"La Seguridad no es un producto; la Seguridad es un proceso".
La frase anterior es el mantra que todos los gurús profesionales en seguridad repiten una y otra vez (¿repetimos?). Esto es una gran realidad, pues en la actualidad muchas empresas no han entendido que la seguridad no es algo que se compre en caja, ni un proyecto que tenga una fecha de inicio y una fecha de conclusión, o algo que sea responsabilidad exclusiva de TI, sino que es un proceso de mejora continua, en el que todo el personal de la compañía debe estar involucrado.
Con esto en mente, ALAPSI Noreste organizó el 29 de mayo la Primera Reunión Cumbre de Intercambio de Experiencias con Sistemas ISO 27001:2005 Certificados, que tuvo como finalidad juntar a representantes de algunas empresas de México que han obtenido la certificación en Sistemas de Gestión de Seguridad de Información ISO27001:2005, para que platicaran sus experiencias en torno a la certificación, los beneficios obtenidos, las recomendaciones para aquellos que estén planeando iniciar el proceso de certificación, los retos que enfrentaron, etc. Entre los panelistas tuvimos a Patricia Molina de Elcoteq, a Carlos Rincón de Laboratorios Armstrong, a Daniel Aldrete de Hispanic Teleservices y a Ricardo Morales de Alestra. Todos ellos coincidieron en algo: la certificación ISO 27001:2005 les trajo beneficios a sus respectivas organizaciones, tales como mayor confianza por parte de sus clientes, estandarización y mejora de sus proceso internos, ahorros significativos, entre otros más.
ISO 27001:2005 es un estándar para la seguridad de información basado en la norma británica BS 7799, y que define lo nececesario para implementar, mantener y mejorar un Sistema de Gestión de Seguridad de Información, de acuerdo al Ciclo de Deming (o Plan, Do, Check, Act). Aunque la seguridad en sí no es un producto ni un proyecto, como ya lo mencioné anteriormente, la implantación de este estándar en una empresa con miras a la certificación sí requiere que se maneje como un proyecto, con su propio presupuesto. En general la implantación de ISO 27001 puede durar entre 6 meses y un año, según el alcance requerido y qué grado de madurez tienen los procesos en la organización. Aunque algunas empresas requieren el apoyo de consultores externos, es importante considerar dos cosas: primero, que tengan la experiencia suficiente en implementaciones anteriores, no que vengan a aprender con la empresa; y segundo, que su participación se limite a guiar al personal estratégico en cómo hacer las cosas, y no a hacer él sólo todo el trabajo desde lo básico (créanme, un consultor puede resultar muy caro). Una vez que el sistema está implementado y se tienen al menos unos 3 meses de evidencia documentada, ya se puede invitar a un organismo certificador (externo a la empresa) para que revise los procesos, la evidencia documental y se cerciore de que se cumple con lo establecido en el estándar. Por lo que escuchamos por parte de los que ya han recorrido este camino, no es fácil, pero vale la pena.
Esta reunión fue organizada por ALAPSI Noreste, que es la Asociación Latinoamericana de Profesionales en Seguridad Informática, de la cuál formo parte. Nuestra misión es crear conciencia y capacitar a organizaciones e individuos en el área de Seguridad de Información, por medio de cursos, seminarios, conferencias, artículos en publicaciones relacionadas con seguridad, etc., y promover prácticas que aseguren la confidencialidad, integridad y disponibilidad de los recursos informáticos de las organizaciones.
En resumen, espero que con eventos como éste cada vez más empresas se sientan comprometidas con la seguridad de la información, y comiencen a establecer las bases necesarias para que sus organizaciones mantengan los niveles de seguridad que se requieren en esta era de la información.
:wq!
El software libre es para todos (y todas, claro ;))
-
Es un hecho: el ambiente universitario es un buen escenario para un
festival como *FLISOL*. Hoy tuvimos la fiesta de instalación de *GNU/Linux*,
además de ...
Hace 14 años.