El riesgo de la movilidad

30 de noviembre de 2007 Por

Se habla cada día más de la seguridad —o inseguridad— relacionada con los dispositivos móviles que todos, en mayor menor medida, llevamos con nosotros en nuestro día a día. Sin duda, nos encontramos ante uno de los principales quebraderos de cabeza que en la actualidad comparten todos los responsables de seguridad, y previsiblemente seguirá siéndolo a medio plazo. Y aunque la amenaza no es nueva, conforme avanza la tecnología aumentan el riesgo y el impacto asociados a ella. Un ejemplo: si hace unos años, lo que podíamos perder (o lo que nos podían robar) era una agenda (de papel, de las de toda la vida), un bloc de notas o, a lo sumo, un par de diskettes, hoy podemos perder gigas de información en un simple lápiz de memoria USB, una detallada agenda electrónica con nuestros contactos, o incluso el portátil en el que tenemos almacenado todo nuestro trabajo.

Nadie pone en duda los beneficios que introducen en nuestro trabajo diario este tipo de dispositivos, pero igualmente nadie pone en duda los problemas de seguridad que nos pueden acarrear; ninguno de nosotros está exento de perder uno de estos gadgets (o chismes, en una posible acepción castellana), así que es imprescindible implantar controles que, en caso de robo o pérdida, minimicen el impacto para la organización. Para empezar, una buena salvaguarda es la definición de procedimientos, normativas, políticas o como les queramos llamar, para regular el uso de estos dispositivos. Estas normas deben marcar el tipo de datos que podemos almacenar en los mismos, las medidas de prevención básicas para evitar un compromiso (robo, pérdida o ataque), los pasos a seguir si dicho compromiso se produce, etc. Además, una medida técnica siempre recomendable es el cifrado de los datos almacenados: se trata de una medida barata y efectiva, que todos deberíamos implantar.

Antes de acabar, un ejercicio sencillo. Marque cada uno, mentalmente, los dispositivos que lleve consigo en su trabajo diario:

— Teléfono móvil.
— PDA.
— Ordenador portátil.
— Memorias USB.
— Tarjetas inteligentes.

Ahora piense en la información almacenada en cada uno de estos dispositivos, o en los privilegios que otorgan… y en qué sucedería si perdiera cada uno de ellos, o si se los robaran. Es como para tomarlo en serio, ¿verdad?

Todos tenemos un pasado…

28 de noviembre de 2007 Por

La semana pasada, durante una amena sesión de formación ISO 9001, me tacharon de “paranoico”, “fundamentalista”, y similares por defender los procedimientos duros de verificación (corrección y completitud) de Curriculum Vitae para las personas que van a entrar a formar parte de una organización, lo que se viene a llamar CV Screening; más en concreto, por defender la necesidad de asegurarnos de la completitud de un curriculum.

Mientras que las verificaciones destinadas a comprobar que una persona es lo que dice ser (si yo afirmo ser Ingeniero en Informática, debo aportar “algo” —un título original en este caso— que lo confirme) son comúnmente aceptadas, las que tienen por objeto comprobar que alguien es lo que no dice ser parece que chocan de frente con el derecho a la privacidad de las personas. Un ejemplo: si a un candidato a puesto de mantenimiento —quizás, a priori, no relacionado directamente con la seguridad— le solicito el título de técnico electricista, sin ningún problema lo aportará junto a su Curriculum y podrá ser cotejado por el departamento de Seguridad; si a ese mismo candidato se le pregunta a qué se debe un llamativo “hueco” en su historial, pongamos por ejemplo de tres años y un día, se llevará las manos a la cabeza alegando su derecho a la privacidad, los ataques a su intimidad y no sé cuántas cosas más.

Por supuesto, todos podemos ser engañados; pero si una norma como ISO 27002 incluye un control ad hoc para la revisión curricular de los aspirantes al puesto de trabajo, por algo será, y debemos al menos evaluar la conveniencia de implantarlo en nuestras organizaciones. Los que tenemos un perfil técnico nos centramos con frecuencia en cortafuegos, detectores de intrusos, permisos de ficheros o analizadores de puertos, olvidándonos muchas veces de aspectos tan críticos para la seguridad global como el CV Screening o la ingeniería social. Y al final, la cadena se rompe por su eslabón más débil, volviendo a lo que solemos decir los del “mundillo”: un atacante nos hará daño de la forma que le sea más fácil. ¿Para qué perder el tiempo aprovechando vulnerabilidades, si le puedo preguntar a un empleado las claves de los servidores?

