viernes, 19 de septiembre de 2008

De las dos caras de la moneda a la mejora TIC

Cuando los expertos entran a valorar la LOPD, a menudo utilizan el símil de las dos caras de la misma moneda. Por un lado, los "afectados" (a mi modo de ver un término poco acertado para representar al individuo sobre el que se refieren los datos de carácter personal) disfrutan de mayores garantías de la protección de sus datos. En la otra cara de la moneda están las empresas que los tratan, ya que se ven obligadas a implantar unas estrictas medidas de seguridad, bajo la amenaza constante de una dura sanción.

En la cara menos amable de la moneda se encuentra un colectivo que, sin duda alguna, es el auténtico "afectado" (en sentido literal) de la situación: el departamento TIC. Es muy frecuente encontrar a un grupo de personas arrollados por la operativa diaria, con la avalancha de medidas a implementar, y todo ello sin contar con el suficiente compromiso del resto de la organización -al fin y al cabo, la información es cosa suya, ¿no? - Éste es un comentario irónico pero que refleja bastante bien la realidad.

Pero es aquí, ante esta situación tan poco prometedora, donde nace quizás la mayor oportunidad de mejora del departamento TIC:

Imaginemos por un momento al responsable del departamento TIC solicitando los recursos necesarios para optimizar el rendimiento de su departamento, aplicar mejoras en las medidas de seguridad etc. Si en esta empresa no está arraigada la visión de las TIC como un elemento que soporta la cadena de valor del negocio, con mucha suerte, se le aprobará un presupuesto para realizar alguno de los proyectos que tanto necesita. Unos proyectos vistos por el resto de los departamentos como "otro capricho más del informático".

Entonces, ¿qué pasaría si solicitase los recursos necesarios para diseñar de forma óptima todos los procesos del departamento, modificar todas las aplicaciones para incluir las medidas de seguridad adecuadas, realizar auditorias e inventariados de la información, implantar un mecanismo eficiente para la gestión de las incidencias... y un largo etcétera? Posiblemente debería aguantar alguna carcajada...

Pero se produce un cambio de paradigma cuando aparece en escena la LOPD. Es habitual que en una reunión con la directiva se vayan sucediendo las siguientes fases:
  1. Indiferencia: cuando se está explicando en qué consiste la LOPD, sus objetivos, implicaciones...
  2. Rechazo: se comienza a notar en el ambiente cuando se van detallando las diferentes medidas a aplicar.
  3. Atención: llega el momento de explicar las cifras que se están barajando en las sanciones.
  4. Alarma: momento en el que se empiezan a mostrar recortes de prensa con las noticias diarias de las sanciones (incluso a las grandes entidades), hecho que repercute tanto en lo económico como en el prestigio de la compañía.
Y es justo en este preciso momento cuando se comienza a apreciar el deseado compromiso y todas las miradas apuntan al responsable del departamento TIC buscando soluciones. Unas soluciones que con ciertos matices, en su mayoría ellos mismos ya habían rechazado.

miércoles, 17 de septiembre de 2008

Evolucionar o morir

Las "best practices" o buenas prácticas... casi todo el mundo ha oído hablar de ellas, casi todo el mundo conoce, en general, sus principios y sus beneficios. Entonces, ¿Por qué no se utilizan?. ¿Por qué representa una dificultad trabajar con ellas y no se entienden como un beneficio?. Ante estas preguntas, suele ser común argumentar cuestiones relacionadas con costes e inversiones, por no hablar de recursos, sobrecarga de trabajo, etc., aunque desde mi opinión y siendo un tanto generalista, la parte más importante de la dificultad reside en un aspecto conceptual: la preponderancia de un tipo de pensamiento tecnicista. Una forma de pensamiento impermeable muy común y extendida entre muchos de los especialistas del sector, que hace que se perciban como una "Filosofía" en vez de hacerlo como una experiencia práctica que ha demostrado su eficacia y su utilidad en el contexto en el que se ha aplicado. ¡El eterno binomio de la teoría y la práctica!, a pesar de que ambos términos no sean semánticamente opuestos.

No resulta sorprendente que bajo este prisma se perciba negativamente, si se tiene en cuenta que el principio central, o dicho de otro modo, lo que lo hará posible, se fundamenta en un cambio de mentalidad. ¿Filosofía, entonces? En parte y sólo en parte.

