Lo primero es pediros disculpas por la inactividad, pero he estado bastante liado esta semana y no he podido comentar todo lo que me hubiera gustado comentar.
Hoy es un día especial para mí. Lo es porque después de hablar de seguridad y gestión en el blog desde Enero de 2004 (hay que ver cómo pasa el tiempo de rápido) hoy es la primera vez que enlazo un white paper de cosecha propia.
Es un documento escueto, sólo 4 páginas a doble columna, pero es mi primer white paper, al menos bajo el formato clásico de documento de estudio. La temática, tal y como se anunció ayer en "una-al-dia", son los errores más frecuentes en sistemas de protección de datos de carácter personal y de seguridad de la información. Está narrado en clave gerencial, es decir, es un documento no técnico enfocado sobre todo, a gestores de seguridad y responsables de TI.
Espero resulte de vuestra utilidad y agrado 
Descarga:
Enhorabuena por el white paper. Debería aparecer en Infosec writers aunque la protección de datos no sea algo con cobertura internacional. De hecho, deberíamos tener una versión española para ir publicando documentos de la calidad del que eres autor. Por comentar la chicha, y como compañero de problemas (en la medida en que también como consultor en materia de protección de datos/seguridad de la información) coicido plenamente con tus diagnósticos en ambas materias. Respecto a la protección de datos, más que una obligación jurídica debería verse como una buena práctica de responsabilidad corporativa dado que si nuestros clientes uno de los mayores activos, su privacidad vincula al buen hacer de la organización en la gestión de este tipo de información. Puedo comentarte con ciertas restricciones que ahora entenderas, que desde la empresa en la que me encuentro, Firma, proyectos y formación S.L. (www.firma-e.com) hemos tratado de abordar la problemática LOPD como un subconjunto de la problemática de seguridad de la información e identificado que el cumplimiento de la LOPD es un proceso de gestión al igual que lo es garantizar la seguridad de la información. Uno de los activos de la empresa va a ser una solución al problema que aborda desde una perspectiva mixta de seguridad/gestión el problema pero de una manera que permita “demostrar con evidencias” la diligencia y detectar las no conformidades de la gestión pero no respecto al puro cumplimiento del reglamento de medidas sino al resto de componentes que forman la LOPD. Además el seguimiento de los procesos permite disponer de información que permite detectar y solucionar las incidencias almacenadas. Aun así no se podrá garantizar el cumplimiento absoluto de la Ley, pero en cualquier caso si queda demostrado un compromiso de la organización por hacer todo lo posible por garantizarlo. Dado que hay mucho conocimiento y experiencia volcado en esta solución, es actualmente un activo intelectual que debe ser adecuadamente protegido pero que pondremos a disposición de empresas consultoras que no mercadeen con la LOPD como un “Cumpli-MIENTO” basado en declarar lo que se tiene y documentar las metiras que respecto a la seguridad y gestión de los datos jamás se cumplirán.
Un saludo
Comentario Autor: Javier Cao Avellaneda — 25 Mayo 2006 @ 11:13 pm
Sergio,
Buen trabajo. Hombre blanco hablar con lengua sabia ;-))
Se nota que tu white paper responde a experiencias reales, porque refleja prefectamente los vicios/problemas de las empresas, tanto en materia de LOPD como de seguridad de la información.
Respecto de la LOPD, un fallo común es centrarse solamente en el reglamento y en la correspondiente auditoría bianual. En general, dichas auditorías encuentran todo casi perfecto, porque dos semanas antes la empresa ha ido más rápido que Fernando Alonso actualizando el documento de seguridad, borrando ficheros con datos personales que hace tiempo debieron eliminarse, etc. Maquillando la situación, vaya. A las dos semanas de pasar la auditoría, todo vuelve a estar manga por hombro.
El cumplimiento de la LOPD implica un sistema de gestión que abarca no sólo las medidas técnicas, sino también las organizativas y las jurídicas. Por desgracia, sólo es obligatoria la auditoría de las medidas técnicas.
