ni siquiera para realizar compras a través de Internet en sitios de reconocida reputación. Al final, parece que el dinero tiene en muchos casos más importancia que cualquier otro tema. Aunque muchas empresas no vean tantas diferencias...

24 enero 2007

Sistemas de Gestión: Parecidos y diferencias


Con la proliferación de diversas normas que regulan los sistemas de gestión en distintos ámbitos, en muchas ocasiones aparecen dudas sobre el contenido de cada uno de ellos. La intención de este pequeño gráfico es indicar, a grandes rasgos, sus parecidos y diferencias más importantes.

Entre los parecidos principales, todas ellas definen sistemas de gestión, y como tal definen unas actividades básicos que se tienen que desarrollar: gestión de la documentación, revisión, auditoría, gestión de incidencias, gestión de no conformidades, acciones preventivas y correctivas, ... En definitiva, todas las actividades que garantizan el cumplimiento adecuado del ciclo PDCA en el que se basan.

A partir de ahí, aparecen las diferencias. El Sistema de Gestión de la Calidad (SGC) que define la ISO 9001 cubre a priori toda la organización, exige la definición de procesos y se centra principalmente en la satisfacción del cliente. No tiene aportaciones específicas para el área TIC, aparte de los requisitos generales que se deben cumplir, y regula desde aspectos estratégicos hasta aspectos tácticos y operativos.

Por su parte, el SGSI definido por la ISO 27001 combina la satisfacción de los requisitos del cliente en materia de seguridad con los de la propia compañía. Define una serie de requisitos de seguridad a cumplir, unos a nivel general y otros específicos para el área TIC, aunque su ámbito de aplicación sea a priori toda la organización, desde el apartado estratégico hasta el operativo. Muchos de sus requisitos coinciden con los exigidos por un SGC, tal y como se puede observar en los anexos de la propia norma, e incluso su alcance se define en base a procesos.

El Sistema de Gestión de la Continuidad del Negocio (SGCN) que especifica la BS 25999 se centra de forma exclusiva en una dimensión de la seguridad, como es la disponibilidad, principalmente desde un punto de vista de exigencia propia de la organización. Sin embargo, su ámbito de actuación va más allá del exigido por el SGSI en materia de continuidad, y exige la definición específica de una serie de medidas que garanticen en la práctica la continuidad del negocio a nivel global. Los requisitos para el área TIC son grandes, pero también exige que se contemple la continuidad de la actividad desarrollada por el resto de las áreas de forma independiente a ella.

Por su parte, el Sistema de Gestión de los Servicios TIC (SGSTIC) que define la ISO 20000 se centra exclusivamente en la gestión de este área, aunque en ella contempla desde los aspectos estratégicos hasta los operativos. Amplia los requisitos que en materia de definición de procesos realiza la ISO 9001, identificando los que deben desarrollarse en dicho área, y desarrolla de forma más extensa los requisitos de seguridad contemplados en la ISO 27001, estableciendo procesos para lo que antes sólo se definian controles. Además, contempla muchos de los requisitos que la BS 25999 establece para el área TIC en materia de continuidad, aunque evidentemente su marco de actuación se restringe exclusivamente a dicho área.

En definitiva, estamos ante normas con muchos elementos en común, aunque con ámbitos de aplicación específicos y diferenciados. No obstante, una adecuada definición de los alcances en los que se aplica cada una de ellas nos va a permitir acotar los esfuerzos de implantación y aprovechar todas las coincidencias y sinergias que puedan surgir entre ellas, de modo que el desarrollo de un sistema de gestión integrado certificable contra todas ellas sea no sólo una utopía sino una realidad alcanzable si dedicamos los esfuerzos necesarios de forma adecuada. Pero ojo! Que conste que estos esfuerzos necesarios pueden ser importantes...

22 enero 2007

Nuevo año, nuevas ilusiones

Hola a todos!

Antes de nada, pedir disculpas por haber tenido el blog desatendido durante tanto tiempo. Entre las vacaciones, un comienzo de año muy ajetreado laboralmente hablando, y un ADSL que ha tardado 4 meses en llegar, la verdad es que no he sabido sacar tiempo para el blog. Pero mi intención es seguir, en la medida de lo posible, con el mismo ritmo de publicación del año pasado.

En cuanto al propio blog, como dice el título, lo retomo con nuevas ilusiones. Tengo pendientes algunos cambios de imagen, completar y depurar el apartado de etiquetas... De momento, parece que el feed RSS de blogger funciona bastante bien. Algo es algo! Y a partir de ahora, lo que toca es escribir, que lo más duro siempre es ponerse manos a la obra. Y ya veremos como va saliendo...

Saludos a todos,

Joseba