Security Theater

23 de agosto de 2007 Por

No sé si conocen el concepto de “Security Theater”, y permítanme que no traduzca la expresión. La idea, acuñada por Bruce Schneier, viene a representar la presencia de medidas de seguridad que aportan poca o nula protección, pero por contra son publicitadas ostensiblemente dando una falsa sensación de seguridad. De ahí la combinación de “seguridad” con “teatro”. Por ejemplo, hace unos días Bruce Schneier puso en su blog un caso que estoy seguro de que se repite en otros lugares: nadie vigila las 178 cámaras de seguridad de San Francisco, y en varios casos en los que diversos crímenes se realizaron frente a ellas, estaban incorrectamente orientadas. Por si esto no fuese suficiente, al parecer la visión “nocturna” es de ínfima calidad, lo que resta validez a las grabaciones. Por supuesto, como todo, este concepto tiene un efecto positivo, y uno negativo.

Empecemos por el segundo. En el caso mencionado, el ciudadano mira, y más allá de consideraciones de privacidad, ve las cámaras que le observan y en cierto modo, se siente seguro, protegido. Sin embargo, su sensación es simplemente una ilusión. Y eso le puede llevar a realizar acciones y correr riesgos que de otro modo no correría; no cambiarse de acera al cruzarse con alguien “sospechoso”, por ejemplo. Otro efecto negativo de estas instalaciones, sobre todo a partir del 11S, es la limitación de la libertad de las personas, sobre todo al otro lado del charco; con toda probabilidad muchas de las medidas de seguridad que se aplican en los aeropuertos contra ataques terroristas son inútiles, a causa de la complejidad y tamaño de éste, pero sirven como excusa para coartar la libertar y privacidad de las personas, y generar una falsa sensación de miedo en la persona; que esta consecuencia sea intencionada o un producto de la incompetencia administrativa es algo que no voy a entrar a considerar.

Como aspectos positivos, los security theaters tienen la facultad de actuar, siempre que el criminal no conozca la realidad de las medidas de seguridad, como algo parecido a los espantapájaros: al generar esta falsa sensación de seguridad, impiden que los criminales se sientan seguros para llevar a cabo sus planes. Siguiendo con el ejemplo anterior, la presencia de una cámara de vigilancia puede disuadir al delincuente de atracar a alguien. Otro ejemplo, más allá de la seguridad personal, son los sistemas antirrobo que hay a las puertas de muchas tiendas pequeñas; la mayoría hemos visto alguna vez el sistema de alarma sonando mientras alguien sale de la tienda, pero la mayor parte de las veces, no sucede nada. No hay guardas de seguridad, ningún dependiente sale a mirar, nada; la persona se gira, hace una mueca extraña de sorpresa o sonrojo, y sigue su camino sin que nadie le diga nada o le detenga. A pesar de ello, pueden apostar a que mucha gente que se siente tentada a realizar pequeños hurtos abandona la idea a causa de estos sistemas.

En la misma línea, hoy leía en El Economista que el Departamento de Homeland Security (DHS) de los EEUU está desarrollando un nuevo sistema de seguridad a implantar en los aeropuertos, que se basa en estudiar a distancia todos los indicadores corporales de una persona para conseguir “adivinar” si tiene intención de atentar o no; había leído antes sobre esto, pero no recuerdo donde. Hace poco, un niño de siete años y su familia pasaron un mal trago por la simple cuestión de llamarse éste igual que un paquistaní deportado (Javail Iqbal) por los EEUU [elmundo.es]. Y el mes pasado, salió a la luz que el aeropuerto de Phoenix pasaba 4,5 horas totalmente desatendido en materia de seguridad (ver también el comentario de Bruce Schneier, que entra además en otras consideraciones). Así que pienso que hay cuestiones más importantes a considerar —y solucionar— que este tipo de tecnologías invasivas y casi de ciencia ficción.

Aunque por supuesto, en un cierto sentido paranoico, una cuestión adicional a considerar en algunos de estos security theaters que les comentaba es quién y porqué, o en otras palabras, el coste y empresa encargada de la tecnología, y la razón política o económica detrás de ella.

LOPD Google Hacking

1 de agosto de 2007 Por

He hablado más de una vez a favor de la LOPD, incluso, como el otro día, cuando se trata de defender las nada despreciables multas que su incumplimiento conlleva. Considero que, más allá de consideraciones profesionales, la LOPD es una ley necesaria y aunque por supuesto susceptible de ser mejorada, bastante correcta.

