Cada incumplimiento dios mata un gatito

 

Una de normativas de seguridad… La semana pasada organizamos otro curso sobre el ENS. La actividad salió razonablemente bien, un enfoque práctico fundamentalmente sobre los primeros pasos de la adecuación. Al final de la última sesión se abrió un poco el debate y surgieron algunas dudas. La última pregunta que hizo uno de los asistentes a modo de despedida fue:

Pero… ¿si no cumples el ENS que pasa?

Me pareció una buena pregunta, aunque capciosa.
La respuesta os la podéis imaginar: ocurre lo mismo que si se incumple cualquier otro Real Decreto.


¿Y que ocurre cuando se incumple un RD? bien… situémonos: península ibérica, siglo XXI, reino de Españistan, Belen Esteban, el de los trajes, los de los EREs, las cajas de ahorros, el FROB y la madre que nos parió… en fin sobra decir que pasa cuando se incumple la ley. Nos vamos a preocupar ahora de una administración que no tiene política de seguridad… me da la risa y se me descuelga un güevo.

Y es que ya lo dice Supernanny… no impongas un castigo que sabes que no vas a poder hacer cumplir… Dado nuestro entorno creo que el ENS debería haber sido lanzado como metodología y no como norma por Decreto. Reforzado con medidas de apoyo a las administraciones y con una fuerte campaña de sensibilización.
Hubiera sido una buena excusa para actualizar MAGERIT con el fin de que pueda ser usada por terricolas.

La anterior reflexión es válida, suponiendo que estamos lo suficientemente desenfocados como para tener el cumplimiento legal como un fin en si mismo. Cuando desde mi punto de vista, debería ser un medio.

El fin es la correcta gestión de la seguridad dentro de una Administración Pública. Para que las personas que depositan en ella su confianza (y sus impuestos), tengan garantizado que se manejarán sus datos personales como merecen y que se les proveerán los servicios públicos con las garantías de seguridad que requieren.

Bajo esta óptica ¿qué pasa si no cumplimos el ENS? Entendiendo por cumplir: la interiorización en la médula de la organización de los principios básicos, el cumplimiento de los requisitos mínimos y la implantación de las medidas de seguridad adecuadas. Pero de verdad, no hablo de hacer el paripé del cumplimiento y el mamoneo habitual.

Pues, lo que pasará es que se producirán con más frecuencia de la admisible situaciones como:

  • que al hacer la matricula por internet para la universidad el sistema falle, no garantizando la integridad de los datos y entres en un infierno burocrático para solventar el problema
  • que vayas al médico y este no te pueda atender porque tu historia clínica telemática no está disponible
  • que tus datos personales acaben en un contenedor de reciclaje en la calle y puedan ser vistos por cualquiera
  • que el día antes de hacer la declaración de la renta la web del ministerio esté saturada y no lo puedas hacer en plazo
  • que se extienda un virus informático por una sede y tengan que usar el dinero de tus impuestos para contratar a alguien que desinfecte todo mientras la actividad de la sede se paraliza
  • que una empresa licitadora consiga información privilegiada y no se cumpla el principio de igualdad en la contratación pública
  • que tu primo el que trabaja en una delegación, te haga el favor y consulte el expediente X que afecta a tu vecino al que no puedes ni ver por curiosidad sana, ya que desde la aplicación de tramitación lo puede hacer sin dejar rastro
  • que una mafia rusa use servidores y conexiones que pagas tu con tus impuestos, para colgar una web de phising o de venta de porno por internet o un reenviador de spam.
  • etc, etc, etc, etc
Podríamos seguir, pero supongo que es suficiente.¿Qué pensáis vosotros? ¿Qué ocurre si se incumple el ENS?