viernes, 15 de mayo de 2009

Debate abierto

El Encuentro E-TIC celebrado en el pasado mes de abril, dedicado a seguridad de la información, ha sido extraordinariamente participativo. Si algo destacaría, no es ninguna de las ponencias, que han sido muy positivas y de alto nivel técnico, lo que destacaría es la intervención del público. Como ponente “muchas gracias estimado público”.
Desgraciadamente el debate quedó abierto, tanto en Sevilla como en Málaga, pues la agenda no permitía continuar las mesas redondas en las que se plantearon cuestiones de mucho interés.
De entre todas quisiera resaltar las que se refirieron a las dificultades de la implantación y mantenimiento de un SGSI en las organizaciones, fundamentalmente en las PYMES. Con ellas se demostró que los SGSI están en las miras de las empresas y entidades, pero que estas no terminan de decidirse, en gran medida por cierto desconocimiento y temor a quedarse “colgados” en un proyecto interminable.
Las principales dificultades: la concienciación y formación, particularmente del personal en los procesos de gestión del sistema, y en general en materia de seguridad, el mantenimiento posterior al primer año de vida del sistema, cuando ya los consultores y especialistas que han asistido a la implantación dejan sola a la organización, el coste unido a la dificultad de medir un retorno de la inversión, hacen que llegar a tener un SGSI se perciba mas como un problema que como una solución.
Un SGSI cuesta implantarlo, mas en organizaciones pequeñas, pero estas pueden contar con ayudas económicas y con consultorías especializadas que le ayudarán en el proceso, incluso las entidades certificadoras “entenderán” que el sistema es inmaduro y apoyarán a la entidad premiándola con el ansiado trofeo, el “certificado”, todo vale para el primer año, digamos que es cuestión de dinero.
Después el cuento es otro, el mantenimiento, me mojo, puede implicar sobre unas mil ochocientas horas de trabajo en una PYME de unos veinticinco empleados. La concienciación y formación de los empleados es esencial y nos obliga día a día, hay que operar el SGSI (esto es gestionar) y hay que operar los controles establecidos (esto es controlar), y por último a menudo los técnicos implicados tienen que convencer de continuo a su dirección corporativa.
Todo esto y mucho más quedo dicho en el E-TIC, junto a las ventajas que la organización obtiene al contar con un SGSI: supone un extraordinario crecimiento en la madurez de la gestión en la organización aumentando su supervivencia, permite incrementar la competencia al cumplir exigencias del mercado, mantiene a salvo la organización ante peligros y contingencias, extiende la confianza de los demás en la organización, facilita a la gerencia el cumplimiento legal, …
Vistas las dificultades, (sobre todo el mantenimiento del SGSI), y vistas las ventajas, la pregunta surgió en el debate, blanco y en botella…, ¿qué se puede externalizar?, ¿cómo pueden ayudar terceras partes, consultores y especialistas, empresas de servicios, a gestionar la seguridad de la información en el mantenimiento del SGSI de una corporación que lo demande? Pues yo tengo mis ideas, pero aquí dejo el debate abierto.

José Antonio Castilla
Experto en Seguridad IT. CISA.CGEIT
Avante Formación

3 comentarios:

  1. En primer lugar gracias por tu clara exposición, estuve en las ponencias de Sevilla y Málaga y la verdad fueron bastante interesantes estoy totalmente de acuerdo en que resulta indiscutible el hecho de que actualmente es la información el activo más relevante en cualquier organización, que debe considerase como un recurso corporativo y como tal es necesario protegerla contra cualquier forma de acceso, uso, divulgación, modificación o destrucción no autorizada. También creo que las organizaciones son cada vez más conscientes de la importancia de garantizar una correcta gestión de la seguridad de la información pero ¿a qué precio? La necesidad de abordar proyectos e invertir en recursos es actualmente bastante limitado y el mercado no augura buenos resultados. ¿Alguna solución a medio camino, que en un futuro permitan llevar a cabo una seria implantación de SGSI en la PYME sin dejar a un lado lo realizado?

    Gracias y un saludo

    ResponderEliminar
  2. José Antonio Castilla20 de mayo de 2009, 10:35

    Hola Daniel. ¿A que precio deben garantizar la gestión de la seguridad de la información las organizaciones?. lo primero que se me ocurre es porque plantearse esta cuestión si no nos plantamos otras como: ¿a que precio debe garantizarse la seguridad e higiene en el trabajo?, o ¿a que precio debe garantizarse la gestión de la calidad?... Pero contestando a tu pregunta, el precio lo pone el valor que está en juego, solo un análisis de riesgos bien hecho permite calcular el valor en juego, y se justifica la inversión en seguridad siempre que esta tenga menor valor que el que nos jugamos. No tiene sentido gastar en protejer lo que tiene un valor inferior al gasto. Claro si estamos haciendo estos cálculos es que estamos gestionando la seguridad.
    Respecto a tu segunda pregunta, uno de las características de los SGSI es que deben "mejorar continuamente", en este sentido las PYMES lo que deben hacer es implantarlos con un alcance muy limitado y sin ambiciones excesivas en cuanto a objetivos a alcanzar. Los controles determinados en la SOA deberían ser los necesarios dado el alcance limitado y cuanto mas sencillos mejor. Desde la primera implantación el SGSI seguro que podrá asumir los controles ya establecidos, e incluso alguno de ellos estará bien mantenido y gestionado. No lo veo un problema.
    Gracias por tus preguntas y a mandar.

    ResponderEliminar
  3. Gracias a ti José Antonio, un placer contar con tu ayuda y opinión.

    ResponderEliminar