Todos tenemos un pasado; quizás ese pasado no sea determinante para el acceso a un puesto dentro de la organización, pero bajo ciertas circunstancias puede serlo. El hecho que entre las aficiones de una persona se encuentren los deportes de aventura, que haya estado en la cárcel por un delito concreto, que haya trabajado para nuestra competencia más directa, o que haya sido un pirata informático, puede introducir niveles de riesgo en la organización que, para que sean mitigados o asumidos, deben ser al menos conocidos. Si nos limitamos a creernos a pies juntillas lo que pone en un curriculum y no vamos más allá, tarde o temprano nos encontraremos con aquello de que las personas son el eslabón más débil de nuestra seguridad.

Modelos de negocio

26 de noviembre de 2007 Por

facebook.jpgNo se si conocen Facebook, empresa que les introduje el otro día sin demasiados detalles. La idea básica del sistema de esta compañía es la de proveer al usuario de un espacio en el que poder “centralizar” sus imágenes, su blog, sus aficiones, sus amigos, etc. Facebook es, junto con MySpace, una de las principales redes sociales de Internet, y ese término seguro que les suena más. La cuestión es que hace unas semanas, esta compañía anunció en qué iba a basar su modelo de negocio, y como no podía ser de otra forma, éste era la publicidad. La verdad es que a este tipo de cosas ya nos estamos acostumbrando, con el omnipresente Google y su publicidad contextual, pero en este caso, le habían dado otra vuelta de tuerca a la idea original.

En pocas palabras, su idea es que si un usuario compra el producto ‘X’, todos los miembros de su lista de amigos —que suelen ser bastantes gracias a las características de estas redes sociales— reciben un mensaje en el que se les indica que tal amigo suyo ha comprado tal producto, en lo que puede pensarse como un aprovechamiento de las sinergias grupales adolescentes, o visto de otra manera, explotación de las tendencias de imitación juveniles. No niego que la idea es buena, pero esa vuelta de tuerca ha resultado demasiado para algunas personas, que están viendo seriamente amenazada su privacidad, e incluso la Unión Europea ha avisado de que podría decir algo al respecto, aunque probablemente, pasará lo mismo de siempre (y no es por criticar).

Por una vez, no voy a entrar a analizar esta forma de hacer negocio como una crítica a la empresa, en este caso Facebook. Al fin y al cabo, desde un punto de vista estrictamente económico, son los organismos públicos los que deben regular —y limitar cuando sea necesario— la manipulación de este tipo de información por parte de empresas privadas, y son los usuarios los que tienen la libertad de cambiar si consideran que sus derechos se están vulnerando. En este caso, lo que me resulta particularmente curioso es que una compañía realize el desarrollo de un sistema que le supone probablemente muchos miles de dólares y cuyo mantenimiento es sin duda muy costoso económicamente (cuarenta millones de usuarios registrados aproximadamente, aunque es cierto que parte de ellos pueden permanecer inactivos), sin tener la garantía de que el modelo económico en el que van a basarse será aprobado tanto por las instituciones públicas que han de velar por la privacidad y los derechos de los ciudadanos, como por los usuarios que deben —o deberían— proteger su propia intimidad.

Resumiendo, ¿por qué confía tanto una empresa como esta en que su modelo de negocio seguirá adelante? ¿Es una apuesta segura o un farol? ¿Tan escasa es la autoridad de los poderes públicos, sobre todo en contextos internacionales (Internet)? Y, desde el punto de vista de los afectados, ¿tan poca importancia dan los usuarios a sus datos personales?

¿Alguien tiene respuestas?

