EL SÍNDROME DEL CUMPLIMIENTO |
|
Aunque a estas alturas a algunos se le siguen atragantando términos como la LOPD, sientan en el cogote el aliento del próximo Reglamento de Datos Personales o vean en lontananza a la SOX, Basilea, o la ISO/IEC 27001, a la gran mayoría de los profesionales de la seguridad de la información estos ‘palabros’, tan inevitablemente próximos, sí le son familiares, asumen lo que significan y ponen su empeño en superar con éxito en sus organizaciones el reto de ellos derivado. Está pues el colectivo embarcado hoy en diversos empeños encaminados a cumplir una serie de requisitorias. Y, por tanto, se le pide y se le exige resultados como al que más. |
LUIS G. FERNÁNDEZ Editor lfernandez@codasic.com |
Hasta la industria de seguridad parece estar constatando que ha de sintonizar mejor con esta necesidad, proporcionándole herramientas tecnológicas más afinadas para ayudarle a llevar a buen puerto su objetivo, que no es otro que gobernar su SGSI disponiendo de información relevante y útil.
Movimientos como los recientes de BMC Software al comercializar soluciones de ayuda al cumplimiento normativo, o de Symantec –con la adquisición de BindView, para dotar de más altas miras a sus recopiladores-recolectores-correladores de información–, indican la llegada de una nueva generación de herramientas más acordes con las necesidades reales del responsable de seguridad. Otra prueba de cómo se mueve este escenario de exigencia creciente es la puesta en marcha en EEUU, cómo si no, del Security Compliance Council, una iniciativa auspiciada por los institutos de Seguridad Informática (CSI) y de Auditores Internos (ICA), cuyo propósito es confeccionar directrices e indicadores de medidas de rendimiento rigurosas y de valor, orientadas a la conformidad, a partir de los ‘inputs’ generados por las múltiples presiones reguladoras imperantes en todo el mundo, de aplicación en las corporaciones. Entre sus primeras investigaciones figura una de gran interés: la denominada “Agenda de cumplimiento en Seguridad del CSO”, que arroja luz sobre qué se les va a pedir a estos profesionales. El estudio, en plena fase de recopilación, recaba informaciones del tipo: ¿Cuánto tiempo ha estado implicada la compañía y cuántos recursos ha consumido en llevar a efecto el cumplimiento de sus prácticas y controles de seguridad? ¿Qué acciones ha emprendido para recopilarlas? ¿Cuáles son los indicadores clave, se hayan demostrado viables o no? ¿Cada cuánto se miden? ¿Las susceptibles de mayor automatización? Ahí es nada. |
|