La seguridad y la calidad en las TIC
La seguridad y la calidad en las TIC |
|
|
|
|
| Nos proponemos en esta primera entrega del siglo XXI aportar un granito de arena para clarificar en la medida de lo posible dos conceptos frecuentemente utilizados en las TICs, ya juntos ya emparejados: los de calidad y seguridad. |
|
|
JOSÉ
DE LA PEÑA SÁNCHEZ
Auditor
Censor Jurado de Cuentas
y Licenciado en Informática info@codasic.com |
||
|
Tras la aprobación del «Plan de actuaciones INFO XXI»,
incluido en el «e-Europe: una sociedad de la información para
todos» y en el Plan de Acción Global «e-Europe 2002»,
ambos del Consejo Europeo, parece que vamos tener que formar en España
a cerca de 125.000 expertos en tecnologías de la información,
lo que va a provocar un uso intensivo por amplias capas de la población
del lenguaje, hasta ahora profesional, del mundillo de las TICs, caracterizado
por ser, en no pocos casos, una jerga, jerigonza o germanía crecientemente
trufada de términos de «spanglish», lo que contribuye
a engordar la tendencia imperante hacia el babelismo. Si esto es así
en las propias TICs, imaginemos lo que puede pasar dentro de algún
tiempo cuando se le apliquen nuevos y modernos conceptos de calidad y seguridad,
nacidos de la creatividad de nuevas generaciones de ingenieros librepensadores. Creo que procede una primera aproximación a los términos antedichos, es decir, seguridad y calidad, tan persistentemente separados por la conjunción copulativa, y a la vez –como ya se ha dicho– tan juntos, incluso en las denominaciones de algunos cargos de directivos informáticos. Calidad y seguridad no son sinónimos, pero su íntima relación los convierte en casi paranónimos. El significado último del entorno Seguridad/Seguro hay que buscarlo en la ausencia de peligro, daño o riesgo, mientras que el de Calidad/Calificado se centra en la apreciación de una cosa como pobre, buena o excelente. Pasa, sin embargo, que los llamados servicios profesionales (antes consultoría, asesoría..., en su amplia variedad) orientan su actividad según las necesidades del mercado, que pibota entre la productividad y la competitividad, y su oferta de productos/servicios se organiza en diversos grupos, según su obsolescencia y oportunidad, arrastrando en un mar de fondo ideas, conceptos, habilidades, técnicas y tecnologías: simplificación del trabajo, recursos humanos, calidad, reingeniería, medio ambiente, gestión del conocimiento, seguridad laboral, datos personales... y, por algún sitio, siempre las TICs, eso sí, con cambios de nombre: proceso de datos, informática, sistemas de información... |
||
|
El significado último del entorno Seguridad/Seguro hay que buscarlo en la ausencia de peligro, daño o riesgo, mientras que el de Calidad/Calificado se centra en la apreciación de una cosa como pobre, buena o excelente. |
||
| Calidad:
el ungüento amarillo El asunto apareció en las normas que emitían sobre productos/procesos/servicios esas extrañas entidades internacionales que son, según su denominación actual, ISO/CEI/ITU. En el contexto de la calidad tiene singular relevancia la actual serie ISO 9000: 2000 sobre Sistemas de Gestión de la Calidad, verdadero «ungüento amarillo» empresarial (y de las administraciones). Resulta público y notorio que la escasa historia y la constante evolución de las TICs con respecto a otras tecnologías más antiguas y menos aceleradas, ha impedido su presencia destacada en el mundillo de la normalización. Además, la elaboración de normas por consenso en el entorno UE/CEN-CENELEC-ETSI, y mucho más en el ya mencionado ISO-CEI-ITU, hacen el proceso lento, trabajoso y complicado en todos los frentes, incluidos los que nos ocupan. A estas alturas de la argumentación, quizá sea conveniente citar la definición de calidad recogida en ISO 9000 de diciembre 2000. Dice así: «Grado en el que un conjunto de características inherentes cumple con los requisitos»; también puede mencionarse la de ISO DIS 9000 Draft /25-11-1999: «Facultad de un conjunto de características inherente a un producto, sistema o proceso para cumplir los requisitos de los clientes y de otras partes interesadas». Por su amplitud, son útiles para casi cualquier actividad. Seguridad: entre el 0 y el 1 Vayamos ahora con la seguridad, y arraquemos con una definición interesante: «Conjunto de medidas para limitar los riesgos y efectos que implica una amenaza dada». La misma sirve para un producto, para una instalación o para un servicio, y, por añadidura, encaja con la letra y el espíritu del Reglamento de medidas 994/1999, y resulta coherente con apellidos tales como técnica, física, de la información... También puede sustentar el sutil concepto de gestión de la seguridad y, más genéricamente, de gestión del riesgo. En materia de seguridad TIC han existido iniciativas en EE.UU. (serie arco iris), en la UE (ITSEC-ITSEM) y en otros países o zonas. Hoy, y tras la reunión de ISO en Madrid de hace unos años, están admitidos los llamados Criterios Comunes, y también se ha adoptado la norma británica BS 7799 sobre buenas prácticas para la gestión de la seguridad de la información. En el caso específico de algunos productos de firma electrónica, tan de moda hoy, se registra en España un curioso desajuste en el epígrafe de la evaluación y la certificación de seguridad. Convendría aclararlo en la anunciada nueva legislación, a fin de hacer más llevadero el día a día a los prestadores de servicios, a los productores de herramientas tecnológicas y a los usuarios. Europa dirá. No me resisto a pensar que la puesta en marcha del Info XXI es una ocasión estupenda para que se concreten en España algunas normas de seguridad de TIC necesarias, máxime con el previsible aumento que parece va a registrarse en el número de usuarios de Internet y Banda Ancha. La normalización de infraestructuras, no cabe duda, es cosa muy seria. Viceversa Para finalizar, y en esta falsamente calificada a veces confrontación entre la calidad y la seguridad, daré mi modesta opinión. La primera, la calidad, se mueve entre el «hacerlo bien» -y a la primera- y el «saber hacerlo», esto es, eficacia/eficiencia. Está dicho en ISO: Eficacia: «Extensión en la que se realizan actividades planificadas y se alcanzan los resultados planificados» (saber hacerlo). Eficiencia: «Relación entre el resultado alcanzado y los recursos utilizados» (hacerlo bien y barato). Por su parte, la seguridad se encuentra más centrada en la idea de defensa y protección, bien activa, bien pasiva, bien las dos. No me satisface la definición de ISO: «Ausencia de riesgos de daños inaceptables», aunque añada la nota: «En el ámbito de la normalización, la seguridad de los productos, procesos o servicios, se enfoca en general de manera que se logre un equilibrio óptimo entre una serie de factores, incluyendo factores no técnicos como el comportamiento humano, que permita eliminar, en un grado aceptable, riesgos evitables de daños a personas y bienes». La seguridad absoluta es inalcanzable, y en la práctica todo oscila entre el 0, que es el desastre total, y el 1, que es la perfección total. Seguridad y calidad son cosas diferentes, aunque, para serles sincero, cada día que me lo planteo pienso de manera distinta. En este momento, por ejemplo, me decanto por pensar que la calidad es una manera de hacer las cosas y la seguridad, defenderlas, por lo que sería posible una calidad de la seguridad y una seguridad de la calidad, todo ello embutido en un universo normativo cuya aplicación nos lleva a la objetividad subjetiva, que es algo así como el paradigma del desconcierto. Queda para otra ocasión un asunto de gran transcendencia desde el punto de vista práctico: el de la medida (a ser posible evaluada, certificada y periodicamente revisada), tanto de la calidad como de la seguridad. Y para abordarlo, sospecho que habremos de bucear en las intrincadas relaciones en que se mueven ciertos organismos y entidades. Es un mundo éste tan contrario a la intuición como el de la física cuántica, por lo que conviene estudiarlo con el detenimiento que merece para poder hacerse un lío en condiciones. |
||
|
|
 |
|