He tratado con HIPAA, HITECH, PCI DSS, transmisiones entre bandas y sistemas seguros de grado militar, y todos ellos tienen un punto de falla común
gente
En los sistemas militares, tiene manuales, procedimientos, entrenando a los wazoo, y tipos con armas de fuego que tratan con personas que no siguen el procedimiento a la letra exacta del manual. Por lo tanto, las “consecuencias inesperadas” no ocurren muy a menudo, ya que solo opera los sistemas de software como se indica “por el libro”. Y no hay intercambio accidental de información, porque está totalmente compartimentada y seguro que no está verificando su estado de Facebook en una ventana mientras está actualizando una base de datos de logística del material a punto de enviarse a una zona de guerra al mismo tiempo.
Los sistemas civiles no tienen esos lujos. Puede entrenar a los mocosos de su personal, pero no puede entrenar la estupidez de ellos. Suena el teléfono, no hay identificador de llamadas: “Um, hola, está abajo en TI, y necesito restablecer tu contraseña. Si pudieras decirme cuál es la actual para que yo pueda hacer eso, sería estupendo …”.
No importa cuán buenas sean sus garantías técnicas si un ser humano puede arruinar las obras, y si hace que los aspectos técnicos sean lo suficientemente ajustados como para que no puedan, entonces es literalmente imposible para ellos hacer su trabajo.
Diría que sin falta, el 100% de las veces, las infracciones se producen porque alguien, evidentemente, no siguió el protocolo, o porque el “protocolo” se redujo a “algo agradable al paladar” debido a que no se puede lograr que la gente realmente tenían que hacer para mantener el sistema seguro.
Particularmente en sistemas donde se requieren auditorías independientes externas con frecuencia, como HIPAA y PCI DSS.