Memorias de un auditor

23 de noviembre de 2007 Por

Reunión en cliente, departamento técnico, durante una auditoría:

—¿Existen especificaciones técnicas adjuntas a los contratos con proveedores?
—Depende del proveedor, pero sí, es habitual.
—¿Y qué se hace con los contratos que es necesario destruir?
—Los llevamos a la destructora de papel que tiene Administración.
—¿Podría proporcionarnos una copia de algún contrato?
—Sí, un segundo… Vale, aquí en la papelera tengo uno para reciclar.

(10 segundos después…)

—Ehhmmm… Creo que no debería haber dicho eso de que es para reciclar… ¿no?

(Buen fin de semana a todos)

¿Todo lo que no son cuentas son cuentos?

22 de noviembre de 2007 Por

II Jornada internacional organizada por ISMS Forum
Seguridad de la Información: Una cuestión de Responsabilidad Social Corporativa

Hace tiempo una persona de confianza me propuso dar una conferencia sobre sistemas de gestión relacionados con la Responsabilidad Social Corporativa. Corrían los tiempos en los que empezábamos a hablar del Sistema de Gestión de Seguridad de la Información en serio. Eran tiempos en los que S2 Grupo acababa, con mucho esfuerzo y apuesta personal, de conseguir que Carlos Manuel Fernández en nombre de AENOR, como Auditor Jefe, certificase en base a la recién nacida UNE 71502 el Sistema de Gestión de Seguridad de la Información de Francisco Ros Casares, la primera certificación de este sistema en España. La verdad es que en aquel momento me pareció una idea interesante. Me pareció que teníamos algo que decir, que teníamos que hablar de los nuevos sistemas de gestión (el de seguridad) y su relación con la Responsabilidad Social Corporativa (RSC).

¡¡Estaba totalmente equivocado!! El resultado se lo pueden ustedes imaginar…

Los asistentes al evento eran técnicos y directivos de grandes empresas, de la administración pública y de consultoras especializadas y, en mi opinión, de lo que hablaban y lo que querían escuchar eran cosas completamente distintas. Hablaban de gestión medioambiental, de recursos humanos o gestión del personal, de gestión financiera, de trasparencia, del código Conte, del número de mujeres que debían participar en los consejos de administración,… y ni una sola mención a la seguridad, a la monitorización de procesos —incluido el de gestión de la seguridad— ni a la gestión en tiempo real. ¡¡¡Vaya chasco!!! Estaba como pez fuera del agua, y el caso es que seguía convencido con el hecho que teníamos mucho que decir en ese contexto, pero la percepción es que estaba hablando en un idioma que ni podían ni querían entender. Un fallo de preparación, sin duda, y la Seguridad una grandísima ausente.

La vida sigue. La experiencia no fue positiva, pero de esto también se aprende. Creí por un momento que la convicción profunda que tenía sobre el hecho de que la RSC no podía relegar a un ámbito técnico o tecnológico los asuntos relacionados con la seguridad, con la gestión en tiempo real, con la monitorización de procesos, estaba infundada. En definitiva que el leit-motiv de nuestro proyecto empresarial, el de S2 Grupo, no convergería nunca con algo en lo que creía profundamente: “Las obligación que tienen las empresas de desarrollar su negocio de forma sostenible, cuidando la conciliación de la vida familiar y profesional, cuidando de su entorno y de la sociedad en la que viven, cuidando de la confianza que se deposita sobre ella, cuidando sus cuentas, cuidando de la información: la de carácter personal y la que no lo es, cuidando de sus resultados, de sus activos, de … TODO. Es una OBLIGACIÓN, no una opción”.

Una conversación con mi socio y amigo al respecto volvió a darme la confianza perdida por unas horas y el trabajo duro siguió.

Hace unas semanas me llegó la invitación del ISMS Forum, asociación española para el fomento de la seguridad de la información, de la que, como no podía ser de otra forma, S2 Grupo es miembro, a la II jornada internacional organizada en colaboración con INTECO y con el título: “Seguridad de la Información: Una cuestión de Responsabilidad Social Corporativa”.

No se pueden imaginar ustedes la alegría que me lleve. Los tiempos han cambiado un poco. Las entidades con su SGSI certificado son ya muchas. Solo AENOR tiene ya más de 80 organizaciones certificadas según dato aportado por D. Avelino Brito en su intervención en la jornada, entre ellas S2 Grupo como la primera en la Comunidad Valenciana con la ISO 27001.

