The dangers of narrow scopes of applicability

Accreditation of an ISMS can give you several choices. One choice is your Risk Assessment method, another is your Scope, expressed in the Statement Of Applicability, and you can choose to leave some controls out as well, if you can explain why they don't apply to you.

Choice is generally speaking good. But for accreditation, this brings a reputation issue. The reputation of a certificate holder is as good as the market perception of the performance of the worst of all certificate holders.  Education certifications and diplomas, for example, carry more reputation the LESS choice you have in your studies, not the more choice you have. Doctors can't choose not to take Anatomy, but Arts can study nearly anything (depending on what country are you based)

The existence and significance of the Statement Of Applicability is well beyond anyone how is not a specialist. This means it is possible to choose a very narrow SOA, totally unrelated to your critical systems for the sake of getting accredited, regardless of your real information security posture. This is bad for certificate holders that choose real SOAs, as their competition can get the same reputation for a far smaller investment.  Another side effect of choice (SOA et al) is that a big financial company with several sites get as easily certified as a small technology company with only one site.  I think that is BAD, as the effort, resources and quality of implementation can be quite different. If I ran a big company I wouldn't specially like to spend a lot time, effort and resources to get a certificate that just anyone can have, doing far less.  Another side effect of wild choice  is that a big financial company with several sites get as easily certified as a small technology company with only one site. Again, I think this is BAD, as simple technology infrastructure should be simpler to secure than a complex one.

El Dilema del Burócrata

Tal y como se conduce en España, la probabilidad de que el lector hay recibido una multa por aparcar cinco minutos en prohibido, o por conducir en zona de 40 a 42 son relativamente altas. Seguro que muchas veces hemos escuchado o proferido quejas como “Pero si sólo estuve un minuto de más” o “Es imposible ir a menos de 45 en esa recta”. Pues bien, es aquí donde el dilema del burócrata nos pone, por una vez, en su piel. La arbitrariedad de los límites burocráticos, como a partir de que ingresos se ofrece una subvención, o a partir de que altura se puede ingresar en la policía es en la práctica inevitable. Si, por ejemplo, a una persona que midiera una centímetro menos del mínimo se le admitiera en la Policía Nacional, todas las personas que midiesen igual serían admitidas, dado que la ley debe ser igual para todos. Eso convierte en efecto a ese centímetro menos en la nueva altura mínima. No tardará una persona que mide justo dos centímetros menos que el antiguo mínimo en pedir el ingreso, argumentando que es sólo un centímetro más bajo. El proceso continua hasta que no existe ninguna altura mínima. Luego la postura del burócrata es la de poner un límite, sabiendo que es arbitrario, y atenerse a él por absurdo que sea, dado que la alternativa es que no exista ningún límite. Tomar decisiones basadas en criterios objetivos simples implica con frecuencia imponer criterios inflexibles que pueden, y de hecho dan, lugar a situaciones paradójicas.

En el caso de la seguridad, el dilema del burócrata se ve agravado por el hecho de que la seguridad es un entregable negativo. La ausencia de incidentes por un periodo prolongado nos lleva a pensar que estamos seguros. Si vivimos en una ciudad en la ni nosotros ni nadie que conozcamos hay sido nunca atracados, nos sentiremos seguros, por ejemplo.

Existe una relación indirecta entre la actividad de seguridad y los objetivos de seguridad. Intuitivamente la mayoría creemos que hay una relación directa entre lo que hacemos (nuestros resultados) y lo que queremos conseguir (nuestros objetivos). Esta creencia la alimentan experiencias como hacerse un sándwich. Compramos los ingredientes, vamos a casa, los cortamos y apilamos, quizá incluso lo tostamos y, ¡ya está!: Un sándwich listo.

Por desgracia esta relación no es siempre directa. En el caso de la Investigación no hay una relación directa entre objetivos (descubrimientos) y la actividad (experimentos y publicaciones). Se pueden intentar cientos de experimentos y aún así no encontrar una cura para el cáncer. Lo mismo pasa con la seguridad. Los objetivos (confianza, seguridad), y la actividad (controles, procesos) no están directamente relacionados.

¿Cómo afectan estos dilemas al cumplimiento normativo? Las leyes y reglamentos intentan expresar con precisión a qué esta uno obligado, de modo que la Agencia Española de Protección de Datos pueda determinar cuando se está incumpliendo la ley para imponer la sanción correspondiente. Pero no sólo los requerimientos son arbitrarios (¿Cuánto bits de longitud de clave son insuficientes?), si no que los requerimientos no garantizan el resultado que busca la ley. Una empresa puede cumplir íntegramente con la LOPD, y a pesar de ello sufrir un incidente en el que se divulga información personal especialmente sensible.

La Ley y el Reglamento dicen qué medidas deben tomarse para proteger la información, esto es legislan la actividad, pero no legislan el objetivo. Si se legislara el objetivo, entonces la Ley debería establecer un límite burocrático sobre el número o cantidad de información personal que es tolerable perder al año; pero no lo hace.

La Judicatura no determina la culpabilidad únicamente por la tipicidad, sino que utiliza criterios como la naturaleza de los derechos afectados, la intencionalidad, la reincidencia y los daños y perjuicios ocasionados, entrando en lo podríamos llamar “el espíritu” de la ley.

Esta situación tiene un doble efecto; Por un lado una organización entiende que no necesita ir más allá de la actividad exigida por la ley para proteger su información personal. Por otro lado, en caso de un incidente la organización que cumple con las medidas que marca la ley entiende que queda exenta de responsabilidad dado que puede demostrar que ha cumplido con ella.

Para resumir, la unión del dilema del burócrata con la falta de relación directa entre la protección de la información y la seguridad de esa información, nos lleva a una situación perversa; algunas organizaciones se ven obligada a invertir de más para cumplir con la letra ley, cuando con una inversión inferior podrían cumplir con la intención de la ley; mientras otras organizaciones se paran mucho antes de la meta, dado que el cumplimiento con la letra les exime de responsabilidad por no cumplir con el espíritu, que sería el de tomar todas las medidas necesarias para proteger los derechos del ciudadano.

Esta no es una situación sencilla de resolver; en USA han tomado la medida de obligar a las empresas a declarar la pérdida de información de clientes, en la esperanza de que los posibles efectos negativos de esas declaraciones les fuercen a proteger su información, por la fuerza del mercado, de una forma más efectiva. Sólo el tiempo dirá si esa aproximación es más o menos efectiva que la Europea.

Pages