Estándares y Budismo

Tras tres días en un seminario sobre Gestión de la Seguridad de la Información me atrevo a lanzar al ring un par de conclusiones propias:
- Algúnos estándares parecen ser incompletos e inconcretos a propósito para que luego se forren los consultores en el área de la seguridad IT. Según uno de los ponentes (él mismo es un Lead ISMS Auditor), un auditor se lleva una media de 20.000 a 30.000 euros sólo en el proceso de certificación. Más gastos todavía si necesitas consultoría previa para introducir el proceso en tu empresa...
- Otros estándares, a pesar de su redundancia, parecen aparecer en la industria para "revalorizar" internacionalmente los productos propios. El catálogo de protección IT básica que edita la Oficina Federal alemana para la Seguridad de la Información es sin embargo un trabajo muy completo y algunos asistentes al seminario habían venido a propósito desde Austria (aunque allí hablen otro idioma) para aprender a manejar dicho catálogo. Os recomiendo que le echéis un vistazo, el enlace es una versión en inglés (aunque no es la más actual).
- Remotamente relacionado con el tema de la seguridad, pero igualmente decepcionante: otros quasi-estándares se publican sin modificación a pesar de haber insistido una y otra vez delante de los responsables, como un budista frente a una rueda de plegaria, que su contenido es ridículo.