Si quieres mi opinión, no había solución. El modelo que a mi me hubiera gustado es:

1. Decreto con política de seguridad muy abstracta: principios básicos, organización de la seguridad (responsables, comités) y competencias de respuesta a incidentes (CCN-CERT).

2.- Programa de concienciación y formación en condiciones para todas las administraciones.

3.- Auditorías y control de incidentes.

4.- Penalización y castigo a los responsables organismos donde se produzca un incidente que genere perjuicios a ciudadanos.

Es una utopía, creo que podría funcionar hasta el punto 3 con mucho esfuerzo de los profesionales que trabajan en las administraciones. Pero al llegar al punto 4…

Un punto clave en la gestión de la seguridad es la RESPONSABILIDAD y parece que los ciudadanos no exigimos responsabilidades en cuanto a la seguridad de nuestros datos y servicios públicos… que la vamos a hacer…

Yo conozco mucha gente que está viendo un canal de TV malo pero dice “es que no hay otra cosa”. Pero sí hay otra cosa, está la opción de apagar la tele.

La verdad es que entiendo que es complejo establecer una referencia en seguridad para que los organismos la cumplan. Si siquiera el NIST ha sabido hacerlo bien.

A lo mejor la solución no es un documento para gobernarlos a todos. Seguro que hay otras alternativas. ¿Qué hacen en otros ámbitos?

Pero ¿qué otra cosa se podía hacer?