Nuevo encuentro de Gobernanza de TI con Manolo Palao, su sana ironía y su buen humor (particularmente presentes en el Texticulillo™ de hoy). ¡Están Uds., tan sólo, a unas lineas de comprobarlo!
Fiel a su compromiso con los objetivos de esta bitácora, Manolo desarrolla su análisis, un vez más, en torno a uno de los principios generales del Buen Gobierno Corporativo de las Tecnologías de la Información: la conformidad.
El mundo de la regulación resulta prolífico. Sirva, como ejemplo, el caso de España: aquí, el número de reglamentaciones que pretenden guiar -las más de las veces, limitar- las actividades de ciudadanos y organizaciones se cifra, según los expertos, en miles, decenas de miles -hay quien eleva ese número por encima del centenar (de miles)-.
Esa miríada de normas es un claro reflejo de la aparente «alegría» con que el regulador de turno ejerce su función. Otra prueba de tal «alegría» puede encontrarse en la existencia de no poca reglamentación ambigua, sujeta a interpretación, y, por tanto, de dudoso, cuando no difícil, cumplimiento. A ello se refiere Palao en su exposición.
Como apuntara, en relación al relevante papel de la conducta humana en el Gobierno Corporativo de TI, el destacado académico e investigador del MIT, Peter Weill, «de poco sirve definir sistemas de gobernanza formales, si no se siguen«. Cabría, con toda humildad, parafrasearle diciendo «de poco sirve definir [complejas] reglamentaciones, si no se pueden seguir«.
Texticulillo™ nº 13: Perfiles y Auditoría de Sistemas (1)(2)
Un día de estos me tengo que pasar por el centro de salud a que me hagan una analítica porque debo tener la perplejidad muy baja de densidad. Tan baja, que me sumo en ella sin poder salir a flote; y, si consigo seguir respirando, es gracias a lo largo que tengo el snorkel.
Una de las inmersiones más profundas que he hecho en mi perplejidad -y en esa fosa abisal continúo- fue la primera vez que leí el punto 4 del Artículo 4 del Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad [RMS, en breve] de los ficheros automatizados que contengan datos de carácter personal de la LORTAD (3), que reza:
“[…] 4. Cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo deberán garantizar las medidas de nivel medio establecidas en los artículos 17, 18, 19 y 20”.
RMS que la vigente Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantiene en vigor (4), en virtud de su Disposición transitoria tercera.
Y yo me pregunto ¿qué es «un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo«?
Y como no me doy respuesta, me sumo unas brazas más en mi perplejidad -¡y estiro el snorkel!-.
Quizás el legislador podría haberlo aclarado, o aclararlo, pero -ya se sabe- su densidad de perplejidad es inferior a la de la madera de pino oregón (0,50 Kg./litro); o sea, que flotar le resulta chupao.
Creo firmemente que, para opinar sobre la «evaluación de la personalidad«, habría que convocar -y desde aquí, con mi limitado oxígeno, lo hago- a los psicólogos, psiquiatras, psicoanalistas -incluso lacanianos- y evaluadores de aura -sin pretender ofender a nadie con una lista tan heterogénea-.
Entretanto, los expertos en CRM (Gestión de Relaciones con Clientes), terminales de punto de venta, minería de datos, cookies y e-commerce van obteniendo, archivando, actualizando y gestionando cientos de millones de “perfiles” de usuarios.
Lo del perfil tampoco me gusta mucho: ¡salgo mejor de frente!; y, además, siempre me recuerda la pareja de fotos, con las cotas de estatura al fondo, y un cartel con un número en el pecho, que la tele y el cine nos han mostrado reiteradamente. ¡Esperemos que pronto lo hagan con todos los que se lo merecen!
El perfil es una «evaluación pragmática» del comportamiento histórico de un individuo. (Suficiente para los intereses de quien lo elabora, y sin llegar, con mucho, a una «evaluación de la personalidad»).
El uso generalizado del perfil debería disminuir el spam (e-mails intrusivos) -por aquello de aumentar la focalización (segmentación)-; pero eso requiere lograr perfiles adecuados, si no excelentes. No es mi caso, ya que sigo recibiendo e-mails que dicen: “Manuel: Consiga, en quince días, unos pechos más grandes y firmes”. Alternados con otros que me ofrecen un alargamiento del 25% del … snorkel. Está claro que no sólo es un problema de perfil, sino de frente. O de opción.
La empresa finesa Davisor ha publicado, no hace mucho, unos documentos interesantes sobre perfiles.
Hoy hay tecnología disponible para ocultar el perfil, pero es todavía engorrosa para el gran público. La otra alternativa es vestir de burka. Bajo la burka tod@s seríamos iguales, sin perfil -pero se liga menos, o con menos ilusión-.
Los ASITIC (5) tienen la formación, experiencia y sensibilidad para tratar seriamente estos temas. Plantéese sentar uno a su mesa (antes de Semana Santa).
Hay también, a lo que parece, una movida que -por intereses espurios- defiende que cualquiera, mayor de edad, con una cierta titulación -mínimo carné de conducir-, puede realizar una ASITIC (haciéndose acompañar, si fuera -a su juicio- necesario, de un experto, bajo burka). No se fíe Ud. y, en este caso, si lo sienta a su mesa, asegúrese de no ser Ud. quien prueba el primer bocado.
Artículos relacionados
- Continuidad del Negocio y Auditoría de Sistemas (por Manolo Palao)
- DC y Auditoría de Sistemas (por Manolo Palao)
- San Agustín y la Auditoría de Sistemas (por Manolo Palao)
- El Burro Flautista y la Auditoría de Sistemas (por Manolo Palao)
- Riesgo y Auditoría de Sistemas (por Manolo Palao)
- Fraude y Auditoría de Sistemas (por Manolo Palao)
- Evidencia y Auditoría de Sistemas (por Manolo Palao)
- Competencia y Auditoría de Sistemas (por Manolo Palao)
- Independencia y Auditoría de Sistemas (por Manolo Palao)
- Teseo y la Auditoría de Sistemas (por Manolo Palao)
- Juvenal y la Auditoría de Sistemas (por Manolo Palao)
- Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
- Promoviendo el Buen Gobierno Empresarial [… ¿de las TI?]
(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.
(2) Publicado inicialmente en el invierno de 2002 a 2003 por la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA) -hoy, Capítulo 183 de ISACA-.
(3) En la legislación española, Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal que mantuvo su vigencia hasta el 14 de enero de 2000, tras su derogación por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
(4) El autor hace referencia a la coyuntura legal existente en el año 2002. La circunstancia mencionada en el texto cambia tras la publicación del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, que deroga el anterior RMS.
(5) Auditoría/Auditor de Sistemas de Información y Tecnologías de la Información y las Comunicaciones.