El valor de los datos personales

Es curioso observar cómo el valor que se da a los datos personales varía enormemente en función de los datos en cuestión y quién los valore.

Hoy en DiarioTI publican una noticia interesante. Un sitio web estadounidense publica un servicio que permite, al introducir un número de tarjeta de crédito o una identidad, verificar si está siendo utilizado de forma fraudulenta en Internet. Evidentemente, la utilidad del servicio es clara, pero el uso que se da a los datos personales es, cuando menos, cuestionable. Y no sólo por el peligro que entraña la difusión de esos datos si la web es crackeada, sino por el propio uso que dicho servicio hace de esos datos. Su recopilación ya es algo cuestionable (para qué se pueden utilizar esos datos?), pero es que si lo miramos desde nuestra LOPD el propio servicio deja de tener sentido (debido al deber de información, nadie tendría que consultar la web para conocer si sus datos están ahí).

De todas formas, este artículo me lleva a una reflexión sobre el valor que se da a los datos personales. En este caso se les otorga un elevado valor tanto por parte de la organización, que ofrece el servicio, como por parte de los usuarios (que se supone que lo utilizarán). E incluso los críticos también los consideran importantes, aunque sea desde el punto de vista del uso que la compañía pueda hacer de ellos. Pero qué valor real les da la compañía?

Si pruebas el servicio, te das cuenta de que en realidad es un reclamo para recabar tus datos completos, a cambio de un "Free StolenID Monitor". En realidad, la compañía ofrece una aplicación, y se dedica a recopilar y organizar una enorme base de datos de tarjetas usadas de forma fraudulenta, con el objetivo final de recabar más datos personales. Y esto no es más que otro caso, porque seguro que todos conocemos un montón de campañas comerciales que te regalan productos, descuentos, y todo tipo de promesas a cambio de que les des tus datos personales completos.

Lo más llamativo de todo ésto es que los usuarios parecemos no darle demasiada importancia a ceder estos datos. En mayor o menor medida, todo el mundo está dispuesto a cederlos a cambio de los "regalos" sin mayor problema. Es curioso ver cómo el público en general damos tan poca importancia a ceder nuestros datos, mientras que las compañías les dan un valor tan alto que están dispuestas a "comprarlos" a precios de regalos de importante cuantía económica, en algunos casos. Parece existir una importante excepción, y es la referente a datos personales de carácter económico (números de cuentas, de tarjetas, ...), que aunque la ley los identifica en muchos casos como de nivel bajo, la mayor parte del público en general no está dispuesta a cederlos ni siquiera para realizar compras a través de Internet en sitios de reconocida reputación. Al final, parece que el dinero tiene en muchos casos más importancia que cualquier otro tema. Aunque muchas empresas no vean tantas diferencias...

Sistemas de Gestión: Parecidos y diferencias

Con la proliferación de diversas normas que regulan los sistemas de gestión en distintos ámbitos, en muchas ocasiones aparecen dudas sobre el contenido de cada uno de ellos. La intención de este pequeño gráfico es indicar, a grandes rasgos, sus parecidos y diferencias más importantes.

Entre los parecidos principales, todas ellas definen sistemas de gestión, y como tal definen unas actividades básicos que se tienen que desarrollar: gestión de la documentación, revisión, auditoría, gestión de incidencias, gestión de no conformidades, acciones preventivas y correctivas, ... En definitiva, todas las actividades que garantizan el cumplimiento adecuado del ciclo PDCA en el que se basan.

A partir de ahí, aparecen las diferencias. El Sistema de Gestión de la Calidad (SGC) que define la ISO 9001 cubre a priori toda la organización, exige la definición de procesos y se centra principalmente en la satisfacción del cliente. No tiene aportaciones específicas para el área TIC, aparte de los requisitos generales que se deben cumplir, y regula desde aspectos estratégicos hasta aspectos tácticos y operativos.

Por su parte, el SGSI definido por la ISO 27001 combina la satisfacción de los requisitos del cliente en materia de seguridad con los de la propia compañía. Define una serie de requisitos de seguridad a cumplir, unos a nivel general y otros específicos para el área TIC, aunque su ámbito de aplicación sea a priori toda la organización, desde el apartado estratégico hasta el operativo. Muchos de sus requisitos coinciden con los exigidos por un SGC, tal y como se puede observar en los anexos de la propia norma, e incluso su alcance se define en base a procesos.

El Sistema de Gestión de la Continuidad del Negocio (SGCN) que especifica la BS 25999 se centra de forma exclusiva en una dimensión de la seguridad, como es la disponibilidad, principalmente desde un punto de vista de exigencia propia de la organización. Sin embargo, su ámbito de actuación va más allá del exigido por el SGSI en materia de continuidad, y exige la definición específica de una serie de medidas que garanticen en la práctica la continuidad del negocio a nivel global. Los requisitos para el área TIC son grandes, pero también exige que se contemple la continuidad de la actividad desarrollada por el resto de las áreas de forma independiente a ella.

Por su parte, el Sistema de Gestión de los Servicios TIC (SGSTIC) que define la ISO 20000 se centra exclusivamente en la gestión de este área, aunque en ella contempla desde los aspectos estratégicos hasta los operativos. Amplia los requisitos que en materia de definición de procesos realiza la ISO 9001, identificando los que deben desarrollarse en dicho área, y desarrolla de forma más extensa los requisitos de seguridad contemplados en la ISO 27001, estableciendo procesos para lo que antes sólo se definian controles. Además, contempla muchos de los requisitos que la BS 25999 establece para el área TIC en materia de continuidad, aunque evidentemente su marco de actuación se restringe exclusivamente a dicho área.

