El ordenador de Spanair infectado de troyanos y la opinión de los colegios profesionales de informática

Según varias noticias, el ordenador de Spanair en el que anotaban las averías en los aviones estaba infectado de software malicioso, troyanos, cuando se produjo el accidente del JK 5022, avión que se estrelló en Madrid Barajas hace 2 años y en que murieron 154 personas. Los troyanos dificultaron que los mecánicos pudieran anotar las tres incidencias previas que había tenido el avión antes de estrellarse y que hubieran impedido su despegue. Un ordenador que cuando los empleados trataron arrancar estaba inservible .
Y la opinión de los Colegios Profesionales de Ingeniería e Ingeniería Técnica Informática no se ha hecho esperar: “es urgente la necesidad de regulación del sector de la informática en beneficio de la seguridad física de los ciudadanos”. Según una nota de prensa emitida por el Colegio Profesional de Ingenieros en Informática de Castilla y León es “necesario que haya leyes que regulen el desarrollo, mantenimiento, explotación y auditoría de dichos sistemas, de modo que se proteja a la sociedad ante sus posibles fallos”. El actual vacío legal legitima el intrusismo, es “el poder político el responsable de que todas las semanas nos desayunemos con un grave error informático que causa verdaderos estragos”. Los Colegios Profesionales entienden que es “urgente la necesaria regulación del sector, para que cada profesional titulado en la materia se responsabilice de su trabajo, en pro de proteger a la sociedad de la mala praxis o carencia de conocimientos técnicos suficientes para el desarrollo de estos complejos sistemas”.
Me parece increíble que puedan suceder este tipo de problemas en sistemas críticos. Increíble. ¿No se hacen auditorías de seguridad? No me creo que Spanair no tuviera alguna certificación en normas de seguridad en los sistemas de información, una ISO 27001 por ejemplo. Y si la tienen ¿Qué falla? ¿se auditan los sistemas de gestión de la seguridad sólo para tener sellos? O quizás no auditan la seguridad, o no lo suficientemente bien. Habría que pensar hasta qué punto las medidas a tomar en seguridad de los sistemas de información críticos, y que ponen en riesgo vidas, debe ser algo voluntario para las organizaciones y no regulado. Y lo mismo respecto a quiénes son los profesionales que las realizan.