Me gustó el planteamiento inicial de la jornada y me ha gustado, en líneas generales, el contenido de la misma.

A pesar de que el plato fuerte de la jornada era, a priori, la intervención en directo de Bruce Schneier que como era de esperar estuvo francamente bien, yo quiero destacar el panel de expertos en el que un grupo de personas, no técnicas de la seguridad informática, disertaron durante un buen rato sobre las relaciones entre la Responsabilidad Social Corporativa —o como D. Javier López-Galiacho decía Responsabilidad Corporativa— y la Seguridad de la Información. Estuvo francamente bien.

D. Javier López-Galiacho, Director de Responsabilidad Corporativa de FCC, hizo una exposición brillante en mi opinión sobre los conceptos básicos de la Responsabilidad Corporativa, ya que según defiende esta responsabilidad no sólo es social, y le hizo los guiños justos a la Seguridad de la Información cuando pasó por encima del Buen Gobierno.

Y es que no puedo estar más de acuerdo con lo que dijeron los miembros del panel en este sentido. Sí, señores, ¿acaso no forma parte del buen gobierno gestionar, controlar y monitorizar que los accesos de nuestros sistemas de información son los que deben ser y no otros? ¿acaso no es un asunto de buen gobierno garantizar que la información de nuestros empleados está a buen recaudo y no en manos de un desaprensivo que quiera usarla para fines no lícitos? ¿acaso no es un asunto de buen gobierno gestionar correctamente los soportes con información confidencial y secreta que de nuestra organización circula por el mundo? Yo creo que sí y ayer se habló públicamente de esto. ¡¡Sí señor!! La Responsabilidad Social Corporativa debe tener en cuenta, en el lugar que le corresponde, la necesidad de gestionar la seguridad de la información, debe escuchar cuanto tenemos que decir los profesionales que nos dedicamos a esto.

Mientras las empresas que cotizan en la bolsa americana sudan la gota gorda para cumplir la SOX y en particular su sección 404 que habla de seguridad y de gestión en tiempo real entre otras cosas, nuestra sociedad, a este lado del atlántico, discute airadamente sobre el porcentaje de mujeres que debe haber en un consejo de administración de una empresa o si el código Conte es un código demasiado intrusivo o si debe o no debe el estado regular determinado tipo de situaciones. ¿No estará en el término medio la virtud?

En fin, como conclusión diré que 350 personas nos hemos sentado en torno a una mesa (¡¡enorme!!) para hablar de Seguridad y Responsabilidad Social Corporativa. ¡¡Será por algo!! Varias veces se dijo en tono irónico “todo lo que no son cuentas son cuentos” Pues no señores, hay muchas cosas que no son cuentas que tampoco son cuentos…

En definitiva, ¡¡enhorabuena a Gianluca y al resto de la junta por el éxito del evento!!

En todas partes…

21 de noviembre de 2007 Por

… cuecen habas.

Y si no, que se lo digan a Gordon Brown, primer ministro británico, que como suele decirse, y perdónenme el lenguaje y el chiste fácil, tiene un buen brown entre manos. Porque a ver cómo le explicas a veinticinco millones de británicos que has perdido un CD con sus datos personales y bancarios, al parecer, para siempre. Vamos, que no sabes dónde está ni tienes esperanzas de encontrarlo. Digamos que es algo más delicado que decir algo como: “Sí, los hemos perdido, pero no se preocupen que sacamos otra copia y la volvemos a mandar”…

Para mañana, les tengo preparado un comentario crítico sobre la II Jornada Internacional de ISMS Forum Spain: “Seguridad de la Información: Una cuestión de Responsabilidad Social Corporativa”, por parte de José Rosell, y que tuvo lugar ayer martes. No se la pierdan.

