Primer Informe de ENISA sobre Seguridad Informatica

por

publicado el 29 agosto 2007

Categorías: General

La Agencia Europea de Seguridad Informatica ( si, si, existe) acaba de hacer publico su informe sobre medidas/metricas de Seguridad Informatica y casos de Exito. El informe mide basicamente la precepcion de los resposables de TI, y no hace ninugn estudio cuanti ni cualitativo sobre el tema.

El informe, fue encargado a PWC por esta agencia, lo que nos da una primera y defectuosa aproximacion al mismo (sin entrar al tema de independencia) .

El estudio no habla de España. ( ni una palabra)

Una cosa que me ha llamado la atencion es la siguiente grafica:

Segun esto, la mayoria de los incidentes son detectados por «auditores» sean internos o externos ( sospechoso) . Lo cierto es que la auditoria/consultoria en medida de Seguridad Informatica ( especialmente en Proteccion de Datos) es una disciplina importante, creciente, pero con una total y absoluta carencia de regulacion (RISA no cuenta). Existen Standares internacionales ( ISO 27000, CobIT, algunos especificos de banca o militar) pero lo cierto es que ni la directiva ni la LOPD exigen ningun tipo de formacion al respecto. Un laboralista podria dedicarse a eso, sin ningun tipo de formacion especifica. Yo mismo he visto a gestores ( nominas, contabilidad, etc) que ofrecian el servicio de «inspeccion/auditoria en Proteccion de Datos cuando el gestor no sabia distinguir una tostadora de una impresora.

Pensamos debe de existir alguna regulacion (formacion especifica, actualizacion, etc) al igual que existe en la auditoria financiera para evitar estas situaciones, maximo cuando los auditores, segun el reporte, son los primeros que detectan los incidentes o posibles incidentes, ahorrando a la empresa millones en multas y mala prensa.