Amedeo Maturo

Protección de Datos y Administración Electrónica

Volkswagen, compliance y auditores de seguridad

Hace unos días, salió a la luz el escándalo de los falsos resultados de emisiones de C02 de los motores diesel de los coches del pueblo (traducción literal de la marca alemana). Ya han bautizado al asunto como el «dieselgate«.

Para enterarme mejor de cómo se había llevado a cabo el elgaño, acudí a la mejor fuente sobre el asunto (y, en general, en mi opinión, sobre cualquier cosa), es decir, acudí a la BBC.

En este reportaje (por entero, en inglés, aquí: http://www.bbc.com/news/business-34857404), se demostró que los motores diesel de Volkswagen tienen en la centralita electrónica un simpático software que es capaz de detectar si el motor del coche está en modo test o si está circulando libremente por una carretera.

En el caso en el que el software detecta que está en modo test, la centralita manda al motor funcionar de una determinada manera y así, emitir un volumen de C02 aceptable para los parámetros de controles de emisiones UE y USA.

Al contrario, cuando el software detecta que el coche está circulando por una carretera convencional, la centralita da manos libre al motor para emitir el C02 que le dé la gana, premiando las prestaciones sobre la seguridad medioambiental.

¿Y qué tiene que ver esto con la Seguridad de la Información?

Pues, sí tiene que ver, y mucho.

En el reportaje, hay una frase del Sr. Ted Foreman, especialista inglés en la realización de controles a vehículos, que me ha llamado la atención y que lo explica todo. En una traducción libre, este señor dice:

«Hemos realizado controles equivocados, con métodos equivocados, a lo largo de demasiado tiempo«.

Ahí está la clave, es decir, en los controles de Compliance.

Como Auditores de Seguridad, cuando realizamos los controles, cogemos nuestro librillo y realizamos una serie de comprobaciones tipo check-list. El resultado es una serie de «sipi» y «nopi«, similar al control que realizan los niños cuando se intercambian cromos (creo que todavía lo hacen). Pero raras veces nos paramos a pensar cómo funcionan los controles en la vida real de la empresa.

Como Auditor de Seguridad, si no valoramos los controles reales, y nos limitamos a realizar un check-list, corremos el riesgo de realizar controles equivocados, con métodos equivocados. Obviamente, en estos casos, los resultados podrán ser satisfactorios para la empresa y los CEO’s podrán apuntarse un tanto, pero la realidad será bien distinta. Sólo ayudaríamos a la empresa a engañarse a sí misma y a sus propios clientes.

 

Qué hemos aprendido de Volkswagen

  1. Eres Auditor de Seguridad: eso quiere decir que no puedes fiarte de los datos que la empresa te suministra.
  2. No puedes realizar sólo controles tipo check-list: corres el riesgo de perderte algo importante que no está en el listado de cosas a verificar.
  3. Piensa out of the box (no se me ocurre traducción al castellano, lo siento): una vez completado el protocolo, sáltatelo e intenta realizar pruebas en un escenario real. Es muy posible que los resultados de la Auditoría sean muy distintos a los esperados.
  4. Si los resultados de la Auditoría no son acordes a lo esperado, no tengas miedo de decirle a tu cliente que aquello es una porquería. Si el cliente es inteligente, lo entenderá; si no, no merece la pena que sigas teniendo un cliente estúpido porque, tarde o temprano, la estupidez te contagiará.

Categoría: Auditor de Seguridad, Compliance, Seguridad, Seguridad de la información

Etiquetas: , , , ,

Deja un comentario

Archivos

Temas