31 marzo 2007

Y luego dicen que los estándares no sirven para nada

Cuando a cualquier persona le imponen algo, normalmente nos parece mal, aunque sea "por nuestro bien", ¿verdad? No hay más que recordar los casos del tabaco, el alcohol, etc...
Pues lo mismo pasa en el mundo empresarial. Dos ejemplos claros son la legislación en materia de protección de datos de carácter personal o, más últimamente, la iniciativa de VISA y MasterCard para proteger los datos de titulares de tarjetas de crédito, el Payment Card Industry - Data Security Standard [PCI-DSS] (ahora adoptado por el PCI Security Standards Council).
Pero la verdad es que cuando el río suena, agua lleva. Si se promueven estas iniciativas, ya sea por la Administración, ya sean por el ámbito privado, es porque existe algún tipo de circunstancia preocupante que hace falta controlar. Otra cosa es si esa normativa es justa, excesiva o acaba regulando actuaciones totalmente correctas y dificultando el día a día de las organizaciones.
Y para muestra, baste un botón: El pasado 21 de febrero, TJX (grupo de empresas de moda con más de 16 mil millones de dólares de ingresos en 2005 y más de 2.500 tiendas en EE.UU., Canadá y Europa agrupadas en 8 marcas distintas) reconocía que habían sufrido una intrusión en sus sistemas de información que, según la información de Europa Press del pasado 29 de marzo, había resultado en el robo de... ¡¡¡45,7 millones de tarjetas de crédito de clientes!!! (un dato para comparar: según el INE, la población española a 1 de enero de 2006 era de 44,7 millones de habitantes).
Y lo peor de todo es que no ha sido algo puntual, sino que este robo se ha producido en repetidas intrusiones desde 2003. Después de estos datos, es más fácil que comprendamos por qué es necesario este estándar, de hecho, lo que nos deberíamos preguntar es: ¿Por qué las organizaciones no protejen adecuadamente esta información confidencial (tanto desde la perspectiva financiera como personal) y es necesario que alguién les obligue a establecer unas medidas de seguridad mínimas?
Pues muy sencillo, porque como mantiene Bruce Schneier, la seguridad es una inversión que está sujeta a las mismas reglas que cualquier otra inversión en el entorno empresarial, a salir bien parada de un análisis coste-beneficio. ¿Y qué ocurre con la seguridad? Pues que, a menos que existan multas, penalizaciones, sanciones, etc. que hagan subir el coste de la no-seguridad es difícil que sea "rentable" para una empresa invertir en seguridad.
Así que, gracias. Gracias a esas normas y a las organizaciones que las promueven por contribuir a un mayor nivel de seguridad (aunque sea a base de multas y sanciones).
Lo sé. Es triste, pero es así.

No hay comentarios: