SIC

Ante la escasez de personal, convendría que se tomaran medidas gubernamentales, sobre todo en TIC, y más en seguridad, o corremos el riesgo de no disponer de recursos ni internos, ni externos y/o mediopensionistas (externalización, consultoría, asesoría, mantenimiento…).

JOSÉ DE LA PEÑA SÁNCHEZ Auditor Censor Jurado de Cuentas y Licenciado en Informática [email protected]
La entrada en vigor de las medidas de nivel medio va a suponer un cambio significativo-estructural, diríamos- y de gran calado en el tratamiento de los datos personales, a causa principalmente de las ampliaciones en el contenido de la versión básica del Documento de Seguridad, y a la obligación que impone a los responsables de ficheros, que habrán de nombrar a uno o varios responsables de seguridad, además de realizar auditorías al menos cada dos años. Desde luego, que España se encuentra en el meollo de la Sociedad de la Información -aunque solo fuera por el ya citado Reglamentono admite duda razonable, máxime si añadimos otros ingredientes a la actualidad: negocio electrónico interempresarial vía IP, B2C, firma electrónica basada en criptografía de clave pública, prestadores de servicios de certificación electrónica, servicios de comunicaciones de empresa «seguros»… Hay que reconocer que desde la afortunada resolución del tan temido Efecto 2000 el movimiento en lo relativo a las tecnologías y sistemas de información de uso en organizaciones se ha disparado (¿será esto el efecto 2000 real?), ¿o quizá sería mejor decir disparatado? HITOS PLANEADOS… Y LO QUE ALGUNA VEZ SERÁ Hay cosas del futuro que el porvenir esconde a los habitantes del presente; otras, sin embargo, las apalabramos en el presente para disfrutarlas más adelante y a fecha fija. Estas son algunas de ellas: Respecto a las medidas de seguridad reglamentarias (datos personales): – 26-06-2001: medidas de nivel alto – 26-06-2002: plazo límite para las auditorías del nivel medio – 26-06-2003: plazo límite para las auditorías del nivel alto, que admiten la posibilidad de unificación por acumulación, esto es, niveles medio y alto conjuntos.
Ante la escasez de personal, convendría que se tomaran medidas gubernamentales, sobre todo en TIC, y más en seguridad, o corremos el riesgo de no disponer de recursos ni internos, ni externos y/o mediopensionistas (externalización, consultoría, asesoría, mantenimiento…).
s Disponibilidad de la adaptación de los Sistemas de Información al Euro: – 01-01-2002: operativo en Pesetas/Euros – 01-07-2002: operativo en Euros. Antes o después de esas fechas habrán de zanjarse dos pactos fundamentales para bien del comercio internacional: el de «Puerto Seguro» con EE.UU. (de aceptarse en la UE la actual propuesta norteamericana, habría que recomendar la derogación de la Directiva marco de protección de datos. Lo dijo el Director de la Agencia española, Juan Manuel Fernández López, en Securmática 2000), y el de confidencialidad (uso del cifrado y su control efectivo y respetuoso con las distintas doctrinas y jurisprudencias de USA y de los países de la UE). En otros ámbitos, por ejemplo el de los servicios profesionales multidisciplinares, la cosa marcha tímidamente por andurriales más paralelos: el auditor a sus auditorías, el consultor a sus consultorías y el asesor a sus asesorías. Y en la firma electrónica y prestadores de servicios de certificación, aunque hay Directiva en Europa y legislación en España, no hemos sino empezado en el Viejo Continente el arduo camino hacia la confluencia, dispositivos de generación incluidos. También está aprobada la Directiva sobre Comercio Electrónico (sin publicar cuando un servidor ha escrito estas líneas), pieza esencial para disponer de unas reglas de juego comunes en el Mercado Único. RECURSOS HUMANOS O ACTIVOS INMATERIALES Trabajo, como se observa, no va a faltar. Lo que sí va a faltar es «mano de obra» cualificada (¡qué expresión tan alejada ya del sector servicios, verdad!), es decir, personal técnico y especialista -sobre todo en TIC, y más en seguridad-. En España, tiempo ha que la demanda de personal ha sobrepasado la oferta, lo que va a ser origen de efectos perversos en un futuro a corto plazo. Si a ello sumamos nuestro poco saludable estado de «mala esperanza» demográfica y el hecho