28 febrero 2012

Incumpliendo el ENS

Una pregunta recurrente, que yo mismo he lanzado al aire en varias ocasiones, es la de¿Qué consecuencias tiene incumplir el ENS?

Como casi todo en este mundo, el incumplimiento legal es un riesgo gestionable, y habrá quien decida asumirlo (aunque sea políticamente incorrecto decirlo, es la realidad). No obstante, antes de tomar esa decisión habría que tener claras las consecuencias derivadas de dicho incumplimiento, su coste. Y aquí es donde empieza el juego.

Por lo que he podido constatar, las responsabilidades derivadas de los incumplimientos legales se enmarcan en el concepto de responsabilidad patrimonial de las administraciones públicas. Básicamente, esto quiere decir que, si con el incumplimiento del ENS (o de cualquier otra ley) se provoca algún tipo de daño objetivo (u objetivable) que pueda ser cuantificable económicamente, la Administración Pública deberá asumir las consecuencias. Dicho de otra forma, si alguna persona (física o jurídica) sufre algún inconveniente objetivo por que las medidas de seguridad definidas por el ENS no estén aplicadas, y dicho inconveniente puede ser cuantificable económicamente, es probable que la Administración Pública sea denunciada por ello, y posiblemente acabe teniendo que pagar la correspondiente sanción por daños y perjuicios.

Este concepto no es nuevo. Seguro que todo el mundo conoce casos en los que un vecino denuncia a su ayuntamiento por un esguince provocado por una baldosa rota. Pues bien, ese mismo concepto es el que aplica en este caso. Es cierto que en este sector la cuantificación del daño producido no es tan sencilla, puesto que los precedentes son escasos y las posibilidades enormemente amplias, pero... ¿Resultaría difícil a un abogado cuantificar los daños por una supuesta usurpación de identidad en un trámite administrativo en el que no se hayan implementado los sistemas de autenticación apropiados? ¿O estimar las pérdidas económicas sufridas por una empresa cuya imagen se ha visto dañada porque desde una administración pública han publicado el estado de sus cuentas? ¿O incluso porque el nombre de esa empresa ha aparecido de forma incorrecta en un listado oficial de empresas con ERE?

Lo mismo que decimos del ENS se podría decir del ENI o incluso de la LACSP. ¿Qué perjuicios se puede provocar por no aceptar en un procedimiento administrativo un determinado formato de documento, con la consiguiente denegación de dicho procedimiento? ¿Cómo de complicado sería demostrar daños si se desea acceder a través de Internet a un servicio que todavía no ha sido puesto a disposición de los ciudadanos de forma electrónica, cuya consecuencia sea la imposibilidad de hacer uso del mismo?

En definitiva, creo que aún es pronto para ser capaces de cuantificar los costes que se podrían derivar de un incumplimiento del ENS por parte de una Administración Pública, pero tengo la sensación de que dichos costes no van a ser en absoluto despreciables. ¿Son conscientes los responsables de gestionar ese riesgo de cuáles son las consecuencias de hacerlo? ¿Puede ser esta vía un método válido para concienciar a los responsables públicos en torno a la seguridad? Espero vuestros comentarios...

27 febrero 2012

Conclusiones del CNIS 2012

Siento decir que este año el CNIS 2012 me ha decepcionado bastante. Lo mínimo que esperaba de un congreso denominado "de interoperabilidad y seguridad" era que se hablara de eso, de interoperabilidad y de seguridad. Sin embargo, es como si la temática se hubiera quedado corta, escasa de propuestas, y la organización hubiera tenido que abrir el abanico de temas a tratar para poder completar el evento. Sólo así me explico que la mayor parte de las ponencias versaran sobre administración electrónica en su más amplio especto, y que en muchos casos los términos interoperabilidad o seguridad apareciesen (si es que aparecían) de manera forzada o anecdótica.

Puedo entender que la crisis ha hecho mucho daño, y que la mayor parte de las administraciones públicas prácticamente no han avanzado nada en términos prácticos desde la pasada edición, pero creo que un año es tiempo suficiente como para poder profundizar en los debates, afinar en los comentarios o abordar la temática desde nuevas posiciones. Sin embargo, la mayor parte del congreso tan sólo fue más de lo mismo, y casi nada nuevo. Centrándonos en el ENS, los pocos proyectos reales que se presentaron (lo cual, visto lo visto, ya es de destacar), lamentablemente, no ofrecieron demasiados detalles sobre los trabajos realizados. Da la sensación de que para ver casos de adecuación (real y completa) al ENS tendremos que esperar al límite del plazo... como poco. En resumen, mucha teoría y poca práctica.