Sospechosos habituales (y cada vez más y mejor)

20 de noviembre de 2007 Por

facebook.jpgHemos hablado en este blog varias veces de Google y el almacenamiento masivo de datos de carácter personal que lleva a cabo a través de sus servicios de búsqueda, blogs, calendario, correo electrónico, etc.; de sus más que cuestionables políticas de retención de datos, o del hecho —al César lo que es del César: de esto no tienen ellos la culpa— de que sea relativamente sencillo sacar gran cantidad de datos personales utilizando su búsqueda (lo que me dió por llamar LOPD Google Hacking). Incluso recordarán que hace unas semanas, a raíz del video de un discapacitado, la AEPD decidió echarle un vistazo a Google y entrar en el asunto, aunque poco más se ha sabido de ello.

Cambiando de sospechoso habitual, hoy leía en BITácora que Facebook está siendo investigada por la autoridad de protección de datos de UK, al parecer por aplicar una política de retención de datos algo dudosa; para que lo entiendan, es algo así como «Vaya, esto sí que es curioso. Me he vuelto a registrar seis meses después de haberme dado de baja… y los datos de mi perfil siguen estando aquí». El caso es que no me extrañaría que en los próximos años, a causa del creciente uso de datos de carácter personal con fines publicitarios y comerciales que hacen estas “redes” (de algún sitio tiene que salir el dinero en el mundo 2.0.com), de lo que les hablaré en breve, veamos un aumento de las quejas y denuncias con respecto a la gestión que estas webs hacen de los datos de sus usuarios (o “afiliados”).

La pregunta que me hago es si todas esas quejas sirven de algo, o en otras palabras, si la AEPD y sus “colegas” europeas van a ponerse de acuerdo y actuar, o van sólo a “parlamentar”; o incluso, si por temas jurisdiccionales o similares, pueden hacer algo más que “negociar” (300 millones de europeos deberían ser suficiente respaldo para hacer algo más que hablar). Si este tipo de manipulaciones van a quedar en la impunidad milkilométrica que supone el océano Atlántico, si van a seguir haciendo lo que les venga en gana, o si tendremos que esperar a que haya un Enron o un Worldcom en el mundo de los datos personales para que los EEUU se pongan las pilas y saquen algo como la SOX en este tipo de temas, y entonces Google, Facebook, MySpace y demás sujetos se plieguen al imperio y hagan un poco de caso.

Ya ven, que como siempre, muchas preguntas y pocas respuestas. Si quieren saber mi opinión, pues viene a ser la misma que la de Félix Haro. Es decir, que harán, como hasta ahora, lo que les venga en gana.

Seis más una medidas para evitar la fuga de información

16 de noviembre de 2007 Por

¿Se acuerdan que el otro día les comentaba que el punto básico de la seguridad, desde cualquier punto de vista, es la concienciación del usuario? Bien, pues he cambiado de opinión, y he estado elaborando una lista de medidas que demuestran que podemos evitar de manera eficaz y segura la fuga y el robo de información sin contar con el usuario. Síganme.

Uno. La primera medida a adoptar es, por supuesto, la inhibición de los puertos USB, disketeras y eliminación de cualquier grabadora de CD o DVD. Esto es particularmente sencillo. Es posible que tenga que hacer frente a usuarios de cierto rango que protestan, particularmente, por no poder utilizar los puertos USB, para llevar presentaciones o extraer informes y trabajar en casa. Por supuesto, prescinda de cualquier dispositivo que utilize un interfaz USB, tal como ratones, teclados, impresoras, etc., aunque ese es un mal menor. Ignore estos pequeños contratiempos.

Dos. La segunda medida es, como es natural, eliminar cualquier acceso a Internet. Los sistemas de webmail son, como todos sabemos, un potencial peligro, y aunque los cerremos en el cortafuegos, seguramente el empleado maligno encontrará alguna alternativa tal como el ftp, ssh, sites orientadas al almacenamiento de ficheros, etc. Este punto también carece de complejidad, como podrá comprobar: Deny ALL from ALL y voilà. En este caso, sí, admitimos que las quejas de usuarios pueden ser algo más enérgicas, sobre todo cuando el director financiero sea incapaz de realizar las transferencias de las nóminas por banca electrónica, o recursos humanos necesite mandar información mediante DELTA. No haga caso. Está en juego la información corporativa.

