Regular la seguridad

Hola,

Traigo hoy a la portada un tema que suele levantar polvareda, sobre todo cuando las comunidades técnica y no técnica de la seguridad opinan al respecto: certificaciones y regulación. Lo hago al hilo de una propuesta de Michael Chertoff, antiguo secretario de Homeland Security en la administración Bush.

La idea de Chertoff es básicamente hacer algo parecido a lo que hoy en día se hace con SoX: ponerle nombre y apellidos a los directivos que serán responsables de certificar qué han hecho para fortalecer la seguridad de su información. ¿Es esta una solución al problema? Posiblemente no por sí misma, aunque hay que reconocer que con todo lo malo que tiene SoX, ya que es costosa y algo anacrónica en cuanto a tecnología, algo se ha mejorado en lo que a su propósito inicial se refiere. No olvidemos que SoX no es una regulación de seguridad, sino financiera, aunque lógicamente tenga algunos controles tecnológicos como cualquier otro proceso empresarial moderno hoy en día. Aunque SoX sea vista sólo como un sumidero de euros por muchas organizaciones, al menos fija responsabilidades para quien estampe la firma en la información financiera de una organización, lo que debería estimular la necesidad de que esta información sea veraz y transparente si no queremos que el responsable acabe entre rejas.

Mi experiencia con los reguladores ha sido siempre sol y sombra. Los hay auténticamente enfocados y prácticos, solicitando con gran acierto medidas que sin duda refuerzan la seguridad de la información, y los hay absolutamente desorientados y desenfocados, exigiendo el cumplimiento de condiciones que llevan años sin ser revisadas, y que sólo sirven para acumular papel en lo alto de las mesas. Con los auditores, tres cuartos de lo mismo: desde profesionales incisivos que van al grano, aportando valor con soluciones constructivas y conociendo los entresijos tecnológicos, hasta despistados encorbatados que no saben vivir separados de su checklist y que nunca han tenido ni tendrán el suficiente fondo para comprender cómo se construye la seguridad en un entorno tecnológico complejo.

Respecto a las regulaciones, suelo mantener una postura intermedia. Es lógico y evidente que las empresas por sí mismas rara vez miran por la seguridad a no ser que les des con el palo, con lo que la regulación puede, al menos, obligar a quien no mira por la seguridad a que haga algo. Desgraciadamente cumplir con determinadas regulaciones y pasar la auditoría de turno está muy lejos de ser lo que yo entiendo por gestionar la seguridad, pero menos da una piedra.

Algunos casos que os puedo contar, por poner dos ejemplos simples, son el de la FFIEC norteamericana, con su guía relacionada con la autenticación en banca electrónica (esa que sigue sin reflejar la importancia de autenticar transacciones, y no a personas) o las archifamosas condiciones de PCI-DSS, que entre otras muchas cosas solicitan la utilización de autenticación segura insistiendo en que la aplicación de pagos no corra con usuario administrador, como si eso solucionara todos los problemas. En ambos casos el cumplimiento no supone ni de lejos tener seguridad en los procesos de banca electrónica y medios de pago telemáticos, respectivamente, pero siempre es mejor tener algo que no tener nada.

Creo que regular la seguridad no será, ni de lejos, la solución a nuestros problemas. Pero viendo el turbio camino que va tomando esto, donde la tecnología avanza imparable y viendo que las organizaciones rara vez están a la altura de la exigencias en lo que a seguridad se refiere, quizás vaya siendo hora de que pongan el nombre del CISO o del CIO en un papelito oficial tal y como se hace con la SoX, responsabilizándolo en última instancia de la seguridad de la organización para la que trabaja. ¿No es ese acaso uno de sus cometidos? Quizás así más de uno se pondría las pilas, que buena falta nos hace.

Un saludo,

¿El final de Sarbanes-Oxley?

Buenas,

Hace un par de días me pasó un amigo un enlace que tiene que ver con el cumplimiento regulatorio, y más concretamente, con Sarbanes-Oxley (SOX). El artículo en cuestión se llama An End to Sarbanes-Oxley, y aunque sea un poco exagerado en su título (como lo es igualmente el título de este artículo) contiene información relevante para todos aquellos que de un modo u otro están involucrados en el mundo SOX.

