Desde siempre, exactamente allá por 1997 año en que superé el examen CISA, he sentido curiosidad por todo aquello que implica la adhesión a códigos de conducta y/o ética que prácticamente todas las entidades certificadoras requieren. Para ser sincero debo confesar que en muchas ocasiones he estado con colegas de profesión que en mayor o menor medida respetan las mencionadas normas. Me gustaría aclarar que en esencia se vulnera el deber de secreto y/o confidencialidad aunque siempre con una finalidad no fraudulenta, se trata simplemente de exponer vivencias, experiencias, casos de éxito y/o fracaso, curiosidades, etc. En resumen, desde mi punto de vista no se falta para nada a la ética y buena conducta profesional, aunque en esta vida, como sabéis, todo es relativo.
Lo que realmente me tiene "preocupado" es la verdadera utilidad de estos decálogos y, por tanto, la aplicación de medidas disciplinarias en caso de incumplimiento o vulneración de los mismos.
Con objeto de conocer la realidad nos hemos puesto en contacto con ISACA, ISC2 y EC-COUNCIL para intentar averiguar de primera mano cual es la aplicación práctica de sus respectivos códigos. Básicamente y sin rodeos hemos preguntado sobre la cantidad de incumplimientos de los códigos y las acciones que se han emprendido contra los miembros implicados. Obviamente hemos enfatizado que únicamente nos interesan datos estadísticos, para nada queremos saber los nombres y apellidos de los afectados, tampoco nos los hubieran facilitado (ante todo confidencialidad!). Esta extraña petición la hemos justificado como imprescindible para la elaboración de un estudio sobre la seriedad y prestigio de las distintas certificaciones de seguridad.
Antes de solicitar la información hemos intentando, sin éxito, localizar información, tanto oficial como paralela, por la red. Por ejemplo, en la web de ISACA figura un Annual Report del año 2007 que no dice nada relativo a este tema. Tanto en la web de EC-COUNCIL como de ISC2 tampoco hay nada sobre este tema.
Pues bien, debemos decir que las "respuestas" no nos han sorprendido demasiado. Como era de esperar, ninguna de las instituciones mencionadas nos han facilitado datos. Dicho esto, comentar que no nos explicamos lo sucedido ;-) y creemos que no han respondido por alguno de los siguientes motivos:
- no hay nada que comentar puesto que no hay ningún control y/o seguimiento sobre el cumplimiento de los códigos
- a pesar de los exhaustivos controles que se llevan a cabo no se ha detectado ninguna violación del código por parte de ninguno de los miembros certificados
- hay tal cúmulo de medidas disciplinarias que tienen pavor a hacerlas públicas, aunque eso en el fondo les honraría
- "de qué van estos panolis (nosotros!) haciendo este tipo de preguntas", suponemos que aún se están riendo............ :-)
En el fondo creemos que se han hecho un flaco favor a ellas mismas ya que, al menos en nuestro caso, interpretamos que poco o nada se hace al respecto. Sinceramente creemos que si tienen por objeto mantener y/o alcanzar cierto prestigio, reconocimiento, etc. deberían actuar en consecuencia y velar por el cumplimiento de los distintos códigos éticos. Si realmente se toman medidas disciplinarias (revocar certificados) y/o se realizan advertencias serias a los diversos miembros creemos que publicitar este tipo de actuaciones, además de dignificar al sector, sería todo un ejemplo a seguir en materia de credibilidad, transparencia y profesionalidad.
En fin, si algún día de estos nos responden (confiamos en que todavía están recopilando montañas de datos), os mantendremos informados.......
PD. Esperemos que nuestros nombres no aparezcan como candidatos "aleatorios" a someterse a una auditoría del certificado ...... será casualidad o causalidad ?
Relación de algunos códigos éticos:
ISACA - Code of Professional Ethics
CITA DEL DIA: "y recuerda que la seguridad no existe, es sólo una sensación .............."
1 comentario:
Si bien a la hora de escribir la entrada ninguna organización se había puesto en contacto con nosotros, ahora podemos decir que ISC2 si, mediante una nota muy "diplomática" nos informan que al año reciben de 4 a 8 "denuncias y que su comité las estudia y actúa según su criterio.
Publicar un comentario