Telf: 967 312 099 • Fax: 967 340 099 antenaalmansa@camara<strong>de</strong>albacete.org www.camara<strong>de</strong>albacete.com
CALIDAD Visión pyme <strong>de</strong> la norma ISO 27001 Como la mayoría <strong>de</strong> los estándares, la norma ISO/IEC 27001 nace como respuesta a las necesida<strong>de</strong>s y requerimientos específicos <strong>de</strong> seguridad <strong>de</strong>tectados en el mercado. Es consistente con las mejores prácticas <strong>de</strong>scritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la revisión <strong>de</strong> la norma británica British Standard BS 7799-2:2002. Este artículo trata <strong>de</strong> presentar la situación realista y la visión general que las pymes castellano-manchegas tienen en cuanto a ISO 27001. ISO 9000 e ISO 27001 ISO 27001 ha sido redactada <strong>de</strong> forma análoga a otros estándares, como ISO 9001 (Calidad) o ISO 14001 (Medio Ambiente), con el objetivo, entre otros, <strong>de</strong> facilitar a las organizaciones la integración <strong>de</strong> todos ellos en un solo sistema <strong>de</strong> gestión. Des<strong>de</strong> el punto <strong>de</strong> vista <strong>de</strong> la gestión, es recomendable integrar los diferentes sistemas, en la medida que sea posible y práctico. Aún consi<strong>de</strong>rando este punto como positivo en la gestión <strong>de</strong> los sistemas, ha sido inevitable que, <strong>de</strong>bido a una ineficiente gestión, en algunos casos, por parte <strong>de</strong> consultores “intrusistas” que han hecho <strong>de</strong> una necesidad su negocio, y sobre todo, <strong>de</strong>bido a la confusión <strong>de</strong> conceptos por parte <strong>de</strong> las empresas en la implantación <strong>de</strong> sistemas, se haya <strong>de</strong>sacreditado la verda<strong>de</strong>ra utilidad y finalidad <strong>de</strong> los estándares en el entorno empresarial. La gestión “obligada” <strong>de</strong> los sistemas certificados, como consecuencia <strong>de</strong> la “necesidad <strong>de</strong> certificado” pue<strong>de</strong> tener consecuencias negativas para la empresa, que pue<strong>de</strong>n repercutir en la pérdida <strong>de</strong> tiempo y dinero, incremento <strong>de</strong>l papeleo, mala gestión <strong>de</strong> los sistemas <strong>de</strong> calidad o seguridad y <strong>de</strong>sprestigio <strong>de</strong> la empresa. La problemática relacionada con la certificación <strong>de</strong> los sistemas <strong>de</strong> calidad, que no trataremos en este artículo, se traslada al ámbito <strong>de</strong> los sistemas <strong>de</strong> gestión <strong>de</strong> seguridad <strong>de</strong> la información, lo que plantea a los consultores <strong>de</strong> S.I. un conjunto <strong>de</strong> problemas que tienen que solventar realizando labores <strong>de</strong> difusión y <strong>de</strong> formación a todos aquellos que se plantean implantar un SGSI impulsados únicamente por la competencia, para conseguir un sello más, que al final no significa nada para la entidad. En calidad, la empresa se juega la calidad <strong>de</strong>l servicio y la satisfacción <strong>de</strong>l cliente, pero en seguridad se juega “la continuidad <strong>de</strong>l negocio y la seguridad <strong>de</strong> su información”. Son muchos los sectores que están empezando a exigir a sus proveedores la certificación, y no es <strong>de</strong> extrañar, ya que el uso <strong>de</strong> las Nuevas Tecnologías en el mercado actual o “Cybermercado” es un hecho, ¿qué PyME, por pequeña que sea, no necesita abrir o compartir sus Sistemas <strong>de</strong> Información para acce<strong>de</strong>r o ser accedido a su información <strong>de</strong> facturación, pedidos, productos, nóminas, etc.? Y para ello se <strong>de</strong>ben preguntar qué nivel <strong>de</strong> seguridad es el a<strong>de</strong>cuado para no incumplir la ley o para garantizar a sus clientes la gestión segura <strong>de</strong> su información. Paradójicamente, es la certificación indiscriminada el principal enemigo <strong>de</strong> la imagen pública <strong>de</strong> la propia Norma. Carmen Alberca Consultora en Seguridad <strong>de</strong> la Información IDN Servicios Integrales. <strong>Albacete</strong>. Queda por tanto <strong>de</strong> manifiesto que la