Lo que me parece indignante es que una simple búsqueda en Google proporcione listados de admitidos a concursos públicos de todo tipo de organismos (públicos), y no sólo nombres, apellidos y DNI, sino además, la correspondiente información de admitidos en el cupo de discapacitados, que como saben es un dato especialmente protegido, porque además en las bases se suele indicar el porcentaje mínimo de minusvalía que se requiere para entrar en éste. Entiendo que esta información debe estar disponible para que los interesados comprueben sus calificaciones, si han sido admitidos o no, y el porqué no en este último caso. Entiendo que por una simple cuestión de transparencia, estos listados deben estar accesibles a todos los afectados.

Pero en mi humilde opinión, y al margen de que exista alguna instrucción emitida por la AEPD al respecto, cuando a cualquier pequeña empresa se le exige en ocasiones la aplicación de medidas casi imposibles para poder cumplir con los requisitos de la LOPD y (sobre todo) el RMS, y “habida cuenta del estado de la tecnología” y los recursos casi ilimitados de que dispone la administración, que se produzcan este tipo de actuaciones en el sector público resulta casi burlesco.

(Pueden ustedes buscar con una combinación de las palabras clave “listado”, “admitidos” y “discapacidad” si tienen curiosidad…)

¿Proporcionalidad o desproporcionalidad?

26 de julio de 2007 Por

Imagino que conocen ustedes la LOPD y las sanciones que conlleva su incumplimiento: de 600 a 600.000 euros o más, dependiendo de la severidad y el número de incumplimientos, ya que las sanciones son acumulativas; no es lo mismo tener una página web con los nombres y apellidos de tus empleados, que otra que incluya además información de discapacidad o afiliación sindical con todo lujo de detalles (el ejemplo es inventado). No se preocupen, no vengo a meterle miedo a nadie ni pretendo ser agorero. Vengo a hablar de la proporcionalidad o desproporcionalidad de tales sanciones, algo sobre lo que probablemente ya tengan ustedes formada una opinión.

Uno de los colaboradores habituales de S2 Grupo comenta en ocasiones, en relación con este tema, que mientras la muerte de un trabajador en accidente laboral puede “arreglarse” económicamente con cerca de 120.000 euros, por muy duro y frívolo que eso suene, un incumplimiento severo de la LOPD —o de su acompañante, el RMS— puede conllevar una sanción de varias veces esa cantidad, algo que en apariencia al menos carece de sentido. Personalmente, considero la comparación bastante apropiada, ya que por muy flagrante y grave que sea la exposición de tales datos (sin tener en cuenta que incluso en empresas relativamente concienciadas, no es muy difícil tener alguna no conformidad grave), la muerte de una persona la supera con creces.

No obstante, pienso que esta aparente desproporcionalidad en las sanciones contempladas por la LOPD viene motivada no tanto por las consecuencias que se generan de los incumplimientos detectados, sino de la necesidad de concienciar —casi por la fuerza— a las empresas de llevar a cabo una adecuada gestión de los datos de carácter personal. En otras palabras, una multa de 20.000 euros sería asumible por muchas empresas, mientras que una de 300.000 no lo es; se trata de que el riesgo, tomado como la probabilidad de que suceda un determinado evento en relación con el impacto que éste tiene sobre la organización, sea de una magnitud suficiente como para que deba ser tenido en cuenta. Y la manera más sencilla —y única de momento— de hacer esto es incrementar el impacto, puesto que la probabilidad de la que les hablaba viene de momento limitada por la carga de trabajo de la AEPD. No es un secreto, y si lo es, es un secreto a voces, que la Agencia se encuentra totalmente saturada de trabajo y sus intervenciones están motivadas principal, aunque no únicamente, por denuncias de particulares, más que por actuaciones de oficio.

Dejando al margen consideraciones presupuestarias en las que no voy a entrar y que conllevan a su vez otras relativas a la escasez de personal, pienso que es necesario tener en cuenta que a pesar de la importancia de las sanciones, es de suponer que la AEPD conoce el estado actual de la adaptación a la LOPD en las empresas de este país, y las consecuencias que inspecciones masivas podrían tener en el tejido empresarial. Miguel me apunta además que debe tomarse en cuenta como un factor adicional y de importancia que mientras con la muerte de un trabajador una empresa no obtiene ningún beneficio —o eso es de esperar—, con el trasiego de datos de carácter personal muchas empresas hacen el agosto, y no me refiero únicamente a un beneficio directo (léase venta de bases de datos) sino también indirecto (léase realización de campañas comerciales dirigidas). Esto es, sin duda, un punto a favor de la diferencia en el volumen de las multas que aplica la LOPD en relación con otras leyes.

Visto en perspectiva, y a la vista de lo que iba comentando, es cierto que el riesgo de recibir una multa desproporcionada es relativamente bajo para cualquier empresa que tenga un mínimo cuidado y atención a la Ley y a lo que hace (las cláusulas ARCO donde toca y gestionadas como toca, ficheros declarados, Documento de Seguridad, copias de seguridad, etc). Adoptando un planteamiento futurista, me pregunto qué sucedería dentro de unos años si la Agencia, provista de un cuerpo suficiente de inspectores, fuese capaz de abordar inspecciones sectoriales en masa; ¿no creen que esa combinación de impacto y probabilidad generaría, entonces sí, un riesgo totalmente desproporcionado en relación con la violación de otras leyes tanto o más importantes?

Hola, buenos días y bienvenidos

20 de julio de 2007 Por

Hace unas cuantas semanas, a raíz del documental de Michael Moore contra el sistema sanitario norteamericano, alguien en Google descubrió que tener un blog en el que representas a tu empresa implica que no siempre puedes decir lo que quieres, y menos si tu blog lleva por descripción “News and Notes from Google’s Health Advertising Team“. En este caso en concreto, Lauren Turner tuvo incluso que dar marcha atrás y matizar sus palabras, aunque a la vista del revuelo que se levantó no parece que las palabras que escogió para hacerlo fuesen las mejores. También es cierto que no deja de ser sospechoso que en un blog que es a todas luces corporativo aparezca algo que parece ser una opinión personal, así que personalmente me inclino más por un globo sonda de Google y una rectificación simulada que por un error real; es decir, una forma de publicitar sus poco populares prácticas sin que tal anuncio parezca venir oficialmente de Google. Recordemos que no estamos hablando del blog de Lauren Turner que casualmente trabaja en Google, sino más bien al contrario: el blog del equipo de Google encargado de publicidad relacionada con cuestiones de salud, en el que casualmente escribe Lauren Turner.

Bien, a estas alturas probablemente estén ustedes desconcertados. Lo anterior puede resultar muy interesante o no, y aunque Google es una mina en asuntos de privacidad con tal de rascar un poco la superficie, lo anterior no viene a tener nada que ver con la seguridad, o al menos no desde ningún punto de vista que yo reconozca. A pesar de ello, me pareció una manera interesante de empezar la entrada con la que presentar esta bitácora, porque si nos hubiesen seguido ustedes desde el principio, se habrían dado cuenta de que no hubo presentación oficial ni inaguración; únicamente una frase en aquella primera entrada que la posponía.

Así pues, he pensado que antes de que se vayan ustedes de vacaciones, no estaría de más hacer esa presentación algo más formal, o al menos informativa, que teníamos pendiente. Para empezar, les diré que sí, que este es un blog de S2 Grupo, en el sentido que todo lo que aquí se expresa se hace en representación de S2 Grupo, yo lo sé y todas las personas que emiten su opinión o sus impresiones lo saben. Pero al mismo tiempo, les aseguro que no, este no es un blog “dirigido” por S2 Grupo, en el sentido de que las entradas no siguen una línea predefinida, estudiada e impuesta desde la dirección, más allá de las temáticas relacionadas con la seguridad o los sistemas de información. En otras palabras, teniendo el debido cuidado, puede hablar uno de lo que quiera; casi de la misma manera que en un blog personal; nadie, excepto algún desaprensivo con demasiadas ansias de publicidad y audiencia, cuelga los trapos sucios de los amigos y la familia a los ojos del mundo, y nosotros no somos ese tipo de gente.

Cuando hace algunos meses se propuso la creación de un blog de seguridad, reconozco que la idea me entusiasmó. Llevo escribiendo en mi blog personal algo menos de cuatro años, y creo, aunque no a pies juntillas y de forma incondicional como mucha gente en esto del dospuntocero, que las bitácoras son una forma fantástica bastante buena no únicamente de darse a conocer, sino también de interactuar con otros profesionales interesados, en este caso, en la seguridad, sea del tipo que sea; quizá esa confianza algo menos que ciega en todo esto, y la experiencia acumulada, fuesen las razones de que se me “nombrase” responsable de esto que están leyendo y la principal de que esté aquí escribiendo esto.

Para acabar, les voy a ahorrar el chorro estadístico de datos, por escaso y tedioso. Sólo les diré que cuando empezamos hace ya casi tres meses no teníamos —lógicamente— ningún lector, más que a mí mismo, que no cuenta. En la actualidad tenemos una media de unos veinte lectores diarios más los veintitantos que entran a través del feed (aunque ambos medios no sean mutuamente excluyentes). Algunos de ustedes son clientes nuestros, otros no. No tengo dudas de que hay muchas cosas por mejorar, empezando por la frecuencia de actualización que quizá no sea la mejor (y esto es un guiño a mis compañeros), pero al menos les prometo que en lo sucesivo intentaremos incrementarla, con la esperanza no sólo de tener nuevos lectores sino de conservar los que ya tenemos.

En cualquier caso, como les dije en aquel primer post, bienvenidos.

Breves

16 de julio de 2007 Por

Aunque sea cierto que de vez en cuando a algunos nos entra la paranoia Gran Hermano, cuando ve uno cosas como las que han pasado con Vodafone en Grecia, no deja de sentirse algo justificado en sus miedos. Cosas que demuestran, además, que una puerta trasera suele ser una muy mala idea, sea para quién sea, porque nunca sabe uno quién acabará utilizándola.

Todo lo que digan podrá ser…

2 de julio de 2007 Por

He de reconocer que en esto de los datos de carácter personal, entre los que podemos incluir fotos, videos o comentarios que pueden dar información sobre ideología, tendencias sexuales o el perfil psicológico propio, Internet da un poco de respeto. Y no me refiero a aquellos casos en los que alguien se convierte, como suele decirse, sin comerlo ni beberlo, en una estrella, con todos los problemas que eso supone. Recientemente una adolescente pertiguista estadounidense —si la memoria no me falla— tuvo el dudoso privilegio de convertirse en un ídolo de masas/sexual no precisamente por sus logros deportivos; saber que millones de personas tienen acceso a tus fotos y que entre ellas seguramente hay más de un tarado hurgando en tu intimidad es algo no demasiado reconfortante.

No obstante, este tipo de cosas vienen a estar fuera del control de la “víctima”, y como en otras muchas situaciones, eso es algo que hay que asumir e intentar evitar en la medida de lo posible. Otro problema muy diferente es cuando es uno mismo el que pone a disposición del ciberespacio fotos, opiniones, o datos personales en lugares sobre los que probablemente no tiene ningún tipo de control, tales como foros, las USENET news, buscadores poco escrupulosos, o incluso Google (recomiendo a título personal el uso de «”META NAME=”ROBOTS” CONTENT=”NOARCHIVE”» en la cabecera de los sitios personales, para evitar el almacenamiento en caché en los buscadores más conocidos), y que en un futuro podría no ser capaz de eliminar. Mucha gente —incluído un servidor— ha vertido datos y opiniones poco reflexionadas y de forma menos que apropiada en diversos lugares de Internet, llevado por las hormonas juveniles —o no tan juveniles—, provocaciones ajenas, la defensa de sus propias ideas más allá de lo lógico para la relevancia del foro en cuestión, la pura y simple diversión, o por el mero hecho de levantarse con el pie izquierdo; conseguir el borrado de todo ese contenido de todos esos sistemas, en caso de ser posible, puede llevar un tiempo y esfuerzo nada despreciables. Quizá alguien piense que a medida que la Red se hace grande, unos contenidos dejarán de existir, que simplemente se borrarán, pero en mi opinión, yo no contaría con ello.

En la actualidad, salta un escándalo cuando algún periodista con mejor o peor intención rastrea entre los archivos históricos buscando algo que alguien dijo sobre algo que tal o cual personaje público hizo, dijo, o dijo que hizo hace veinte años. Quizá en el futuro no haga falta rastrear tanto, sino dedicar diez minutos en un par de buscadores, y ver que el propio interesado lo dijo en un foro de Internet, lo repitió en diez más, escribió un blog y lo comento en un centenar más, y para colmo de males, colgó una docena de videos donde sale él mismo haciéndolo. Así que, si me aceptan un consejo, tengan cuidado con lo que dicen o muestran por ahí. Como dice el título de esta entrada, todo lo que digan podrá ser utilizado en su contra…

Por su seguridad: aprenda inglés

28 de junio de 2007 Por

Como algunos de ustedes probablemente saben, he pasado la última semana de vacaciones en Sassari —Cerdeña—, disfrutando del sol, la playa, y comiendo pasta y pizza. Sí, eso y poco más, que ya es bastante. Aprovechando un vuelo de Ryanair, una de las principales compañias aéreas de bajo coste, me planté en la isla por poco más de setenta euros por persona, ida y vuelta. El caso es que me llamó la atención que en el viaje de ida ninguno de los mensajes habituales acerca del uso y localización de los distintos mecanismos de emergencia, tales como chalecos salvavidas, cinturones, máscaras de oxígeno o las propias salidas de emergencia estuviera en castellano, catalán, o italiano, cuando tales son las lenguas oficiales —o co-oficiales— de la ciudad origen y de la de destino, respectivamente. No, todos los mensajes estaban en inglés.

No puede decirse que yo sea totalmente bilingüe en relación al inglés, pero me defiendo con relativa soltura, y he volado lo suficiente como para saber —o creer saber— dónde está cada cosa y cómo utilizarla; afortunadamente, jamás ha sido necesario llevar ese conocimiento a la práctica, porque entonces veríamos si lo que creo saber es lo que sé en realidad. Sin embargo, teniendo en cuenta que estos mensajes se emiten, asumo, con la intención de incrementar la seguridad de los pasajeros en el caso de producirse un posible accidente o fallo aéreo, disminuyendo así el riesgo personal de cada uno de ellos al saber utilizar los mecanismos proporcionados, carece de sentido que se emitan en una única lengua que no es, probablemente, la que conocen la gran mayoría de sus receptores.

En otras palabras, y acabando de aplicar terminología de seguridad informática al mundo físico, si dedicamos recursos tanto humanos como económicos a instalar y revisar controles que reduzcan el riesgo e incrementen la seguridad de las personas, ¿qué sentido tiene que esas personas no sepan cómo hacer uso de ellos llegado un potencial problema de seguridad?

www.congreso.es

15 de junio de 2007 Por

Como regalo para el fin de semana, y bordeando la media noche, les voy a regalar algo que he visto en Kriptópolis, aunque proviene de la Asociación de Internautas, y que no puedo dejar pasar. Como es posible que sepan, la nueva nuevísima web del Congreso se presentó hace unos días con problemas de estándares, diseño, desarrollo, accesibilidad y muchas otras cosas.

Y como no podía ser de otra manera, al parecer, entre los catorce millones de euros que ha costado, también va incluido el manual de Oracle Application Server 10g Release 2 (10.1.2), según pone en http://www.congreso.es/quickstart.htm, y es posible que otras cosas cuyo acceso público no sea tan relativamente inocuo (que conste en acta lo de “relativamente”). Lo dicho; por catorce millones de euros, ¿quién da más?

(Es muy posible, deseable, lógico, y sobre todo recomendable, que ese manual de Oracle accesible desde Congreso.es y contenido similar que no debería ser público, desaparezca en las próximas horas. Si eso sucede, pueden obtener los detalles completos en el anterior enlace de Internautas.org)

“Soy yo”

15 de junio de 2007 Por

¿Recuerdan lo que les comentaba hace unas semanas sobre la confianza y la Ingeniería Social? Bien, imagínense la siguiente situación:

Una pareja de ancianos oye sonar el telefonillo de su casa, y a la típica pregunta de “¿Quién es?”, no obtienen otra cosa que alguna de las también típicas respuestas: “Soy yo”, “Yo”, “Tu nieto”, o cualquier otra contestación, suficiente para que éstos abran la puerta del portal y la de su casa, y vuelvan a aquello que estaban haciendo, sea cocinar, ver la televisión o desayunar. Unos minutos después, una persona que no conocen, que como es obvio no es quien pretendía ser, y sin demasiadas buenas intenciones, entra en su casa sin ningún impedimento.

Parte de la escena que les he descrito es real y le sucedió a mis abuelos hace unos años. De cualquier modo, aunque no lo fuese, estoy seguro de que no les costaría mucho imaginársela. En aquel caso, el intruso se identificó como amigo mío, lo cual es a todas luces mentira porque yo no tengo amigos. Afortunadamente, mi abuelo me conocía bien y esperó de pie hasta que el visitante hubo llegado a su rellano (último piso de una finca de cuatro alturas sin ascensor), y tras unos momentos de duda, le cerró una puerta acorazada en las narices. Pero no siempre las cosas son así; como les comentaba, es habitual que tras abrir la puerta de casa, mucha gente se despreocupe y vuelva a sus tareas, dejando vía libre al malhechor.

Voy a dejarles como ejercicio el paralelismo con aspectos tecnológicos —las puertas son a menudo blindadas o acorazadas y sin embargo están abiertas al intruso—, y pasar directamente a la “moraleja” de la historia, que es tan obvia como por reincidente: tengan cuidado cuando le abran la puerta a alguien y en la medida de lo razonable, desconfíen.

No tan rápido, vaquero; es asunto tuyo.

7 de junio de 2007 Por

Volvemos con más LOPD, si me lo permiten. ¿Recuerdan cómo empieza el Reglamento de Medidas de Seguridad (RMS), verdad? Les hago memoria, por si acaso:

«[…] La Ley Orgánica 5/1992, de 29 de Octubre, de Regulación del Tratamiento Automatizado de Datos de Carácter Personal, prevé en su artículo 9, la obligación del responsable del fichero de adoptar las medidas de índole técnica y organizativas que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de […]»

El resto se lo saben, seguro. Por supuesto, la ley mencionada en ese párrano no es la LOPD, sino la LORTAD, ya que como saben, la LOPD carece de reglamento, en perpetua elaboración. Pasemos a otras cosas. ¿Saben lo que dice el RMS sobre las copias de seguridad, verdad? Les vuelvo a hacer memoria, de nuevo, por si acaso:

«Artículo 14. Copias de respaldo y recuperación.

1. El responsable del fichero se encargará de verificar la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.

2. Los procedimientos establecidos para la realización de copias de respaldo y para la recuperación de los datos deberá garantizar su reconstrucción en el estado en el que se encontraban al tiempo de producirse la pérdida o destrucción.

3. Deberán realizarse copias de respaldo, al menos semanalmente, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.»

A la vista de esto, hay dos cosas que parecen claras. La primera es que los datos de carácter personal (DCP) gestionados por una empresa son de su responsabilidad —que no de su propiedad—, y por tanto los DCP tratados por un empleado son responsabilidad de la empresa, no del empleado. La segunda cosa que parece clara es que hay que hacer copias periódicas de éstos.

Ahora bien, a poco que uno estudia la política de copias de seguridad que suele haber en muchas empresas, se da cuenta de que algo cruje. Y no me refiero a la cantidad de aplicativos y DCP, en ocasiones sensibles, que a menudo existen a espaldas de los departamentos de Sistemas de Información, bien sean hojas Excel, programas de gestión de Recursos Humanos, o simples documentos Word. Aunque no es del todo correcto disculpar totalmente a los responsables de TI de que se produzcan este tipo de situaciones, sí es cierto que aún poniendo el departamento en cuestión los medios necesarios y suficientes, tales como unidades de red departamentales o sistemas de copia de seguridad de determinados directorios del PC del usuario, es típico que el empleado ignore sistemáticamente estas facilidades e insista casi de modo perverso y maligno en utilizar ubicaciones lógicas de las que sabe —o debería saber, y esto puede ser tanto responsabilidad y/o culpa tanto de unos como de otros, cuya ignorancia debería ser subsanada a través de normativas escritas y entregadas, políticas adecuadamente publicitadas o sesiones de formación del personal— que no se hace copia de seguridad.

No, como les decía no me refiero a esas situaciones. No. De lo que estoy hablando, concretamente, es de esas políticas en las que el departamento de TI establece, a veces por escrito, a veces de facto, que el usuario es el único responsable y encargado de la realización de las copias de seguridad de su PC o portátil, y que la pérdida de datos es, de una forma coloquial, “su problema”. Bien, pues como seguramente han adivinado, va a ser que no; si antes podíamos de alguna forma compadecer al departamento de TI por la maldad y poca colaboración del usuario, ahora no, ya que en la medida en que en ese PC o en ese portátil contienen DCP, sus datos son responsabilidad de la empresa.

Determinar quién debe por tanto preocuparse por que esas copias se hagan, se deja como ejercicio para el lector avispado.