Seguritecnia 340

Opinión 18 SEGURITECNIA Abril 2008 pañía de una forma segura, independientemente del for- mato o soporte en el que se encontrara. Configurar equi- pos o instalar productos tiene una dimensión controlable desde un departamento técnico, lograr que todo el perso- nal de la empresa sea consciente de la importancia de la seguridad de la información, y siga unos procedimientos y unas normas para garantizar esta seguridad, es bastante más complejo. La seguridad, requerimiento del ISP Como proveedor de servicios de Internet, necesitábamos disponer de unos niveles de seguridad bastante elevados. No sólo para generar confianza a nuestros clientes, sino para nuestra propia tranquilidad y la de nuestro personal. Cuando analizamos los problemas de seguridad que es- tábamos teniendo, llegamos a la conclusión de que la ma- yoría de ellos o, al menos, los más relevantes tenían poco que ver con intrusiones, piratas, virus, etc. Eran mucho más frecuentes los problemas que se derivaban de inci- dentes relacionados con suministro eléctrico, climatiza- ción, averías de hardware , etc. Por tanto, tomaba cada vez más fuerza la idea de que el modelo basado en la ISO 27001 era el más adecuado para reducir nuestros niveles de riesgo y aumentar los niveles de seguridad. Cuadro de mandos El siguiente objetivo era disponer de un cuadro de mandos que permitiera conocer cuál era la situación de la compa- ñía con respecto a la seguridad. Este cuadro de mandos tenía que ser comprensible para la Dirección General, al mismo tiempo que no podía suponer una dedicación de recursos excesiva por parte de las áreas técnicas. La experiencia que se había tenido hasta el momento al desarrollar cuadros de mandos que incluyeran aspectos de seguridad no había sido demasiado positiva. Se había re- querido un esfuerzo considerable para actualizar el cua- dro de mandos y sus valores, por lo que, al final, sólo se actualizaba dos o tres veces al año. Dentro del modelo de la ISO 27001, se decidió desarro- llar un cuadro de mandos que, por una parte, cumpliera con los requerimientos establecidos por la norma de re- ferencia y, por el otro, cumpliera con las necesidades de E l motivo por el cual decidir desarrollar un sis- tema de gestión de la seguridad de la información (SGSI), depende en gran parte del objetivo que se haya marcado la empresa. En el caso de Arsys Internet, el principal reto era integrar todos los procesos de las áreas técnicas bajo un marco único que englobara también la seguridad. Para los procesos puramente técnicos teníamos bas- tante claro el modelo que íbamos a seguir. En este caso habíamos escogido el modelo ITIL. Sin embargo, no tenía- mos del todo claro el modelo a seguir a la hora de integrar los procesos de seguridad, ya que los aspectos relaciona- dos con seguridad que se desarrollan en el marco de ITIL eran insuficientes para nosotros. La Dirección decidió apostar por integrar la seguridad de la información dentro de un sistema de gestión inde- pendiente, pero que estuviera integrado con el resto de procesos de la compañía, adoptando así la ISO 27001. De sistemas a información Aunque inicialmente la apuesta se centraba en garanti- zar la seguridad de los sistemas informáticos en general, al adoptar la ISO 27001 como un modelo de desarrollo de la seguridad, tuvimos que cambiar el foco. Pasamos así de un modelo basado en la seguridad de los sistemas infor- máticos a otro basado en la información. Para aquellos que no estén familiarizados con el mo- delo ISO 27001, esta diferencia puede parecer trivial. Nada más lejos de la realidad. Al cambiar el foco hacia la infor- mación en sentido amplio, nos vimos obligados a contem- plar muchísimos más aspectos relacionados con la seguri- dad que cuando únicamente nos encargábamos de los sis- temas informáticos. Seguíamos teniendo que controlar las vulnerabilida- des, la seguridad perimetral, los intentos de intrusión, etc., pero ahora, además, teníamos que garantizar que el perso- nal iba a ser capaz de manejar la información de la com- Proceso de implantación de un SGSI, adoptando la ISO 27001 Director de Seguridad de Arsys Internet Olof Sandstrom