Tres. La tercera medida lógica en este proceso es cortar el correo electrónico. No hay en el entorno empresarial mayor peligro que el correo electrónico. Olvide que sirve para contactar con clientes, potenciales o futuros, o proveedores. Mucha gente utiliza este sistema para mandar información confidencial, así como datos de carácter personal a cuentas privadas, vaya usted a saber si a potencias asiáticas o la propia AEPD. Hágame caso: corte el grifo. No email, anymore.

Cuatro. La cuarta medida a aplicar es la eliminación de cualquier fax o teléfono. Esto requerirá confiscar los teléfonos móviles de todos sus empleados, sobre todo aquellos con cámara, particularmente peligrosas si dispone usted de planos o alguna cosa gráfica que copiar. No se olvide, ya que estamos, de las cámaras. Con esto conseguiremos aislar a nuestra empresa del exterior. No tenemos que preocuparnos por tanto de que la información salga por vía telemática, telefónica, electrónica, o cualquier otro medio. Estamos casi a salvo.

Cinco. La quinta medida es eliminar las impresoras, y el siguiente, imprescindible, es confiscar todo el material con el que se pueda escribir, y los potenciales soportes: lápices, bolígrafos, rotuladores, folios, libretas, etc. No sabemos si alguien puede querer copiar un diseño, una función, un procedimiento de calidad, su estructura de red, o el listado de nombres y apellidos de todos los empleados. Hay gente muy rara por el mundo, y como suele decirse, mejor prevenir que curar. Por supuesto, esto implica que se ha de cortar radicalmente el correo postal, tanto de entrada como de salida.

Seis. La sexta y última medida que le proponemos es el cacheo exhaustivo de sus empleados tanto a la entrada como a la salida de la empresa por parte de personal de seguridad especializado. Recuerde que no sabemos qué maléfico plan tienen los empleados en la cabeza, y cualquier precaución es poca.

Estas son algunas de las medidas, pero por supuesto, no son todas. Como suele decirse, el demonio está en los detalles. Tenga en cuenta, por último, que cualquier empleado que deja la empresa puede llevarse información interna en su propia cabeza (sí, puede, es verdad). Por razones legales —que no éticas— no podemos aconsejarle que impida que sus trabajadores se jubilen, cambien de trabajo o se dediquen a la vida contemplativa. ¿Se acuerda lo que decía Gene Spafford? Es decir, que para evitar cualquier tipo de riesgos, la mejor y más eficaz medida para evitar la fuga de información es impedir que sus empleados tengan cualquier tipo de acceso a ésta: déjelos en casa. Ellos contentos, y usted, contento.

¡?nimo!

Eventos “LOPD”

14 de noviembre de 2007 Por

Ayer, mientras mantenía una reunión de seguimiento con compañeros de trabajo, surgió el tema de qué es un “evento LOPD” y cual es la finalidad de su registro; si es posible, factible o incluso razonable delimitar claramente y registrar (todos) los eventos de tipo LOPD en una organización, con oposición a otros tipos de sucesos. En este sentido, no quiero limitar el concepto de “evento” a “incidencia” en el sentido entendido por el artículo 10 del RMS, “Registro de incidencias”, sino que dentro de la idea de “evento” estoy incluyendo todas aquellas situaciones recogidas por dicho artículo —pérdida de una contraseña, fallo en una copia de seguridad, detección de una intrusión, pérdida de un soporte, ejercicio de derechos ARCO, etc.— más cualquier otra que sin suponer una incidencia, afecta igualmente a la confidencialidad, integridad y disponibilidad de los datos de carácter personal: solicitud de acceso a determinada ubicación de acceso restringido, movimiento de un soporte entre distintos CPDs, realización de pruebas de recuperación, pérdida de disponibilidad de una máquina, etc.

