| Artículos | 07 MAY 2004

AENOR da a conocer el nuevo certificado SGSI

Insta a una seguridad construida sobre el negocio, no sobre la tecnología
Hasta el momento, sólo la entidad financiera Inter-Factor Europa se ha certificado de acuerdo a la normativa 71502:2004, tres empresas más se encuentran ya en cartera y está previsto que en breve la cifra alcance la veintena.

En las jornadas celebradas por AENOR y Soluciona, en concierto con el Ministerio de Ciencia y Tecnología, se dieron a conocer las especificaciones que recoge la normativa 71502:2004 sobre Sistemas de Gestión de la Seguridad de la Información (SGSI), que entró en vigor el pasado mes de febrero.
La seguridad de las empresas en los departamentos de TIC (Tecnología de la Información y las Comunicaciones) puede ser un elemento muy negativo para el desarrollo del negocio, ya que afecta a toda la organización. Los virus, la falta de protección, pueden ocasionar pérdidas de tiempo, recursos y, en definitiva, dinero. Las compañías deben definir una estrategia de seguridad basada en el negocio y no en la tecnología, implicándose en todo el proceso de seguridad TIC.
De acuerdo con el estudio presentado por el Grupo Penteo, “La seguridad informática en la empresa 2004”, el 61% de las empresas no cree que la ausencia de seguridad sea un freno para el e-bussines. Actualmente, el 83% de las empresas tiene problemas de seguridad de la información, ocasionados principalmente por los virus, aunque un alto porcentaje se debe a la intervención del personal interno y externo. Durante el pasado año el porcentaje de empresas afectadas era menos elevado, sólo ascendía a un 62%. En este estudio también se indica que en España se invierte un 8,9% en seguridad informática y que sólo el 43% de las organizaciones españolas realiza auditorías de seguridad.

Implantar la solución
La normativa 71502:2004, que entró en vigor el pasado mes de febrero, reúne las especificaciones para la gestión de la seguridad de la información. Ofrece las bases para establecer, implantar, documentar y evaluar un sistema de seguridad en la empresa de acuerdo a la Norma UNE-ISO/IEC 17799:2002.
El sistema de seguridad que se implante dentro de la empresa debe ser ágil y eficaz dentro de la organización. El proceso de implantación de estos sistemas debe pasar por cuatro fases: definición, desarrollo, puesta en marcha y mantenimiento y actualización.
Para planificar y diseñar el SGSI, la alta dirección debe comprometerse con el proyecto y se debe definir el marco general en el que se va a desarrollar, determinando quién va a ser el responsable del sistema, los recursos con los que se va a contar para ello y cuáles son los objetivos que se quieren obtener.
El siguiente paso será desarrollar los elementos que especifica la normativa; es decir, realizar un análisis de activos y riesgos. Habrá que ver qué activos deben ser protegidos, con qué criterios se va a realizar y cuáles serán los recursos que habrá que aportar para obtener la estructura operativa necesaria que los proteja. Tras determinar qué es lo que se va a hacer, habrá que pasar a la parte de documentación, etapa en la que se redactarán los manuales de seguridad, la estructura de los activos y los procesamientos de seguridad.
Según afirma Jesús Fernández, gerente de gestión de seguridad de la información de Soluziona calidad y medio ambiente, “el eslabón más débil a la hora de implantar un SGSI son las personas por lo que hay que tenerlas muy en cuenta y hay que realizar un proceso de formación y sensibilización de la gente”.
Las respuestas a todo este proyecto se comienzan a ver cuando se realizan los seguimientos de control y en las auditorias. También es muy importante que tras la implantación se realice periódicas actualizaciones con objeto de mejorar los parámetros de seguridad de toda la estructura.

Primera empresa certificada: Inter-Factor Europa
El proceso por el que ha de pasar una empresa para certificarse es laborioso y largo. La primera empresa que se ha certificado de acuerdo a esta nueva normativa ha sido Inter-Factor Europa. Ellos comenzaron el proyecto hace dos años y han tenido que recorrer un largo camino ante la ausencia de normativa que había en ese momento. La idea surgió como una inquietud por la seguridad ante sus clientes y ellos mismos. En un primer momento se acogieron a la certificación inglesa 1779, ya que AENOR no les facilitaba ninguna certificación a la que pudieran acogerse. A partir de que se aprobara la normativa 71502:2004 adaptaron todo su proyecto a ésta.
Ante la experiencia vivida Juan Camargo, responsable del departamento de Informática de Inter-Factor Europa, opina que el coste de este proyecto es más elevado en la relación tiempo-hombre que lo que ha costado realmente en dinero. Los dos factores claves para que una empresa pueda realizar su certificación son: madurez y formación. “El principal problema a la hora de certificar una empresa reside en el capital humano. La formación del usuario es fundamental, ya que sólo un 20% es técnica”, declaró Camargo.

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios