Contraseñas: fortaleza y confidencialidad

politica.jpg

¿Se acuerdan ustedes de aquello que decía que «El 96% de las empresas tiene implantados aspectos relacionados con la política de contraseñas»?

(…)

Las cosas como son. Al menos, caducar, caducan: antes era ‘Registro8’.

Fotografía tomada el miércoles 23 en una organización real.

El doble juego de las entidades de certificación

Hay una cosa que no he acabado de entender nunca y tal vez tenga una explicación mejor que la que yo le encuentro.

Hace ya mucho tiempo -los años no pasan en balde-, cuando me enfrenté por primera vez a un Sistema de Gestión de Calidad me llevé una grata sorpresa porque vi en ellos una forma de racionalizar el trabajo que se desarrolla en una organización sin perder ese punto de intuición y el espíritu creativo que el ser humano lleva dentro. Un sistema formal y estricto con un punto de escape para la creatividad y la innovación a través del concepto de mejora continua implantado mediante el Ciclo de Deming que preside, desde un lugar de honor, el funcionamiento de estos sistemas de gestión.

La verdad es que no es oro todo lo que reluce y, en este tiempo, ya he tenido tiempo de ver de todo. He visto sistemas de gestión de calidad colgados en lo alto de una pared, adornando algún despacho, y también he visto -no muchos desgraciadamente- sistemas de gestión que aportan valor y mucho a las organizaciones que hacen de ellos su forma de trabajo. Como se desprende de las palabras anteriores soy un convencido de los Sistemas de Gestión en general, aunque creo que deberíamos empezar a hablar de UN solo modelo de gestión con procesos certificados por distintos referenciasles: ISO9001, ISO27001, ISO14001, OSHAS18001, etc.

Lo que aun no he acabado de entender, en todo este tiempo, es el papel exacto que juegan o deben jugar las entidades de certificación en este escenario. Hay entidades de certificación que hacen de la certificación y de la normalización su trabajo y hay entidades de certificación que además de certificar sistemas de gestión, trabajan en la implantación de los sistemas de gestión. Creo francamente que se pueden compatibilizar los trabajos de auditoría y los de consultoría, pero me cuesta entender cómo se puede compatibilizar la función de entidad de certificación con la labor de consultoría.

En este contexto siempre me he preguntado por qué en un sistema de gestión como el de Calidad, el incumplimiento de una ley que es de aplicación en todas las empresas, como es el caso de la LOPD, se observa -cuando se hace- como una salvedad menor y no como un impedimento para la obtención de la certificación. Evidentemente, si hablamos de la certificación del SGSI según la ISO 27001:2005, las leyes que tienen una relación directa o indirecta con la seguridad de la información o de los sistemas de información cobran un protagonismo especial. Es en este caso donde el auditor de la entidad de certificación debe estar realmente preparado para identificar la diligencia de la organización en el cumplimiento de las mismas y obrar en consecuencia. En este sentido yo les pregunto: ¿son todas las entidades certificadas dignas de merecer tan preciado galardón?

En definitiva, en general, supongo que las entidades de certificación, como cualquier otra organización, deben cuidar su actividad y/o negocio y por este motivo la explicación que yo le encuentro al doble juego que a veces practican, entre la exigencia y la permisividad, es una explicación comercial, y esta, hablando de certificaciones, no me parece, a priori, una buena razón.

Falsa seguridad

El artículo 26 del actual Reglamento de Medidas de Seguridad (RMS), dentro del Capítulo IV, y en relación a las medidas de seguridad de nivel alto, dice lo siguiente:

Artículo 26. Telecomunicaciones

La transmisión de datos de carácter personal a través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.

Como es obvio, uno de esos medios es el correo electrónico, y es común que en departamentos clave en la gestión de datos especialmente protegidos se haga un uso intensivo de esta herramienta para la comunicación con terceros. Mutuas o gestorías, entre otros, suelen ser receptores habituales de este tipo de información, en el papel de Encargados del Tratamiento. Hasta aquí, nada que objetar al respecto.

[Read more…]