Por otra parte, la protección de datos de carácter personal, como la seguridad de la información, debe ser un esfuerzo continuo y una cultura dentro de cada organización. Y eso requiere el apoyo de la dirección y la asignación de recursos que monitoricen el cumplimiento continuo con la normativa y con las buenas prácticas de gestión.
Eso me lleva a la necesidad de un buen sistema de gestión del cambio. Normalmente, si tomas una foto cuando pasan las auditorías todo está más o menos bien. El problema es que a los dos segundos de tomarse la foto han sucedido doscientos cambios no documentados y realizados sin tener en cuenta ni los requisitos legales, ni la seguridad y ni mucho menos “esa milonga” de los datos personales. Faltan procedimientos, conciencia y sistema.
En cuanto a lo que dice Javier sobre el Cumpli-MIENTO, tiene razón. A algunas consultoras le dices que estás preocupado porque cada tarde haces volar un burro cerca de un aeropuerto y no sabes si será legal, y te contestan que el burro no es “aeronave”, que estés tranquilo. El día que la APD deje de autofinanciarse y comience a actuar de oficio, vamos a ver cuántos burros voladores se van al suelo.
En fin, no quiero extenderme porque el tema tiene tela. Enhorabuena por el white paper, y a ver cuando nos premias con otro.
Comentario Autor: Manu — 26 Mayo 2006 @ 8:05 pm
Javier,
Gracias por tus siempre bienvenidos comentarios. Al hilo de lo que comentas, me da “envidia” que puedas llegar a plantear a las gerencias la conformidad LOPD como una parte de un SGSI (realmente lo es, al menos para mí).
Y lo digo porque muchos gerentes sólo quieren cumplir con la norma y salir del paso, y no les hables de mantener el sistema, de proclamar un proceso o varios o de hacer algo que implique que ese montón de papeles se torne en algo útil y no en precisamente eso, un montón de papeles.
Sobre el próximo paper, te adelanto que tengo otro en ciernes: “Diez retos para gestores de seguridad”, está en fase beta, a ver si lo termino pronto
Manu,
Gracias por los ánimos.
El maquillado es algo tremendamente habitual, no sólo en LOPD, sino en Calidad, Medioambiente y cualquier otra cosa que requiera mantenimiento regular y que no recibe mantenimiento regular.
Yo lo veo como la actitud de muchas personas que sólo se lavan los dientes cuando visitan al dentista, con idea de quedar bien ante el especialista, pero que acaban saliendo con la boca anestesiada, o alguna pieza menos en sus bocas, por no haber mantenido el sistema como Dios manda en los plazos adecuados.
Te doy toda la razón en la gestión del cambio. Es muy cierto lo que comentas: a los pocos segundos de acabar la auditoría, volvemos a las andadas haciendo y deshaciendo sin documentar lo que debiera estar documentado.
Sigo pensando que la mayoría de los problemas en estos sistemas proceden del nulo o escaso compromiso de la dirección. Sin compromiso desde arriba, no llegaremos bien abajo jamás.
Saludos,
Comentario Autor: Sergio Hernando — 27 Mayo 2006 @ 5:26 pm
¡Hola Sergio! Lo que son las cosas, el pasado mayo te encontré buscando formación sobre JD Edwards y/o SAP y ahora que ando leyendo información sobre SGSI… vuelvo a encontrarte. ¡Eres el Faro de Alejandría!
El caso es que he leído con atención tu “white paper” porque después de realizar un curso de Calidad y Normas ISO quiero realizar un Master de Calidad y como opción, se puede estudiar un módulo para audiar un SGSI. Ya te contaré.
Gracias a todos, también, por los comentarios sobre el informe y sobre lo que realmente pasa en las empresas.
Saludos,
Comentario Autor: Sergio Forner — 20 Junio 2007 @ 3:18 pm