No obstante, no todo fue negativo en el CNIS. También hubo ponencias interesantes, aunque me gustaría destacar la última del congreso, titulada "TENGO UNA PREGUNTA PARA USTED: Marco y modelo jurídico en el que nos movemos", que me pareció buenísima. En ella, dos abogados especialistas en legislación tecnológica, tras una breve revisión del estado del arte en la materia, se dedicaron a responder las dudas del público, hablando claro y mojándose a la hora de dar respuestas, concretas y con justificación. Un formato sencillo, participativo y con más contenido real en una sola ponencia que en prácticamente el resto del congreso. Sin duda (y creo no ser el único que lo piensa), la mejor del congreso.

21 febrero 2012

CNIS 2012

Mañana comienza la segunda edición del Congreso Nacional de Interoperabilidad y Seguridad. A lo largo de dos jornadas, varias administraciones públicas y algunos representantes de las organizaciones patrocinadoras expondrán el estado del arte en torno a los esquemas nacionales de interoperabilidad y seguridad, y nos contarán los avances que se han producido desde la pasada edición, en unos tiempos en los que probablemente los recortes presupuestarios hayan supuesto la nota dominante. ¿Cuáles serán las administraciones públicas que "saquen pecho" públicamente? ¿Quiénes serán los más críticos? Y mi principal interés: ¿Cuánta teoría y cuánta práctica veremos? En menos de 24 horas seguro que tenemos ya alguna respuesta... Nos vemos allí!

14 febrero 2012

Seguridad y regimen interno

Supongo que todos los lectores del blog habrán leido (y puede que incluso redactado) más de una Política de Seguridad. En definitiva, no es más que un documento en el que se recogen cuáles son los criterios y directrices de una organización en materia de seguridad. Uno de los ejemplos probablemente más conocidos, para todo aquél que quiera una referencia específica, es el modelo de Política de Seguridad de la Información para la Administración Pública argentina. No obstante, muchas organizaciones suelen optar por planteamientos algo más reducidos y específicos, más enfocados a sus necesidades... y algunas veces, demasiado enfocados. Me explico.

No son ni uno ni dos los casos en los que me he encontrado con políticas y/o normativas de seguridad que prohiben la navegación por sitios de contenido "inapropiado" (lease pornográfico, por ejemplo). Y me pregunto: ¿qué tiene que ver la seguridad con la pornografía? ¿Acaso la visualización de un vídeo o una imagen de contenido pornográfico va a provocar un incidente de seguridad que no se hubiera producido si el contenido de esa imagen o vídeo hubiera sido diferente? Algunos argumentarán que las páginas de contenido pornográfico se utilizan para alojar malware, pero la realidad es que ya hace bastante tiempo que el malware se distribuye de igual forma por páginas de contenido pornográfico que por webs de cualquier otra temática. 

Lo que quiero resaltar con este ejemplo, que me parece el más evidente (aunque igualmente podríamos hablar de webs de juegos online, diarios deportivos o cualquier otro tipo de contenido), es que a veces caemos en el error de mezclar la seguridad de la información con los reglamentos de régimen interno, las directrices sobre seguridad de la información con otras únicamente relacionadas con la productividad o la imagen de marca. Es cierto que en muchos casos ambos mundos se regulan mediante el establecimiento de normas de conducta, pero puede llegar a ser un peligro para la profesión que se utilice la seguridad como excusa para meterse en temas mucho más delicados y, sobre todo, conflictivos.

Con esto no quiero decir que ambos mundos sean totalmente independientes. El uso de redes sociales en el puesto de trabajo, por poner un ejemplo, puede tener tanto implicaciones en términos de seguridad de la información como en términos de productividad, y a la hora de regular la conducta en dichos ámbitos no tiene mucho sentido práctico que existan duplicidades documentales. No obstante, creo que es importante que, más allá de la materialización práctica de las directrices, toda la organización sea consciente de qué ámbitos son responsabilidad de la función de seguridad y cuáles lo son del departamento de recursos humanos, con el fin de que ni haya malentendidos entre el personal ni se acaben produciendo conflictos internos entre las diferentes áreas. Como dice la sabiduría popular, "zapatero, a tus zapatos". Por algo será, no?