Analizando la evolución de género humano, resulta curioso que el mayor logro a nivel de desarrollo (sin tener en cuenta aquí el desarrollo físico) se dé fundamentalmente en el ámbito tecnológico. A lo largo de millones de años de evolución, hemos sido capaces de pasar de la "ingeniería" lítica más arcaica a la ingeniería tecnológica más innovadora. ¿Cuál ha sido el denominador común de semejante logro? Simplificándolo mucho:

a) La predisposición mental que ha permitido ir un paso más allá, no sólo visualizando el resultado, sino que también asumiendo la dificultad e incluso el riesgo implícito. En resumen: el cambio.

b) La sistematización y optimización de procesos productivos mecanizables basados en los principios de la mejora continua (Plan - Do - Check - Act).

Vemos pues que ambos conceptos son complementarios y forman parte de un todo. Ahora bien, el segundo sólo será posible si el primero ha tenido lugar, estamos entonces ante una decisión trascendente:

Evolucionar o morir

lunes, 15 de septiembre de 2008

¿Se está haciendo correctamente el documento de seguridad de la LOPD?

El Real Decreto 1720/2007 en su artículo 88 establece lo siguiente:

"3. El documento deberá contener, como mínimo, los siguientes aspectos:
a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
b) Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento.
c) Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.
d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
e) Procedimientos de notificación, gestión y respuesta ante las incidencias.
f) Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.
g) Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de los mismos".

La propia Agencia de Protección de Datos dentro de su Guía de Seguridad publicada en abril de este año, incluye una guia modelo del documento de seguridad. A modo de ejemplo, dentro del apartado de gestión de soportes y documentos, podemos encontrar, entre otras, las siguientes recomendaciones:

"Los soportes que vayan a ser desechados, deberán ser previamente (detallar procedimiento a realizar para su destrucción o borrado) de forma que no sea posible el acceso a la información contenida en ellos o su recuperación posterior.
En el traslado de la documentación se adoptarán (indicar medidas y procedimientos previstos) las para evitar la sustracción, pérdida o acceso indebido a la información".

Tras lo expuesto queda claro que, en el documento de seguridad, es necesario detallar los procedimientos y medidas técnicas exigidas por el Real Decreto. Sin embargo, la práctica nos lleva a encontrar documentos de seguridad que son una mera copia del Real Decreto. Por ejemplo, cuando el Real Decreto determina en su artículo 94, punto 4 que:

"Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior".

En el documento de seguridad aparece un texto similar al siguiente:

"Los soportes que tengan que ser desechados, se destruirán siguiendo un mecanismo que no permita recuperar la información contenida en los mismos"

Es decir, simplemente se copia el artículo de la ley sin detallar ni procedimientos (responsabilidades) ni medidas. El resultado ya es conocido por todos: currículums con anotaciones subjetivas sobre el comportamiento de los candidatos en papeleras, historias clínicas en contenedores públicos, etc.

¿Cuál es la razón?. Probablemente, porque se ve la LOPD como un trámite burocrático impuesto que viene a complicar la ya difícil realidad diaria de las empresas. Sin obviar que el Real Decreto es criticable en muchos de sus aspectos, creo que es conveniente tener en cuenta que:

1. La LOPD es como una moneda, tiene dos caras: como empresa nos parece un lastre burocrático más pero, como personas, constituye un garante de nuestros derechos individuales. Con esta perspectiva, como responsables del cumplimiento de la ley, debemos poner empeño en tratar los datos de los demás como nos gustaría que trataran los nuestros. Es decir, podemos intentar aplicar lo que podemos llamar la "regla de oro del tratamiento de datos de carácter personal".

2. Además, es muy interesante hacer una aproximación a la LOPD como algo más que el mero cumplimiento de una obligación legal. Podemos ver la LOPD com el principio, o la parte, de un SGSI o Sistema de Gestión de Seguridad de la Información. SGSI que puede estar basado en la norma ISO27000. Con esta perspectiva, vemos que prácticamente todas las medidas de seguridad exigidas por el Real Decreto tienen su equivalente en controles definidos en la norma. Por tanto, implantando las medidas de seguridad técnicas del Real Decreto, estamos construyendo el SGSI de nuestra organización.

jueves, 4 de septiembre de 2008

Primera entrada

Hola, os damos la bienvenida a este blog con el deseo de compartir con vosotros nuestro conocimiento y nuestras experiencias en el mundo de las TIC.