Monday, March 27, 2006

Premonición




Como si de una peli de serie B se tratase, parece que aquel escenario resumen de múltiples incidentes de seguridad que utilizo como caso práctico en mis clases, se hace realidad por obra y gracia de la noticia aparecida en ComputerWorld y comentada por Enrique Dans en su blog (gracias por citarme, compañero). Ni Pigmalión lo hubiera hecho mejor.

Lo que está claro es que nada como perder un portátil y salir en los medios para despertar el alma dormida; lo curioso es que los americanos ya llevan bastantes años y han dedicado bastantes esfuerzos en obligar a que los incidentes de seguridad se tomen en serio. La propia ley de la que habla el artículo (Financial Data Protection Act) es un ejemplo de contramedidas correctoras, tal y como figura en otro post del blog. Entre otras propone:
  • Compromiso de creación de un estándar nacional de seguridad de la información.
  • Obligación de que las empresas objeto de un ataque notifiquen a sus usuarios/consumidores que su información personal y su identidad digital han sido comprometidas
  • La organización atacada tendrá la obligación de proveer de un servicio gratuito durante seis meses que monitorice (perdón por el anglicismo, ahora mismo no se me ocurre ninguno más adecuado) la información financiera del usuario que ha sido comprometida para prevenir cualquier fraude mediante el uso de esa identidad robada.

La ley, aunque muy criticada por el amplio margen de interpretación que da a la organización atacada de lo que considera un "riesgo razonable para el usuario", es un híbrido de imaginación y experiencias previas que viene precedida por iniciativas legislativas como la californiana Security Breach 1386 que, ya con ámbito de aplicación nacional en la práctica, obliga a las organizaciones a que cualquier incidente en el que se tenga constancia de que se ha comprometido la seguridad de determinados datos personales (sobre todo, financieros) sea notificado a los titulares de los datos "en el menor plazo posible y sin mediar retraso no razonable".

Ya por pedir....no estaría de más que la ley exigiera algún informe (aunque fuera anónimo) de cualquier incidente, por aquello de ir construyendo estadísticas fiables para saber de qué orden de magnitud estamos hablando realmente y facilitar así el cálculo actuarial que necesitan las entidades aseguradores para el diseño de productos especializados en la cobertura de riesgo.

Y ¿en España?...Un poquito de Documento de Seguridad, con procedimientos de corta y pega, y vamos que nos matamos. Eso sí, actualizado y difundido al mismo nivel que los incunables de la Biblioteca Nacional. Los pocos que lo tienen lo mantienen impoluto, pero por el escaso uso. Nos harán falta unos cuantos casos como el de Fidelity. Al tiempo.

0 Comments:

Post a Comment

<< Home