El origen de la disputa está en la propia puesta en marcha de la regulación en 2002, mediante la creación de la Public Company Accounting Oversight Board (PCAOB) como órgano de supervisión, entre otras cosas, de las medidas propuestas para la gestión contable y la auditoría financiera en evitación de adulteración de los estados financieros. Antes de los escándalos de ENRON y similares, que motivaron la (en mi juicio) sobrerreacción regulatoria materializada con SOX, la industria estaba autoregulada, experimento que como resulta obvio comprobar, fracasó estrepitosamente. SOX se creó con la intención de ponerle collar a un perro que había estado años campando a sus anchas.

Este próximo lunes 7 de diciembre, nueve jueces de la corte suprema de los Estados Unidos escucharán las argumentaciones de la The Free Enterprise Fund y la firma de contabilidad Beckstead and Watts que sostienen que los miembros de la PCAOB son elegidos por la SEC (U.S. Securities and Exchange Commission), que es independiente de la Casa Blanca. Los peticionarios sostienen que la SEC no puede eliminar miembros del PCAOB salvo causas muy delimitadas, lo que prácticamente los aisla de la influencia de la SEC y por extensión, del gobierno de la Casa Blanca. Los peticionarios sostienen que los garantes constitucionales norteamericanos se ven claramente afectados en materia de separación de poderes, ya que el Congreso tiene tanto control sobre la PCAOB, si no más, que la propia Casa Blanca, ya que en Estados Unidos tanto la SEC como la PCAOB están ambas sujetas a la supervisión del Congreso.

A modo de resumen se va discutir, ni más ni menos, si en la jurisdicción norteamericana SOX es anticonstitucional o no. Es probablemente el caso más importante dentro en el ámbito de la separación de poderes, y puede suponer un giro de 360 180 grados en la manera de afrontar el cumplimiento regulatorio en un futuro, al menos en los Estados Unidos, y probablemente, en el resto del mundo, ya que son muchas las empresas que por operar en suelo americano tienen que cumplir con su legislación.

SOX es, ante todo, un problema para las empresas. No deja de ser una imposición forzosa que ha obligado a los que han operado y operan respetando la legalidad a incurrir en costes y obligaciones adicionales, provocados por la avaricia, la falsedad y la temeridad de sólo unos pocos. En muchos casos, SOX es una barrera de entrada de importantes dimensiones para la creación de empleo y actividad económica. Durante estos años la bonanza ha permitido que los costes SOX hayan sido religiosamente soportados por las empresas sujetas a la norma, pero evidentemente, una vez terminada la bonanza, las empresas se han puesto a buscar reducciones de costes hasta debajo de las piedras, y SOX no iba a ser una excepción.

No dudo que SOX se creó con la mejor de las intenciones para evitar escándalos financieros y para poder regular una actividad que al estar autoregulada, sucumbió a los encantos de la manipulación, provocando pérdidas y daños en extremo cuantiosos. Tampoco me cabe la menor duda de que cumplir con SOX no es la panacea, y sigue sin impedir otro tipo de escándalos que también guardan relación con la veracidad de los estados financieros, y si no remítanse a Madoff y los asuntos similares que nos pueden quedar aún por descubrir. Tampoco creo que este litigio acabe con SOX, ya que lo más probable, en caso de que prospere, es que provoque cambios en una dimensión que no debe afectar al desarrollo de la norma y cómo se está aplicando. Aún así creo que es beneficioso que de vez en cuando se plante cara a lo que se considera injusto o contraproducente en vez de agachar la cabeza y entonar el si, bwuana. En este sentido, debo felicitar a los impulsores de la moción.

Tenéis artículos extensos para documentaros al respecto en Fox News, Bloomberg y el Wall Street Journal. La prensa española, como es de costumbre, ni mú. En el país del ladrillo, el sol y el flamenco tenemos cosas más serias de las que ocuparnos, faltaría más.

Un saludo, y buen fin de semana.