Hay que empezar diciendo que la identificación de todos y cada uno de los “eventos LOPD” sería una tarea casi interminable no sólo por la cantidad sino por la “calidad” (¿es la permanencia de un listado de personal en una impresora durante más de 5 minutos un “evento LOPD”? ¿Y la caída de un switch en una zona de producción industrial? ¿Y la ausencia de un sensor de temperatura en un CPD? ¿Sí? ¿No? ¿Depende?), y no me malinterpreten; un registro de incidencias y/o eventos completo y en tiempo real es vital para una buena gestión de explotación y de seguridad: peticiones de instalación de software, caídas de red, fallos en los equipos, pérdida de fluído eléctrico y puesta en funcionamiento del SAI, recuperación de datos LOPD y no-LOPD, pruebas de contingencia, actualización del antivirus, detección de ataques, migración de sistemas, etc. Ello permite realizar un seguimiento de las tareas, cumplir con las SLA (Service Level Agreements) acordadas con los clientes y dar un servicio de calidad. Imagino que estamos de acuerdo.

¿Pero es eso lo que la LOPD y su viejo acompañante el RMS piden? En mi opinión, no. Éstos pretenden, intentan, o exigen que la empresa haga un uso adecuado de los datos personales: haga usted las cosas bien. Y aunque existen una serie de eventos o incidencias que sí, efectivamente, requieren obligatoriamente ser registrados, no son más que partes aisladas de procedimientos generales, que son los que deben cumplirse. En otras palabras, por políticamente incorrecto que suene, tener un registro extremadamente exhaustivo de sucesos o uno con lo básico —o lo más flagrante— no asegura nada (de nuevo, desde el punto de vista de la LOPD). Porque no es el evento lo que necesitamos perseguir, sino el procedimiento en su conjunto: un evento de recuperación de una base de datos sirve de poco si se ha saltado por encima de las personas autorizadas, o si se ha recuperado sobre un soporte USB que fulanito le va a dejar a menganito para que se lo lleve a su casa. ¿Hay alguna manera de controlar todas esas posibles situaciones irregulares? No.

No hay duda de que el registro del evento no sólo es muchas veces necesario y obligatorio, pero repito, no es el objetivo final del tratamiento de datos de carácter personal; es sólo un eslabón de toda la cadena, que es la que debemos al fin y al cabo completar de manera correcta. Y el punto al que vamos a morir con esto es que, al igual que en otros muchos ámbitos, en última instancia la seguridad, y con ella la LOPD, depende en gran parte del nivel de concienciación del usuario final. O dicho de otra forma, que aunque por supuesto aportan su granito de arena, ni la existencia ni la ausencia de un evento implica que se ha seguido el procedimiento correctamente. Desesperanzador, ¿no creen?

Mi riñón en el cuadrante de Sagitario

9 de noviembre de 2007 Por

Estaba hace un par de noches viendo la televisión, y ante el maravilloso panorama televisivo que tenemos en este país, decidí dar una vuelta entera por todos los canales; la cuestión es no irse a dormir. Y así seguí un par de veces, hasta que me detuve por curiosidad en uno de esos canales locales en los que cuando no están haciendo tarot televisado están pasando una película porno barata. En este caso no tuve suerte y estaban haciendo tarot, así que me quedé viéndolo diez minutos. Aparte de lo divertido que resulta ver cómo el sujeto de la pantalla en cuestión manipula al oyente para sonsacarle la información (hay algunos realmente hábiles, aunque tampoco crean que soy un forofo de este tipo de “programas”), me sorprendió lo que pasó con una llamada:

—Sí, parece que tenemos una nueva llamada. Dime, bonica.
—Hola. Verás, me han operado del riñón hace unas semanas y quería saber si todo va a ir bien.
—Lo siento mucho, pero ya sabes que desde hace algún tiempo en antena ya no atendemos problemas de salud.
—…

No sé si esta negativa se debió a algún tipo de estudio sobre el comportamiento de la futura clientela, a razones de índole moral o legal, o si en cambio, la razón fue que “también” este tipo de empresas se están poniendo las pilas con la LOPD. Lo que, después de pensarlo un poco, me resultaría raro, ya que después de todo, el dato por el que el sujeto es identificable, el teléfono (tomar en este caso la voz es hilar demasiado fino) es accesible a la empresa tanto en antena como fuera de ella, y no lo es para los telespectadores como un servidor. Es decir, que tengo mis dudas. Y ustedes, ¿tienen las suyas?