Hay seguridad?

En el Reino Unido últimamente no levantan cabeza con esto de la fuga de datos. Si hace menos de quince días saltaba la noticia de la pérdida de dos discos con los datos de siete millones de familias, hoy mismo vuelve a ser noticia de portada la posibilidad de comprar los datos financieros de varios miles de británicos, conseguidos a través de supuestas violaciones de la seguridad bancaria.

Si somos capaces de abstraernos de todo el sensacionalismo que rodea este tipo de noticias, el análisis que podemos hacer del caso puede distar bastante del previsible en muchos medios de comunicación. ¿Está la seguridad de la información en tela de juicio en el Reino Unido? Alguien lo podría pensar, dada la magnitud de las noticias y su cercanía temporal. Sin embargo, no creo que sea el caso.

En el Reino Unido existe una cultura de seguridad de la información más arraigada que en nuestro país. No sólo sirve de muestra la cantidad de empresas con SGSIs certificados que hay en ese país (363 en el último recuento oficial), sino el hecho de que las principales instituciones del país sean las que encabezan esa lista. ¿Cuál es el problema, entonces? Sencillamente, ese: SÍ HAY cultura de la seguridad.

Todos sabemos que puede haber dos motivos por los que no se registren incidentes de seguridad: que no existan, o que no se reporten. La consecuencia es la misma, pero la causa es bien distinta en cada caso. Sólo depende de la cultura de la organización (o del país, en términos más amplios). Sólo pueden salir a la luz pública los incidentes de seguridad reportados, los que nadie conoce difícilmente aparecerán en los medios. ¿Qué supone estas apariciones? Precisamente, que existe una buena gestión de la seguridad.

Sólo si hay una buena cultura de seguridad te "atreves" a hacer público un incidente de seguridad. Sólo si hay una buena gestión de la seguridad te "atreves" a comunicar a los medios dicho incidente, porque sabes que a partir de ese momento todos tus pasos van a ser estudiados con lupa, con el fin de poder aprovechar cualquier desliz de gestión. Por tanto, comunicar públicamente un incidente de seguridad supone que tienes que tener muy claros los procedimientos de asunción de responsabilidades y depuración de los hechos, demostrar que cada uno asume su parte de culpa y trata de resolver lo sucedido. ¿Cuántas organizaciones son capaces de hacer eso a la luz pública? Me temo que no tantas como deberían...

Por lo tanto, no creo que estas noticias deban ser signo de preocupación, al menos por el momento. Creo que el Reino Unido sigue manteniendo un buen nivel de seguridad. ¿O alguien cree que sólo se producen fugas de datos en ese país? Lamentablemente, la compra-venta de datos bancarios y personales está a la orden del día para cualquier país del mundo, y nosotros no somos una excepción. Ahora bien, a partir de esa realidad, la forma de encararlo puede variar mucho. ¿Cuántos lo ocultan? ¿Cuántos lo comunican? ¿Cuántos lo difunden? Y si fueras tú quien detectaras el incidente de seguridad, qué harías?