difusión e implantación indiscriminada en todo tipo <strong>de</strong> entida<strong>de</strong>s, por casi “cualquiera”, está entorpeciendo seriamente la labor <strong>de</strong> los consultores <strong>de</strong> Sistemas <strong>de</strong> Información Implantación y certificación en las PyMEs El diseño e implantación <strong>de</strong> un SGSI <strong>de</strong> una organización <strong>de</strong>pen<strong>de</strong> <strong>de</strong> sus necesida<strong>de</strong>s y objetivos, sus requisitos <strong>de</strong> seguridad, los procesos empleados y el tamaño y estructura <strong>de</strong> la organización. Todo esto así, como los sistemas que lo soportan se espera cambie a lo largo <strong>de</strong>l tiempo. Se espera que la implantación <strong>de</strong> un SGSI sea escalonada, <strong>de</strong> acuerdo a las necesida<strong>de</strong>s <strong>de</strong> la organización, por ejemplo una situación simple requiere una solución <strong>de</strong> SGSI simple. Para ser realistas, una PyME diferencia dos puntos <strong>de</strong> vista a la hora <strong>de</strong> <strong>de</strong>cidir certificarse en una norma: la “Necesidad <strong>de</strong> Certificar” y el “Negocio <strong>de</strong> la Certificación”. Bien entendidas estas posturas, les permitirá a las PyMEs implementar las especificaciones <strong>de</strong> este estándar, in<strong>de</strong>pendientemente <strong>de</strong>l mero hecho <strong>de</strong> conseguir un sello, que al final es el objetivo último alre<strong>de</strong>dor <strong>de</strong>l que gira todo el estándar certificable. A la hora <strong>de</strong> implementar un SGSI, la PyME <strong>de</strong>be ser consciente <strong>de</strong> los objetivos que preten<strong>de</strong> cumplir, <strong>de</strong> sus responsabilida<strong>de</strong>s y funciones con respecto al sistema. Todo responsable <strong>de</strong> implementar un SGSI en una PyME, en mayor o menor medida <strong>de</strong>be trabajar para conseguir los objetivos <strong>de</strong> seguridad planteados <strong>de</strong>s<strong>de</strong> el inicio. Una gran empresa, quizá pueda o quiera permitirse el lujo <strong>de</strong> externalizar todo el proceso <strong>de</strong> implantación y mantenimiento <strong>de</strong>l sistema, pero una pequeña empresa lo va a tener más difícil, por tanto, es indispensable que, el responsable tenga o adquiera el conocimiento <strong>de</strong> las tareas realizadas para la implantación así como <strong>de</strong>l funcionamiento <strong>de</strong>l SGSI. El responsable <strong>de</strong>l SGSI en la PyME <strong>de</strong>berá implicarse al máximo en las tareas, lo que no significa que <strong>de</strong>ba abandonar sus tareas, pero <strong>de</strong>be ser consciente <strong>de</strong> que será necesario <strong>de</strong>dicar un tiempo a las tareas relacionadas con el sistema. La clave para establecer las bases <strong>de</strong> un sistema que funcione, <strong>de</strong>s<strong>de</strong> el principio, es la máxima concienciación, por parte <strong>de</strong> Dirección, por la continuidad <strong>de</strong>l negocio. Esta norma, por sus características específicas en seguridad <strong>de</strong> la información, requiere un mayor esfuerzo <strong>de</strong> los Responsables TIC y/o Administradores <strong>de</strong> Sistemas, que por su experiencia aportarán soluciones eficaces a los riesgos <strong>de</strong> seguridad <strong>de</strong>tectados. En el caso <strong>de</strong> que el proceso sea contratado a una consultora para que le guíe en los pasos a seguir durante todo el proceso <strong>de</strong> implantación, el responsable <strong>de</strong>l SGSI, no <strong>de</strong>berá confiarse y <strong>de</strong>jar que todo el trabajo lo realice la consultora, pues se caerá en un grave error, y el SGSI será muy difícil <strong>de</strong> mantener <strong>de</strong>spués <strong>de</strong> la implantación. En este caso, el Responsable <strong>de</strong>l SGSI <strong>de</strong>be trabajar <strong>de</strong> forma conjunta con el consultor para aprovechar al máximo la experiencia <strong>de</strong> éste en cada fase <strong>de</strong>l proceso, y adquirir poco a poco el conocimiento y la capacidad suficiente para mantener en funcionamiento y conseguir la mejora continua <strong>de</strong>l sistema. 23