viernes, 15 de mayo de 2009

Transparencia informativa de los incidentes de seguridad

Durante estos días se celebran en Murcia unas jornadas vinculadas con las tecnologías de la información y la sociedad del conocimiento (SICARM). En concreto, por deformación profesional, soy fiel seguidor del foro que organiza el profesor Julián Valero denominado "Retos jurídicos de la protección de datos de carácter personal". Comentar también que todas las ponencias son grabadas en vídeo y por tanto, disfrutadas por cualquiera que ahora estéis interesados. Sólamente tenéis que pulsar sobre el icono que refleja una película para que arranque.

En la charla de las 12:30, Dña. Rosa J. Barceló, Asesora jurídica del Supervisor Europeo para la Protección de Datos ha comentado por donde van los tiros de las nuevas directivas que están en proceso de elaboración y de la posible revisión de la Directiva actual en materia de protección de datos.

Me ha llamado mucho la atención que es bastante posible que la futura regulación establezca la obligación de garantizar la transparencia informativa por parte de las Organizaciones respecto a los incidentes que estas sufran.

Es algo de sentido común que no es el común de los sentidos. Si un banco por ejemplo, tiene un incidente y sufre el robo de la base de datos de usuarios de banca electrónica, es de recibo que notifique a sus usuarios la necesidad de cambiar las credenciales de acceso para que la información filtrada deje de ser útil para acceder a las cuentas. Este tipo de regulación, que en algunos países como anglosajones ya se viene utilizando, tendría en España quizás un carácter más motivador que la actual filosofía de disuasión que pueden tener las sanciones de la Agencia Española de Protección de Datos.

¿Qué pasaría si un incidente de seguridad supusiera un daño en imagen para la organización?

Es difícil saberlo, pero en un país como el nuestro donde importa más el escaparate que la trastienda donde se fabrican los productos, seguro que el enfoque que la Dirección pudiera darle a la seguridad si estaría basado en el concepto de "inversión" y no tanto en el de "gasto". A partir de ese momento, la seguridad sería la inversión que hay que hacer para no tener un incidente y por tanto, no ver dañada la imagen. Además, la presión interna que mete a la Organización el miedo a tener un incidente, transformaría el enfoque actual de "cumplimentar los trámites burocráticos"( básicamente inscribir el fichero que es lo que todo el mundo hace) en garantizar que todo aquello que mitiga riesgos funciona para no tener un incidente de seguridad.

Cuando como consultor te ves en la fase de análisis de riesgos y las tomas de datos para valorar la información, la imagen corporativa siempre suele ser la escala elegida por el entrevistado para cuantificar los mayores impactos que un incidente puede tener. Por otro lado, los departamentos de imagen o marketing suelen gozar de unos presupuestos generosos dado que son los catalizadores de las ventas y los beneficios económicos. Por tanto, este tipo de medidas podrían lograr que el presupuesto de seguridad se ajustase a las necesidades de protección, dado que velarían por la protección de la imagen de la empresa.
Además de esta forma se entendería que seguridad="no incidentes", que es algo que por desgracia actualmente no ocurre. En nuestro día a día nos encontramos que seguridad="no multas", aunque "no multas"<> seguridad.

En relación a la seguridad de la información que busca la protección de datos de carácter personal, este enfoque orienta mejor la problemática, considerando la necesidad del cumplimiento a lograr no tener incidentes. Es bueno tener un documento de seguridad, pero si se queda en eso, un documento, el mecanismo no sirve para nada. Algo que extensamente ya he comentado en un artículo de la revista de la asociación murciana CTICRM y que podéis leer en "La protección de datos de carácter personal es un problema de gestión."
 
;