Descargar PDF - Cámara de comercio de Albacete

Recommendations

Info

Telf: 967 312 099 • Fax: 967 340 099 antenaalmansa@camaradealbacete.org www.camaradealbacete.com
CALIDAD Visión pyme de la norma ISO 27001 Como la mayoría de los estándares, la norma ISO/IEC 27001 nace como respuesta a las necesidades y requerimientos específicos de seguridad detectados en el mercado. Es consistente con las mejores prácticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la revisión de la norma británica British Standard BS 7799-2:2002. Este artículo trata de presentar la situación realista y la visión general que las pymes castellano-manchegas tienen en cuanto a ISO 27001. ISO 9000 e ISO 27001 ISO 27001 ha sido redactada de forma análoga a otros estándares, como ISO 9001 (Calidad) o ISO 14001 (Medio Ambiente), con el objetivo, entre otros, de facilitar a las organizaciones la integración de todos ellos en un solo sistema de gestión. Desde el punto de vista de la gestión, es recomendable integrar los diferentes sistemas, en la medida que sea posible y práctico. Aún considerando este punto como positivo en la gestión de los sistemas, ha sido inevitable que, debido a una ineficiente gestión, en algunos casos, por parte de consultores “intrusistas” que han hecho de una necesidad su negocio, y sobre todo, debido a la confusión de conceptos por parte de las empresas en la implantación de sistemas, se haya desacreditado la verdadera utilidad y finalidad de los estándares en el entorno empresarial. La gestión “obligada” de los sistemas certificados, como consecuencia de la “necesidad de certificado” puede tener consecuencias negativas para la empresa, que pueden repercutir en la pérdida de tiempo y dinero, incremento del papeleo, mala gestión de los sistemas de calidad o seguridad y desprestigio de la empresa. La problemática relacionada con la certificación de los sistemas de calidad, que no trataremos en este artículo, se traslada al ámbito de los sistemas de gestión de seguridad de la información, lo que plantea a los consultores de S.I. un conjunto de problemas que tienen que solventar realizando labores de difusión y de formación a todos aquellos que se plantean implantar un SGSI impulsados únicamente por la competencia, para conseguir un sello más, que al final no significa nada para la entidad. En calidad, la empresa se juega la calidad del servicio y la satisfacción del cliente, pero en seguridad se juega “la continuidad del negocio y la seguridad de su información”. Son muchos los sectores que están empezando a exigir a sus proveedores la certificación, y no es de extrañar, ya que el uso de las Nuevas Tecnologías en el mercado actual o “Cybermercado” es un hecho, ¿qué PyME, por pequeña que sea, no necesita abrir o compartir sus Sistemas de Información para acceder o ser accedido a su información de facturación, pedidos, productos, nóminas, etc.? Y para ello se deben preguntar qué nivel de seguridad es el adecuado para no incumplir la ley o para garantizar a sus clientes la gestión segura de su información. Paradójicamente, es la certificación indiscriminada el principal enemigo de la imagen pública de la propia Norma. Carmen Alberca Consultora en Seguridad de la Información IDN Servicios Integrales. Albacete. Queda por tanto de manifiesto que la difusión e implantación indiscriminada en todo tipo de entidades, por casi “cualquiera”, está entorpeciendo seriamente la labor de los consultores de Sistemas de Información Implantación y certificación en las PyMEs El diseño e implantación de un SGSI de una organización depende de sus necesidades y objetivos, sus requisitos de seguridad, los procesos empleados y el tamaño y estructura de la organización. Todo esto así, como los sistemas que lo soportan se espera cambie a lo largo del tiempo. Se espera que la implantación de un SGSI sea escalonada, de acuerdo a las necesidades de la organización, por ejemplo una situación simple requiere una solución de SGSI simple. Para ser realistas, una PyME diferencia dos puntos de vista a la hora de decidir certificarse en una norma: la “Necesidad de Certificar” y el “Negocio de la Certificación”. Bien entendidas estas posturas, les permitirá a las PyMEs implementar las especificaciones de este estándar, independientemente del mero hecho de conseguir un sello, que al final es el objetivo último alrededor del que gira todo el estándar certificable. A la hora de implementar un SGSI, la PyME debe ser consciente de los objetivos que pretende cumplir, de sus responsabilidades y funciones con respecto al sistema. Todo responsable de implementar un SGSI en una PyME, en mayor o menor medida debe trabajar para conseguir los objetivos de seguridad planteados desde el inicio. Una gran empresa, quizá pueda o quiera permitirse el lujo de externalizar todo el proceso de implantación y mantenimiento del sistema, pero una pequeña empresa lo va a tener más difícil, por tanto, es indispensable que, el responsable tenga o adquiera el conocimiento de las tareas realizadas para la implantación así como del funcionamiento del SGSI. El responsable del SGSI en la PyME deberá implicarse al máximo en las tareas, lo que no significa que deba abandonar sus tareas, pero debe ser consciente de que será necesario dedicar un tiempo a las tareas relacionadas con el sistema. La clave para establecer las bases de un sistema que funcione, desde el principio, es la máxima concienciación, por parte de Dirección, por la continuidad del negocio. Esta norma, por sus características específicas en seguridad de la información, requiere un mayor esfuerzo de los Responsables TIC y/o Administradores de Sistemas, que por su experiencia aportarán soluciones eficaces a los riesgos de seguridad detectados. En el caso de que el proceso sea contratado a una consultora para que le guíe en los pasos a seguir durante todo el proceso de implantación, el responsable del SGSI, no deberá confiarse y dejar que todo el trabajo lo realice la consultora, pues se caerá en un grave error, y el SGSI será muy difícil de mantener después de la implantación. En este caso, el Responsable del SGSI debe trabajar de forma conjunta con el consultor para aprovechar al máximo la experiencia de éste en cada fase del proceso, y adquirir poco a poco el conocimiento y la capacidad suficiente para mantener en funcionamiento y conseguir la mejora continua del sistema. 23
Page 1: Premios empresariales: Consolidaci
Page 4 and 5: SEPTIEMBRE/OCTUBRE 2008 Nº 119 www
Page 6: PREMIOS PROMOCIÓN EMPRESARIAL El G
Page 9 and 10: FERIA 2008 empresariado, que ha que
Page 11 and 12: TURISMO El 85% de los feriantes uti
Page 13 and 14: TURISMO El Circuito Industrial de A
Page 15 and 16: www.vue.es Tesifonte Gallego, 22 -
Page 17 and 18: COMERCIO EXTERIOR Aprender a conoce
Page 19 and 20: COMERCIO EXTERIOR Cuenta atrás par
Page 21: COMERCIO EXTERIOR Próximos destino
Page 25 and 26: antenahellin@camaradealbacete.org
Page 27 and 28: FORMACION Actividades Formativas ú
Page 29 and 30: PLENO DE LA CAMARA Plan Cameral 200

Descargar PDF - Cámara de comercio de Albacete

Create successful ePaper yourself

Delete template?

Save as template?