Primer Informe de ENISA sobre metricas de Seguridad Informatica

La Agencia Europea de Seguridad Informática publico un informe sobre medidas / métricas de Seguridad Informática y casos de Exito.

El informe mide básicamente la precepción de los responsables de TI, y no hace ningún estudio cuanti ni cualitativo sobre el tema.

Presentamos a continuación, los comentarios del Lic. David F. Mena editor de Iurismatica sobre el informe:

Una cosa que me ha llamado la atencion es la siguiente grafica:

Segun esto, la mayoria de los incidentes son detectados por “auditores” sean internos o externos (sospechoso) . Lo cierto es que la auditoria /consultoria en medida de Seguridad Informatica ( especialmente en Proteccion de Datos) es una disciplina importante, creciente, pero con una total y absoluta carencia de regulacion (RISA no cuenta). Existen Standares internacionales ( ISO 27000, CobIT, algunos especificos de banca o militar) pero lo cierto es que ni la directiva ni la LOPD exigen ningun tipo de formacion al respecto. Un laboralista podria dedicarse a eso, sin ningun tipo de formacion especifica. Yo mismo he visto a gestores ( nominas, contabilidad, etc) que ofrecian el servicio de “inspeccion/auditoria en Proteccion de Datos cuando el gestor no sabia distinguir una tostadora de una impresora.
Pensamos debe de existir alguna regulacion (formacion especifica, actualizacion, etc) al igual que existe en la auditoria financiera para evitar estas situaciones, maximo cuando los auditores, segun el reporte, son los primeros que detectan los incidentes o posibles incidentes, ahorrando a la empresa millones en multas y mala prensa.

Fuente: Iurismatica, Derecho de las Tecnologías de la Información y Telecomunicaciones