28 marzo 2010

Cumplimiento normativo vs seguridad

Por las experiencias de la vida diaria sabemos que si no nos ponen una serie de normas escritas y de obligatorio cumplimiento, los seres humanos actuamos de la forma que el sentido común nos dicta (algunos no sé si llegaron a encontrar ese sentido común en algún sitio pero bueno). Si no nos dicen que la velocidad máxima en una autopista es 120 km/h el sentido común nos diría que en algunos casos podemos exceder el límite con total garantía. Sin embargo, esa ley, aunque obsoleta y basada en las capacidades de seguridad de los vehículos de los años 80, no se ha actualizado ni a las infraestructuras actuales ni a las mejoras de seguridad de los vehículos.

Hace tiempo leí en una discusión de un grupo LinkedIn al que estoy suscrito algo que suscribe una conclusión a la que llegué hace tiempo: en el caso de las empresas ¿se ponen los medios y recursos únicamente para cumplir con las normativas de seguridad que les exige el sector o realmente les preocupa el valor de la información que manejan?

Las empresas, amenazadas por las leyes sobre el tratamiento de la información, desarrollan metodologías de protección de datos a fin de evitar las brutales multas que, desgraciadamente en menos ocasiones de las que deberían suceder, las autoridades imponen cuando se detectan irregularidades con la información de los usuarios/clientes.

La comparación entre las empresas y el ejemplo del límite máximo de velocidad de las autopistas tiene bastante que ver. Es decir, que los conductores respetemos el límite de 120 km/h (cuando el sentido común lo indica) para evitar las multas que la DGT impone "por nuestra seguridad" (aunque todos tenemos claro el porcentaje recaudatorio de estas medidas); de la misma manera, las empresas no se preocupan (en una gran cantidad de ellas) de la seguridad de los datos que gestionan, así como del establecimiento de buenas prácticas basadas en la seguridad como principio fundamental para el tratamiento de los mismos. El objetivo que les mueve es el cumplimiento de las normativas vigentes en cada sector/país para evitar sanciones: nada más.

Afortunadamente, aun quedan empresas compuestas por personas con vocación y motivación suficiente, que puestos a implantar una herramienta de seguridad (cortafuegos, IPS, WAF, correlador de eventos, etc,...) no sólo se guardan en un cajón (físico o digital) los informes y/o logs que proveen como resultado para cuando alguien los pida, sino que además se analizan y se impulsan acciones de mejora. Sin embargo, hay otras que se limitan a rellenar la checklist de cada normativa con ¿contáis con un dispositivo para mitigar el riesgo X? Sí, aunque el equipo esté apagado, mal configurado o funcione en modo router sin filtrar ningún ataque.

En el caso de los conductores, el disponer de carreteras con rectas interminables y que sus vehículos no pasen de las 3000 rpms para ir a 120km/h, provoca cuanto menos aburrimiento, monotonía e incluso sueño. Esto, lejos de mejorar la seguridad vial, desde mi punto de vista, genera nuevos riesgos. Quizá el límite debería venir marcado por más parámetros que el tipo de vía, sino, condiciones climáticas, edad del coche, años de carnet del conductor, etc,...

OFFTOPIC: Hay iniciativas como Movimiento140.com que piden un aumento bastante sensato en los límites de velocidad.

6 comments :

Román Ramírez dijo...

Yo veo una diferencia clara entre la acción de un invididuo y la de una organización.

Como individuo, se toman decisiones con mayor o menor riesgo sin tener una percepción real de éste o, simplemente, creyendo que nuestras capacidades personales exceden como para "obviar" una norma("Yo controlo"). Así, a pesar de contar con la cultura necesaria sobre el riesgo de ir a alta velocidad, todavía hay mucha gente que conduce a más de 180 km/h, por el "yo controlo".

En cambio, las organizaciones funcionan por otros parámetros. Asumiendo un único indicador, el económico, podemos predecir fácilmente lo que una organización va a hacer de acuerdo a una norma o patrón regulador.

Si la aplicación de la norma cuesta 20 y la no aplicación de ésta implicará una sanción de 12 (sumado el perjuicio en imagen estimado y otros costes no evidentes), la organización, con toda probabilidad no aplicará esa norma.

Si la sanción, en cambio, implicara un coste directo de 21 y un coste reputacional valorado en 3 unidades, así como costes indirectos de 4... la organización abordaría, sin duda, las mejoras necesarias para cumplir la norma (es evidente que pagar 20 es menos que pagar 28).

Como último comentario... ¿qué ocurre cuando cumplir con la norma implica unos costes de mantenimiento anuales que a medio-largo plazo nos van a hacer pagar más? (por ejemplo, la sanción es de 12 cada año, pero los costes de mantenimiento son de 13).

Lorenzo Martínez dijo...

