Es habitual encontrar empresas, pequeñas y no tan pequeñas, en cuyos departamentos de sistemas viven algunos sistemas, con uso productivo, que llevan años sin someterse a ninguna actualización de versión o parcheado. Tenemos, por tanto, entornos cuyos sistemas operativos, motores de bases de datos o paquetes de aplicaciones se encuentran en una versión no soportada por el fabricante o con un nivel de parche insuficiente.
¿Qué riesgos se corren y por qué se asumen?
En muchos casos, los CTO, Directores de TI o Responsables de Informática de las empresas deciden dejar de pagar los servicios de soporte y mantenimiento del producto a los fabricantes, con la idea de aligerar en cierta medida los presupuestos de TI.
En otros casos el tamaño de los departamentos de TI impiden que el personal asignado tenga tiempo material de atender todas las tareas que tienen encomendadas:
- Administración de los sistemas y bases de datos.
- Mantenimiento de las aplicaciones: corrección de incidencias y evolutivos de funcionalidad desarrollada a medida.
- Nuevas implantaciones.
- Etc.
Sin embargo, se están asumiendo varios riesgos:
- No tener posibilidad de soporte por parte del fabricante en caso de tener alguna incidencia sobre cualquiera de estos sistemas con impacto en el negocio de la empresa.
- No tener los sistemas preparados, especialmente las aplicaciones, para cambios de regulación o legales que exijan nueva funcionalidad; obligando a contratar un servicio específico o teniendo que renegociar de urgencia un contrato de mantenimiento para optar a la implantación de mejoras incluidas en la funcionalidad estándar de las nuevas versiones.
- Estar indefenso ante ataques externos o internos a través de vulnerabilidades solucionadas en versiones o niveles de parche posteriores.
Impacto potencial de esos riesgos
Estos riesgos pueden llevarnos a diferentes situaciones muy delicadas:
- Caída del servicio dado por esos sistemas y, por tanto, impacto sobre los procesos de negocio que soporten.
- Incumplimiento legal o normativo y posibles sanciones.
- Robo de información sensible desde el punto de vista comercial o de protección de datos personales.
Impacto garantizado
Los directores de TI temerarios que se encuentren en esta situación de obsolescencia de manera premeditada pueden creer que les compensa el riesgo, ya que la probabilidad de que se materialicen es baja, el impacto, en caso de producirse, no sería muy catastrófico y, el ahorro que consiguen anualmente para la empresa es notable y le permite hacer virguerías con el presupuesto que tiene su departamento y evitar llorarle al CEO, Director General o Director Financiero de turno.
Puede que tenga razón, pero lo que seguramente no haya pensado es que ¡puede estar incumpliendo la ley! Y le puede costar el puesto.
Será así, si su sistema contiene información de cualquier tipo sujeta a la LOPD (Ley Orgánica de Protección de Datos).
Como indica la ley en su artículo 9.1, relativo a la seguridad de los datos:
El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
Y de conformidad con lo dispuesto en el artículo 44.3.h), respecto a los tipos de infracciones, constituye infracción grave:
Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.
La ley es clara: si no se implementan las medidas de seguridad que permita la tecnología actual que garanticen que los datos de carácter personal que residen en el sistema no sean accedidos por personas no autorizadas se estará cometiendo una infracción grave, con su correspondiente sanción.
¡¡Me sorprende que las empresas proveedoras de los contratos de soporte y mantenimiento no hagan uso de esta información para forzar la renovación de los servicios!!
El coste de cumplir la ley y la nueva tendencia
Cumplir la ley es caro, sin duda. No sólo hay que tener los entornos actualizados y parcheados, mantener los contratos de soporte o mantenimiento que nos permitan tener actualizaciones de los productos, tener un equipo de TI o contratar los servicios para administrar estas plataformas y aplicaciones y conseguir que estén actualizadas, mantener al equipo formado, tener una política de seguridad y gestión de sistemas adecuada, actualizar las infraestructuras para tener la potencia de hardware necesaria para ir soportando las nuevas versiones de productos, que suelen conllevar mayor consumo de recursos, invertir en los elementos de seguridad que impidan «un escape» de datos que dañen la reputación de la empresa y la dejen a merced de las posibles sanciones de la Agencia Española de Protección de Datos y de las pérdidas económicas que pueda suponer la fuga de datos o la indisponibilidad de los sistemas.
No es extraño, por tanto, que cada vez más empresas tiendan, no sólo a la externalización de los servicios de administración, sino a apostar por el movimiento a cloud computing de todos sus entornos, garantizándose una actualización permanente de sus entornos, no tener que preocuparse por la formación adecuada de sus equipos de TI, una gestión de seguridad adecuada y sabiendo de antemano el coste fijo que le supondrá cada nuevo usuario o aplicación.
La AGPD podría activar el mercado de los servicios TI
La Agencia Española de Protección de Datos no está siendo garante de la Ley Orgánica de Protección de Datos, al menos no al nivel que se podría esperar. Sólo sanciona casos extremos de incumplimiento o casos derivados de alguna denuncia. Sin embargo el incumplimiento o cumplimiento parcial de la ley es extensivo en toda España, a todos los niveles empresariales: PYMES y grandes corporaciones. Indudablemente una campaña más agresiva de inspecciones provocaría una revitalización inaudita de los servicios asociados a las TI.