Seguritecnia 340

Opinión 20 SEGURITECNIA Abril 2008 formación que llevamos a cabo para transmitir las inicia- tivas y las medidas que se desarrollan en materia de segu- ridad teniendo en cuenta que las tienen que aplicar todo el personal. Sin embargo, a la hora de abordar la certificación, po- díamos garantizar que el sistema de gestión iba a estar ple- namente operativo y en perfecto funcionamiento para los procesos relacionados con la operación del centro de pro- cesos de datos. Aunque la normativa de seguridad aplica a la totalidad del personal y de los procesos de la compa- ñía, entendíamos que este alcance estaba lo suficiente- mente robusto y maduro como para poder pasar una au- ditoría de una entidad de certificación acreditada con ga- rantías de éxito. Política de Seguridad Todo este modelo cultural quedó plasmado en la polí- tica de seguridad. No queríamos una política de seguri- dad perfecta que todo el mundo se saltara media docena de veces al día. Queríamos la política de seguridad ro- busta, pero que todos pudiéramos aplicar en el día a día, y que pudiera ser aprobada por todos los miembros del Comité de Seguridad, de manera que fueran ellos mis- mos los que instaran a los miembros de sus respectivos equipos a cumplirla. Creo que la palabra consenso es más importante a la hora de definir la política de seguridad que cualquier otra. Si los propios directores de la compañía no tienen claro que la política de seguridad es razonable, viable o, en una palabra, útil, no podemos pretender que el personal vaya a aplicarla. La política de seguridad fue desarrollada y aprobada por el Comité de Seguridad y, posteriormente, fue ratificada por el Comité Ejecutivo. De esta forma, incluso los direc- tores generales, cuando se quejan, por ejemplo, de que la política de cambio de contraseñas está provocando mu- chos dolores de cabeza, siempre podemos decirles que ellos mismos la aprobaron y que se revisará cuando toque la próxima revisión del documento. Llegado el momento, lo más probable que no se plantee modificar esta directriz, tras analizar sus pros y contras cuidadosamente. Integración con otros sistemas Otro reto que se planteaba con el desarrollo del sistema de gestión de la seguridad era la integración con el resto de sistemas de gestión existentes en la compañía. Arsys In- ternet dispone de certificaciones de calidad y de comercio electrónico, aparte de sus certificaciones como registrador de dominios. nes de la empresa que recogen la mayor parte de las ne- cesidades y los problemas de seguridad. Así, están presen- tes en el Comité de Seguridad representantes de las direc- ciones de recursos humanos, jurídico, atención al cliente, marketing , comercial, infraestructuras, comunicación, etc. Esta colaboración nos permite adoptar decisiones y direc- trices relacionadas con la seguridad de la información que sean realistas. E structura del SGSI Alcance, de menos a más En lo que se refiere al alcance, lo que uno considera en pri- mera instancia como más adecuado es que éste cubra to- dos y cada uno de los procesos de la compañía. Sin em- bargo, el esfuerzo que requiere desarrollar un SGSI con un alcance tan amplio probablemente no esté justificado. Así, la Dirección General decidió que el alcance del sis- tema debería englobar todos los procesos de la compañía, aunque inicialmente se aplicara sólo a las áreas técnicas y a las áreas que están involucradas en la gestión del centro de proceso de datos. Tenemos, por lo tanto, un sistema de gestión que se aplica a todas las áreas y a todos los procesos de la com- pañía. De forma que, cuando desarrollamos un procedi- miento, una política, una instrucción técnica, etc. lo hace- mos pensando en que todos nuestros compañeros deben poder aplicarla. Igualmente, planificamos las acciones de Sin iniciativa y apoyo por parte de la Dirección de una organi- zación, es difícil potenciar las herramientas suficientes para implantar eficientes SGSI y superar procesos de certificación.