@Román -> Como individuos que somos. ¿Has estado alguna vez en Alemania? ¿Has ido por la Autobahn? Ojo que no promuevo en ningún momento el "no limits" pero sí que digo que 120 me parece poco y que está pensado para recaudar dinero por lo fácil que es pasarse de tal límite. ¿Qué se logra con medidas como el carnet por puntos por ejemplo? Acojonar aún más al personal y por supuesto que provocar sueño :D

Como empresa, estoy de acuerdo contigo en que lo que se mira es no sólo el coste por la sanción versus el coste de implantación de la medida y el mantenimiento anual de la misma, sino la probabilidad de que ocurra el incidente para decidir si merece la pena mitigarlo o asumirlo.

Sin embargo, pienso que no se asignan cifras reales a daños muy importantes como la pérdida de clientes por mala imagen. Cuando un escándalo sale a la luz por un fallo de seguridad, la cantidad de clientes que dejan de comprarte o de irse a la competencia, ¿cómo lo cuantificas?... Qué es mejor entonces, provisionar dinero para fraude o evitarlo?

Román Ramírez dijo...

@Lorenzo Pero claro, las autobahn alemanas cuenta con una cosa: el modelo cultural alemán. Y en Suiza ocurre algo similar...

No quiero imaginar una política similar en España :D ¿de verdad crees que el modelo de conciencia social que existe en países como Alemania o Suiza es comparable con el español?

Yo veo muchos fallos de análisis en diversas limitaciones que se aplican (como bien señalas tú, normas ad hoc con intenciones recaudatorias o, simplemente, mal pensadas), pero por otro lado, las normas tienen mucho que ver con la orientación cultural de la sociedad donde se aplican.

Si pones un límite de 140 en carreteras españolas, el conductor medio circulará a 190 siempre que pueda.

Por otro lado, ¿de verdad se pierden clientes por "escándalos" de seguridad? Si fuera por eso, los sistemas operativos no tendrían base de usuarios y es todo lo contrario, aumentan en base (y aquí meta usted Debian, Windows, Mac OS, TODOS).

Nadie pagaría con tarjetas de crédito (al final, el medio de pago no es más que otra organización que presta servicio), productos alimenticios etc.

Sinceramente, las empresas tienen perfectamente claro cuánto cliente real y cuánto potencial se puede perder por estas cosas... por eso, a muchas, les importan un huevo.

Solamente la sanción y un regulador fuerte hacen que se impliquen...

Mira casos como Exxon Mobile y los temas medioambientales, mira Enron vs Arthur Andersen, mire usted otras BigN y empresas de inversión...

Al final, como sabiamente dice Bruce Schneier, la seguridad es un tema de dinero, coste vs beneficio, coste inversión etc.

Premisa de Empresa: Si A es más barato que B y generaré el mismo beneficio o superior, pago por A ;)

Entra en juego el regulador: Pero si elijo A y el regulador me sanciona con C, de forma que A + C > B, las cosas cambian, por lógica las empresas optarán por B.

Lazamazu dijo...

Reduciendo la velocidad se ha conseguido reducir muchísimo la cifra de muertos por accidentes de tráfico. Menos velocidad, menos muertos. ¿Qué es lo que no se entiende de esta realidad, velocidad, muertos, o las 2 cosas?
Yo alucino con lo inconsciente que puede llegar a ser el ser humano.

Lorenzo Martínez dijo...

<OFFTOPIC>
@Lazamazu -> ¿reducir la velocidad? Pero si no se ha reducido (ni aumentado) en más de 30 años. ¿Me quieres decir que tienes la misma seguridad con un coche de hace 30 años (los míos,... un Seat 127, un Simca 1000, un Citroen AX/BX/CX) que con los coches de ahora?
Lo mismo es aplicable a las infraestructuras. Reducir la velocidad ayuda a que haya menos accidentes/muertos... mejorar las carreteras también. Creo que dado el conjunto vehículos/vías actual, poner el límite en 140 (en situaciones de visibilidad completa, sin lluvia/nieve/niebla/granizo) no sería ninguna locura. El ejemplo: Alemania.
</OFFTOPIC>

Usé el ejemplo de los límites de velocidad, comparándolo con normativas puestas a empresas, que se preocupan más de las sanciones en caso de no cumplirlas, que de la seguridad en sí (y si no mira los coches que se ven por ahí que se caen a trozos, con la ITV perfectamente "pasada").

deltonos77 dijo...

...esto, me he perdido,habeis derivado en una discusión digna de foro coches :-P, Lorenzo, regresa a la senda!!
La discusión es:
- las empresas toman medidas para pasar el trámite? las que van a 120 justos y arriesgan hasta 140/m/h. El Firewall de rigor, un IDS decente, y las tipicas auditorias de Ernesto el Joven de la Corbata firmame-aquí (Sin ofender a nadie, pero ya saben por donde voy, no tan teechie ni hackie)


- Van demasiado precavidos? de 100 a 60 Km/H . Además de lo anterior,que me entren hasta la cocina.Aprender de los errores, y realizar los correspondientes planes de contigencia teniendo a todo el mundo con "mentalidad de seguridad".

- O son los vivalavidaqueaminomepasanadayyocontrolo: 150 km/h en adelante.Las famosas cajas de zapatos con la palabra Firewall pintada por encima.
Ahora, como dirian en meneame, frianme a negativos!
Saludos!