de que no somos un destino atractivo para la inmigración selectiva (a nosotros nos empiezan a madrugar profesionales otros países de la UE y también USA), pues concluiremos que el futuro a medio y largo lo tenemos muy negro. Convendría aquí que se tomaran medidas gubernamentales, sobre todo en TIC, y más en seguridad, o corremos el riesgo de no disponer de recursos ni internos, ni externos y/o mediopensionistas (externalización, consultoría, asesoría, mantenimiento…). Cosa seria en momentos en los que la mayoría de profesionales de la empresa en general y de los servicios en particular aspiran legítimamente al generalato y pocos se ven de soldados rasos. Sucede, sin embargo, que una organización en la que todos son jefes, suele fenecer. Ante lo dicho, huelga decir que conviene planear el inventario de necesidades teniendo en cuenta criterios de ultraescasez, fomentar al máximo la reutilización y la formación, gestionar sabiamente la Base de Datos de Potencial Humano interna (o externa. ¡Atención a la LOPD!), y, hoy más que nunca, tener muy presente que en lo concerniente al capital intelectual de una entidad, hay dos aspectos diferentes que deben de ser considerados: el capital humano, que por definición no puede ser propiedad de la entidad (se recuerdan los términos fidelización y volatilidad), y el capital estructural, que puede y debería ser propiedad de la empresa (se recuerda la importancia de la I+D, la base actual del éxito de la industria de los países punteros). Utilizando la terminología contable actual de forma heterodoxa, podría decirse que la Nueva Economía está poniendo en crisis ciertos principios (generalmente aceptados), hoy vigentes, sobre todo en lo referente a algunos activos inmateriales, entre los que se encuentra entre otros el Goodwill (conocido en España como Fondo de Comercio). En consecuencia, lo que está sucediendo con las llamadas «empresas tecnológicas» que cotizan en el NASDAQ o equivalentes, evidencia la representatividad de los resultados que presentan los actuales instrumentos de medida, quizá obsoletos, quizá insuficientes. Viene al caso insistir una vez más en que el Sistema de Información (contenidos + infraestructura + recursos humanos) de toda entidad, se encuentra hogaño en el cambio de paradigma. Y con la necesidad de seguridad técnica y organizativa de la de verdad, aquella que atraviesa la geometría de la organización y la de sus proveedores y terceros en todos los ángulos imaginables. No obstante, hay que tener presente que en España no es la primera vez que se presenta una situación de cambio y crecimiento así de embrollada (salvando los detalles de la seguridad técnica en comunicaciones y del tratamiento automatizado y/o estructurado de datos personales, de los que un servidor no guarda memoria), y se ha sobrevivido. Es posible que lo que parece un problema pueda resultar una opotunidad de oro. ¡Quién lo supiera! Si tras esta disertación -sin duda motivada por el efecto de la sobreinformación galopante de quien esto escribe- volvemos al más acotado asunto de los datos de carácter personal, y en concreto a las medidas de seguridad de nivel medio, epígrafe relativo al responsable o responsables de seguridad, quizá merezca la pena traer a colación un viejo principio napoleónico: aquel que dice que «El responsable cumple y las comisiones demoran». Eso sí, posiblemente Napoleón, cuando nombrara a un responsable, lo apoderaba suficientemente, hasta el punto de poderle pedir responsabilidades si las cosas no salían bien. Como resumen de todo lo escrito, me vienen a la mente dos refranes: – «El que mal vive, el miedo le sigue» – «El miedo guarda la viña», Claro, que si lo denominamos Gestión de Riesgos queda más de Sociedad del Conocimiento, y mucho más si se dice Risk Management y Knowledge Society.
Documento en PDF

El diluvio que viene: un anticipo

El próximo 26 de junio deberán estar implantadas en las organizaciones concernidas las medidas de seguridad de nivel medio (salvo ampliación de fechas en forma de R.D.), que vendrán a sumarse a las de nivel básico, ya establecidas desde el pasado 26 de marzo en virtud del escueto y pelín tardío Real Decreto 195/2000, de 11 de febrero, conocido en los círculos profesionales del sector como «la moratoria».