Ir al contenido principal

La LOPD, la mujer del César y el mus

Una de las frases que suelo emplear cuando me llaman de una empresa a una reunión preliminar porque están interesados en abordar un proyecto de adecuación a la normativa actualmente vigente en materia de protección de datos es la que se atribuye a Cayo Julio César:

"La mujer del César no sólo debe ser honrada, sino además parecerlo".

¿Y que tiene que ver esta frase con la adecuación a la LOPD de una organización?, ¿y el mus?. Un poco de paciencia.

Me explico, cuando acudo a una de esas reuniones, el potencial cliente, que ha oído hablar de las sanciones que se pueden imponer por el incumplimiento de esta normativa, asegura que está muy interesado en "hacer eso de la LOPD", aunque no parece saber muy bien a qué se refiere; uno se le queda mirando fijamente, pero él ni continúa con su exposición ni pestañea, y te devuelve una mirada arqueando las cejas (vamos, como si estuviéramos jugando al mus y tuviera dúplex).

Y yo pienso: "empezamos mal (vamos, como casi siempre)"; otro que quiere cumplir la normativa única y exclusivamente como un trámite formal más de obligado cumplimiento y sólo por temor a posibles sanciones.

Armado de infinita paciencia le pregunto si han hecho algo previamente para su adecuación a la norma. La respuesta habitual suele ser: "no" o "sólo la declaración de los ficheros", y, por tanto, la siguiente pregunta es obligada: "Por curiosidad, ¿por qué estáis muy interesados ahora en adaptaros?". Aquí las respuestas son de lo más variopintas: "sabemos que 'algo' tenemos que hacer", "es que nos han dicho que te pueden sancionar con una multa importante por incumplirla" (no pocos suelen hacer referencia a que han recibido una llamada diciéndoles que han verificado que no cumplen la normativa y que si no lo hacen serán sancionados), etc.. A esto último, sin comentarios.

Sospecha confirmada, no le ven ningún valor añadido a abordar un proyecto de seguridad de la información que maneja la organización, y para mí un proyecto de adecuación a la LOPD es un proyecto de este tipo que puede aportar mucho más valor que el mero cumplimiento de la norma, y, por consiguiente, el único interés parece ser el "cumplimiento" formal de una obligación legal; algo que hay que "pasar" (vamos, como si tuvieran el sarampión).

En este punto continúo con la toma de datos preliminar con objeto de recabar la información de contexto de la organización necesaria para poder posteriormente elaborar una propuesta de colaboración profesional ajustada a la problemática concreta de la organización en materia de protección de datos. Asunto sobre el que no me extenderé mucho y que como sabemos no es nada fácil de realizar en poco tiempo, pero el potencial cliente quiere un proyecto cerrado, es decir, antes que nada saber el precio.

Evidentemente, hay multitud de aspectos involucrados que el potencial cliente suele desconocer por completo, de ahí lo de la infinita paciencia que he comentado: sector de actividad (para hacerse una idea de la mayor o menor sensibilidad de los datos manejados por la organización), estructura de la empresa (en ocasiones puedes encontrarte con que realmente son un grupo de empresas, incluso con la central en otro país y que en ocasiones también les lleva "eso de la informática"), sedes de la empresa, identificación a un primer nivel de los ficheros con datos de carácter personal, empleados con acceso a dichos datos, sus funciones y características (movilidad,...), grado de automatización de los sistemas de información (CPD, puestos de trabajo, aplicaciones,...) y características de los mismos (virtualización de puestos de trabajo, desarrollos a medida o paquetes,...), encargados de tratamiento, cesiones,... y un larguísimo etcétera.

Una vez finalizada la toma de datos preliminar les esbozo ya el que conforme a nuestro entendimiento podría ser el ámbito y alcance del proyecto, fases a abordar para llevarlo a cabo incluidas (muy resumidamente: organización y planificación del proyecto, estudio y diagnóstico de la situación actual, notificación de ficheros y elaboración de toda la documentación de adecuación, comunicación, sensibilización y formación en esta materia a la Dirección, mandos intermedios y empleados, e implantación de todos los aspectos recogidos en el Documento de Seguridad, incluidas todas las medidas organizativas y técnicas).

La cara que suele poner el potencial cliente después de esto último es la del emoticono "alucinado" (vamos, como si le hubiera soltado un órdago a la grande y le hubiera pillado con dos pitos).

Y acto seguido, me guiña un ojo (ahora parece tener treinta y una) y me dice: "pero, ¿hay que hacer tantas "cosas"?, ¿esto cuanto cuesta?, ¿será 'baratito', no?, porque ya hemos pedido otras ofertas y hay quien lo hace muy barato (incluso sin coste), además, nosotros 'eso de la informática' lo tenemos bien". Y es aquí donde mi infinita paciencia se torna en la resignación más absoluta, máxime cuando todavía no he hablado del precio, y le digo eso que me recuerda a lo de la mujer del César:

"Tú que quieres: ¿ser honrado o sólo parecerlo?".

Y después le digo que "eso de la LOPD" es mucho más que notificar los ficheros, los contratos con encargados de tratamiento y tener un Documento de Seguridad, es decir, mucho más que el "cumplimiento" formal de la norma. Que así lo único que va a conseguir es tener un Documento de Seguridad perfectamente inútil cogiendo polvo, como en muchas otras empresas junto al manual de calidad, que así ni siquiera habrá hecho una gestión adecuada del riesgo ante determinados incumplimientos y, por consiguiente, de posibles sanciones, y que "eso de la LOPD" sólo aporta valor cuando realmente se llegan a implantar convenientemente todas las medidas organizativas y técnicas tendentes a proteger los datos de carácter personal y, en general, toda la información manejada por la organización (valor añadido), y que tenga en cuenta que se trata además de un proyecto de seguridad de la información que debe tener un seguimiento del que se derivarán de forma permanente en el tiempo las acciones correctoras, complementarias y de mejora pertinentes.

¿Sirve para algo todo el tiempo invertido en esta "evangelización"?. Pues en mi opinión y en la inmensa mayoría de las ocasiones no y, por tanto, después de la reunión sé que, aunque ajuste la oferta económica al céntimo y por muy buena que sea la parte técnica, no tendré ninguna posibilidad, y, en ocasiones y tras enterarme del importe por el que finalmente lo han adjudicado (un importe ridículo), no me queda ninguna duda no ya sólo sobre que lo que se buscaba era única y exclusivamente un "cumplimento" formal (aunque por el precio creo que ni siquiera se llegará a hacer adecuadamente ésto), sino que tampoco me cabe ninguna duda de que además, efectivamente, no tenía ninguna posibilidad. En fin, en estos casos siempre me quedo con la sensación de haber perdido la partida... pero seguiré intentándolo :).

Comentarios

Entradas populares de este blog

Criptografía (I): cifrado Vigenère y criptoanálisis Kasiski

Hace unos días mi amigo Iñaki Regidor ( @Inaki_Regidor ), a quien dedico esta entrada :), compartió en las redes sociales un post titulado "Criptografía: el arte de esconder mensajes"  publicado en uno de los blogs de EiTB . En ese post se explican ciertos métodos clásicos para cifrar mensajes , entre ellos el cifrado de Vigenère , y , al final del mismo, se propone un reto consistente en descifrar un mensaje , lo que me ha animado a escribir este post sobre el método Kasiski  para atacar un cifrado polialfabético ( conociendo la clave descifrar el mensaje es muy fácil, pero lo que contaré en este post es la forma de hacerlo sin saberla ). El mensaje a descifrar es el siguiente: LNUDVMUYRMUDVLLPXAFZUEFAIOVWVMUOVMUEVMUEZCUDVSYWCIVCFGUCUNYCGALLGRCYTIJTRNNPJQOPJEMZITYLIAYYKRYEFDUDCAMAVRMZEAMBLEXPJCCQIEHPJTYXVNMLAEZTIMUOFRUFC Como ya he dicho el método de Vigenère es un sistema de sustitución polialfabético , lo que significa que, al contrario que en un sistema de

Criptografía (XXIII): cifrado de Hill (I)

En este post me propongo explicar de forma comprensible lo que he entendido sobre el cifrado de Hill , propuesto por el matemático Lester S. Hill , en 1929, y que se basa en emplear una matriz como clave  para cifrar un texto en claro y su inversa para descifrar el criptograma correspondiente . Hay tres cosas que me gustan de la criptografía clásica, además de que considero que ésta es muy didáctica a la hora de comprender los sistemas criptográficos modernos: la primera de ellas es que me "obliga" a repasar conceptos de matemáticas aprendidos hace mucho tiempo y, desgraciadamente, olvidados también hace demasiado tiempo, y, por consiguiente, que, como dice  Dani , amigo y coautor de este blog, me "obliga" a hacer "gimnasia mental"; la segunda es que, en la mayoría de las ocasiones, pueden cifrarse y descifrase los mensajes, e incluso realizarse el criptoanálisis de los criptogramas, sin más que un simple lápiz y papel, es decir, para mi es como un pasat

¿Qué significa el emblema de la profesión informática? (I)

Todas o muchas profesiones tienen un emblema que las representa simbólicamente y en el caso de la  informática: " es el establecido en la resolución de 11 de noviembre de 1977  para las titulaciones universitarias superiores de informática, y  está constituido por una figura representando en su parte central  un  núcleo toroidal de ferrita , atravesado por  hilos de lectura,  escritura e inhibición . El núcleo está rodeado por  dos ramas : una  de  laurel , como símbolo de recompensa, y la otra, de  olivo , como  símbolo de sabiduría. La  corona  será la  de la casa real  española,  y bajo el escudo se inscribirá el acrónimo de la organización. ". Veamos los diferentes elementos tomando como ejemplo el emblema del COIIE/EIIEO (Colegio Oficial de Ingenieros en Informática del País Vasco/ Euskadiko Informatikako Ingeniarien Elkargo Ofiziala ) . Pero no sólo el COIIE/EIIEO adopta el emblema establecido en dicha resolución, sino que éste se adopta también como im