Seguritecnia 340

Opinión SEGURITECNIA Abril 2008 19 de vida de desarrollo. A medida que íbamos desarrollando el sistema, lo íbamos poniendo en producción y verifica- mos si era viable desarrollar los controles de seguridad tal como estaban planteados, si era razonable el esfuerzo para generar los registros e indicadores, si éstos eran suficiente- mente claros, y con las conclusiones volvíamos a corregir el sistema mejorándolo. P rimeros pasos Creación de la Dirección de Seguridad El primer paso para el desarrollo del sistema de gestión de seguridad fue constituir una Dirección de Seguridad inde- pendiente de otras direcciones técnicas, y que dependiera directamente de la Dirección General. Esta nueva Dirección de Seguridad contaba con el apoyo claro y decidido de la Dirección General, de forma que la decisión de adoptar el SGSI partía directamente de la Di- rección General, y la Dirección de Seguridad era simple- mente el instrumento a través del cual se formalizaba esta decisión de alto nivel. Y así se transmitió a todo el perso- nal de la compañía. Dotación de recursos Una vez constituida la Dirección de Seguridad, la primera necesidad fue obtener recursos humanos necesarios para poder desarrollar las tareas encomendadas. Ahora mismo, encontrar personal con experiencia en el campo de la se- guridad de la información resulta una tarea complicada. Sin embargo, el departamento de Recursos Humanos de Arsys Internet localizó un cualificado equipo de profesio- nales con una amplia experiencia en este terreno. Comité de Seguridad Una vez que Arsys Internet contó con la Dirección de Se- guridad, la primera decisión que se tomó fue constituir un Comité de Seguridad que representara a todas las áreas de la organización que tuvieran implicación en materia de se- guridad de la información. Necesitábamos transmitir a toda la compañía la im- portancia que iban a tener los procesos relacionados con la seguridad de la información, dentro de la propia evo- lución de la empresa. Por otra parte, también teníamos muy claro que no iba a servir de nada desarrollar un mo- delo de seguridad que no fuera coherente con la cultura de la compañía, con la forma de trabajar de los distin- tos departamentos y con los objetivos marcados desde las distintas áreas. Por eso, desarrollamos una estructura para el Comité de Seguridad donde están representadas trece direccio- la compañía. Es decir, mantuviera informada a la direc- ción sin sobrecargar de trabajo al personal de las direccio- nes técnicas. Implantar un SGSI La Dirección General se planteó en un momento inicial el objetivo de desarrollar un SGSI como una vía de mejo- rar los niveles de seguridad de la compañía. Se trataba de una necesidad interna que, por sí misma, justificaba el es- fuerzo que suponía desarrollar un sistema de estas carac- terísticas. La decisión de certificar el sistema o no hacerlo no re- sultaba relevante en el momento inicial, aunque, poste- riormente, las áreas de desarrollo del negocio encontraron que podía suponer una ventaja competitiva para la em- presa. Ese fue el principal motivo para la certificación. El horizonte temporal En mis etapas profesionales anteriores, siempre que una empresa se planteaba desarrollar un SGSI el primer es- collo que se planteaba era cuánto tiempo iba a costar de- sarrollar el sistema. En general se pretendía disponer del mismo en un breve periodo de tiempo, el horizonte de en- tre nueve meses y un año parecía lo más razonable. Sin embargo, en Arsys Internet decidimos que lo impor- tante era disponer de un buen sistema de seguridad, inde- pendientemente del tiempo que eso nos llevara. Así, se es- tudió un plan para el desarrollo del sistema de gestión en, aproximadamente, un año y medio. Este horizonte nos permitió desarrollar nuestro sistema de una forma natural, adoptando un modelo de desarrollo evolutivo similar al que se suele adoptar modelos de ciclo Los procesos de certificación superados ofrecen un sello de garantía de los servicios que una empresa da a sus clientes.