El largo camino hacia las normas internacionales
Hay, fundamentalmente, cuatro necesidades de contexto: primera, disponer de normas cualitativas de seguridad de la información; segunda, disponer de normas técnicas que garanticen la seguridad y la interoperabilidad de los productos; tercera: que con las dos anteriores se puedan cumplir las legislaciones, y cuarta, tiempo. No hay que engañarse, las cosas llevan su tiempo. Vayamos por partes, y entendamos la idea en el conglomerado –a veces amorfo– formado por EE.UU/Canadá, Australia/Nueva Zelanda y la UE, aunque ello parezca muy restrictivo.
Normas cualitativas
Hay buenas noticias, ya que al parecer ISO, estaría adoptando el estándar británico BS 7799 como ISO 107799. Básicamente esto significa que se podrían implantar sistemas de alto nivel en la materia, y que, quizá, con el paso del tiempo y la experiencia, pueda alguna vez ‘certificarse’ la implantación de la norma con el alcance y las limitaciones pertinentes en una suerte de proceso continuado para, en última instancia, ir gestionando el riesgo ayudados por esas herramientas indispensables que son el control y las auditorías y/o revisiones.
Normas técnicas
Aquí la cosa está más negra, porque la onda de las necesidades de las organizaciones para apoyar en las TIC su negocio está algo desfasada –en términos generales– con la onda de las presiones que sufren los fabricantes y desarrolladores (time-to-market), deseosos legítimamente de comerse el mercado y elevar sus productos y enfoques tecnológicos a la categoría de estándares, con lo cual se tienen un montón de estándares de facto para cada cosa (algunos más de facto que otros, claro está). Este panorama afecta de forma irremisible a la interoperabilidad, gran caballo de batalla.
Ya lo resumió de modo contundente en la pasada edición de SIC (septiembre) el Responsable del Departamento de Seguridad de uno-e.com, Santiago Moral Rubio: «Aunque los fabricantes y los organismos de estandarización están trabajando en esta línea (la estandarización y la interoperabilidad), la situación actual provoca la existencia de distintos mecanismos de seguridad que, o bien no pueden integrarse entre sí, o bien hacen muy compleja las tareas de integración e implantación. Al mismo tiempo, los procesos de toma de decisión, en el momento de incorporar mecanismos de seguridad a nuestras arquitecturas, se complican al contar con funcionalidades aparentemente diferentes en productos de distintos fabricantes que deberían tener un comportamiento homólogo». Siempre queda la esperanza.
En lo que compete específicamente a la seguridad de los productos de TIC, existen los Criterios Comunes (ISO 14408). Algunos países tienen estructuras de evaluación y certificación de la seguridad a efectos, digamos, civiles. En España, aunque estamos adheridos al Acuerdo de Reconocimiento Mutuo de Certificados, no tenemos esquema publicado, algo de todo punto impresentable en estas fechas para un Estado que quiere situarse en el grupo de cabeza de los de la UE. En seguridad, señores, también hay diferencias, para desgracia de la incipiente industria española dedicada al desarrollo de productos tecnológicos de seguridad, en general malhadada y huérfana de comprensión, apoyo e igualdad de oportunidades.
Leyes
Tercer asunto en juego. Hoy existe legislación sobre firma electrónica y prestadores de servicios de certificación electrónica, y sobre ‘privacidad’, lo que ha polarizado el debate de la seguridad de la información (aspectos penales aparte). En lo referente a las primeras hay un entendimiento razonable con EE.UU., justo lo que no pasa con la segunda, la ‘privacidad’. La idea continental de las garantías, de los derechos..., se lleva de patadas con la concepción anglosajona de los sistemas de control privados y los códigos éticos. Ejemplos de ello son los «Principios de Puerto Seguro», rechazados por el Grupo del Artículo 29 de la Directiva y por el Parlamento Europeo, aunque la Comisión haya dictado una Decisión que podría permitir las transferencias de datos personales a EE.UU., país sin legislación federal en la materia y sin órgano de control.
Sin embargo, aquí, en España, tenemos legislación sobre firma-e –eso sí, insuficientemente desarrollada y, en principio, sometida a un futuro cambio formal–, LOPD y Reglamento de Medidas de Seguridad, y las políticas de ‘privacidad’ de las organizaciones tienen que cumplir escrupulosamente las normas y lo que se pudiera indicar en posibles Instrucciones futuras de la Agencia de Protección de Datos. Y eso es, en síntesis, lo que hay al cierre de este número.
Tiempo
El cuarto asunto. Dicen que lo arregla todo. O lo estropea, según se mire. Por cierto, y ya que se habla de tiempo, quizá merezca la pena recordar que esta edición de SIC es la última del año postrero del siglo XX, segundo milenio. La próxima verá la luz, según lo previsto, en el primer año del siglo XXI, tercer milenio. Todo un acontecimiento. Feliz salida y entrada.