En definitiva, estamos ante normas con muchos elementos en común, aunque con ámbitos de aplicación específicos y diferenciados. No obstante, una adecuada definición de los alcances en los que se aplica cada una de ellas nos va a permitir acotar los esfuerzos de implantación y aprovechar todas las coincidencias y sinergias que puedan surgir entre ellas, de modo que el desarrollo de un sistema de gestión integrado certificable contra todas ellas sea no sólo una utopía sino una realidad alcanzable si dedicamos los esfuerzos necesarios de forma adecuada. Pero ojo! Que conste que estos esfuerzos necesarios pueden ser importantes...

Nuevo año, nuevas ilusiones

Hola a todos!

Antes de nada, pedir disculpas por haber tenido el blog desatendido durante tanto tiempo. Entre las vacaciones, un comienzo de año muy ajetreado laboralmente hablando, y un ADSL que ha tardado 4 meses en llegar, la verdad es que no he sabido sacar tiempo para el blog. Pero mi intención es seguir, en la medida de lo posible, con el mismo ritmo de publicación del año pasado.

En cuanto al propio blog, como dice el título, lo retomo con nuevas ilusiones. Tengo pendientes algunos cambios de imagen, completar y depurar el apartado de etiquetas... De momento, parece que el feed RSS de blogger funciona bastante bien. Algo es algo! Y a partir de ahora, lo que toca es escribir, que lo más duro siempre es ponerse manos a la obra. Y ya veremos como va saliendo...

Saludos a todos,

Joseba

Feliz Navidad y Próspero 2007!

Antes de irme de vacaciones, quería desear a todos los visitantes del blog una feliz navidad y un próspero año nuevo. Son fechas en las que, además de juntarnos con la familia, solemos aprovechar para hacer balance de los momentos vividos durante el año y, sobre todo, para plantear los propósitos del año venidero. Aunque sepamos que no vamos a cumplirlos! Lo bonito de estas fechas es que, por una vez, todos soñamos con un futuro mejor y, aunque sea por un instante, nos parece que realmente podemos conseguirlo. Yo sólo quiero animar a todo el mundo a que no olvide estos sueños, a que realmente trate de que se cumplan. Porque aunque no logremos alcanzar las metas fijadas, un pequeño paso en el camino soñado realmente merecerá la pena. Y en navidad, todo parece más fácil...

Feliz navidad a todos, y hasta el año que viene.

Zorionak, eta urte berri on.

Nos vemos,

Joseba

Gestión de la Continuidad de Negocio

El pasado 4 de Diciembre se presentó oficialmente en Londres la norma BS 25999-1:2006. Esta norma recoge los esfuerzos de BSI por desarrollar un código de buenas prácticas en materia de Gestión de la Continuidad de Negocio (BCM, Business Continuity Management).

Esta norma viene a dar respuesta a las crecientes necesidades del mercado de contar con una guía válida para este tipo de actividades, puesto que ni la SS507:2004 (estándar de Singapur para los proveedores de servicios de BC/DR) ni la guía británica PAS 56:2003 (también editada por BSI) cubrían adecuadamente las necesidades corporativas actuales. La norma, que durante algún tiempo se especuló que podría publicarse como norma ISO bajo el número 27006, cubre todos los aspectos relacionados con las mejores prácticas de la industria en materia de gestión de la continuidad a nivel global, y va desde el propio sistema de gestión a nivel de gobierno corporativo hasta los requisitos de negocio asociados a los sistemas de información, entre otros muchos aspectos.

En esta línea, se espera que para mediados de 2007 se publique la parte 2 de la norma, en la que ya se especificarán los requisitos que debe tener un Sistema de Gestión de la Continuidad del Negocio, y por lo tanto será certificable. ¿Cuánto tardarán estas normas en llegar a ser normas ISO? En realidad nadie lo sabe, pero dados los antecedentes de BSI y las exigencias del mercado en este tipo de iniciativas, es probable que los plazos sean realmente breves, si no se interponen otro tipo de intereses "colaterales".

Problemas de confianza

Estamos muy habituados a que el principal motivo por el que se hable de la seguridad sean los "ataques" externos. Cada día aparecen nuevos virus, cientos de e-mails de spam y phising inundan los buzones de correo, se difunden nuevos exploits, y cientos de crackers intentan acceder de forma ilegítima a servicios webs a lo largo de todo el ciberespacio. Y sin embargo, cada día las empresas ignoran más a menudo este tipo de amenazas. Por qué? Sencillamente, porque el mayor riesgo está en el interior.

Tal y como señalaba Diario TI hace unos días en esta noticia, el mayor riesgo percibido por las organizaciones proviene del interior. Sencillamente, los directivos no confían en sus propias organizaciones, y ponen en duda la capacidad de mantener la confidencialidad tanto a nivel interno como de cara a sus clientes y colaboradores. Evidentemente, esto supone un grave problema en términos de confianza y credibilidad de la propia compañía, dada la repercusión que puede tener este hecho a nivel de negocio.

El propio artículo identifica algunos de los elementos asociados a esta falta de confianza, como son:

• No se definen roles y responsabilidades encaminados a garantizar la confianza de clientes y colaboradores.
• Se aprecia una falta de formación de los directivos en este ámbito.
• No existe una visión conjunta de los elementos que favorecen esta confianza.
• No se dedican recursos de forma adecuada para logran un aumento de dicha confianza.

Evidentemente, este panorama no es nuevo, y probablemente todos conoceremos ejemplos concretos en los que se pueden aplicar estos y otros criterios. Desde mi punto de vista, este es uno de los principales motivos por los que los SGSIs están teniendo un auge tan importante: las empresas buscan algún salvavidas al que aferrarse, que les permita librarse de la sensación de inseguridad que se cierne sobre ellas. Y resulta que la ISO 27001, entre otros aspectos, resulve todos los citados anteriormente...