Ver Suplemento Temático...


Seguridad de la Información y Protección de Datos.

 

 Expertos

Lorenzo Martínez

Ingeniero Superior en Informática.
Ingeniero Técnico en Informática de Gestión
Director Técnico España y Portugal de DenyAll Iberia
DENYALL IBERIA

Cumplimiento normativo vs seguridad


Por las experiencias de la vida diaria sabemos que si no nos ponen una serie de normas escritas y de obligatorio cumplimiento, los seres humanos actuamos de la forma que el sentido común nos dicta (algunos no sé si llegaron a encontrar ese sentido común en algún sitio pero bueno). Si no nos dicen que la velocidad máxima en una autopista es 120 km/h el sentido común nos diría que en algunos casos podemos exceder el límite con total garantía. Sin embargo, esa ley, aunque obsoleta y basada en las capacidades de seguridad de los vehículos de los años 80, no se ha actualizado ni a las infraestructuras actuales ni a las mejoras de seguridad de los vehículos.
                                     
Hace tiempo leí en una discusión de un grupo LinkedIn al que estoy suscrito algo que suscribe una conclusión a la que llegué hace tiempo: en el caso de las empresas ¿se ponen los medios y recursos únicamente para cumplir con las normativas de seguridad que les exige el sector o realmente les preocupa el valor de la información que manejan?

Las empresas, amenazadas por las leyes sobre el tratamiento de la información, desarrollan metodologías de protección de datos a fin de evitar las brutales multas que, desgraciadamente en menos ocasiones de las que deberían suceder, las autoridades imponen cuando se detectan irregularidades con la información de los usuarios/clientes.

La comparación entre las empresas y el ejemplo del límite máximo de velocidad de las autopistas tiene bastante que ver. Es decir, que los conductores respetemos el límite de 120 km/h (cuando el sentido común lo indica) para evitar las multas que la DGT impone "por nuestra seguridad" (aunque todos tenemos claro el porcentaje recaudatorio de estas medidas); de la misma manera, las empresas no se preocupan (en una gran cantidad de ellas) de la seguridad de los datos que gestionan, así como del establecimiento de buenas prácticas basadas en la seguridad como principio fundamental para el tratamiento de los mismos. El objetivo que les mueve es el cumplimiento de las normativas vigentes en cada sector/país para evitar sanciones: nada más.

Afortunadamente, aun quedan empresas compuestas por personas con vocación y motivación suficiente, que puestos a implantar una herramienta de seguridad (cortafuegos, IPS, WAF, correlador de eventos, etc,...) no sólo se guardan en un cajón (físico o digital) los informes y/o logs que proveen como resultado para cuando alguien los pida, sino que además se analizan y se impulsan acciones de mejora. Sin embargo, hay otras que se limitan a rellenar la checklist de cada normativa con ¿contáis con un dispositivo para mitigar el riesgo X? Sí, aunque el equipo esté apagado, mal configurado o funcione en modo router sin filtrar ningún ataque.

En el caso de los conductores, el disponer de carreteras con rectas interminables y que sus vehículos no pasen de las 3000 rpms para ir a 120km/h, provoca cuanto menos aburrimiento, monotonía e incluso sueño. Esto, lejos de mejorar la seguridad vial, desde mi punto de vista, genera nuevos riesgos. Quizá el límite debería venir marcado por más parámetros que el tipo de vía, sino, condiciones climáticas, edad del coche, años de carnet del conductor, etc,...

OFFTOPIC: Hay iniciativas como Movimiento140.com que piden un aumento bastante sensato en los límites de velocidad.

Suplemento Temático: Los nuevos retos del Director de Seguridad

 


Fuente: www.securitybydefault.com
Fecha: 28/03/10

   Mas artículos de Lorenzo Martínez        Otros Expertos   

Este experto ha sido visto por 1662 personas.