Seguritecnia 340

Opinión 21 SEGURITECNIA Abril 2008 La Dirección de Seguridad trabajó estrechamente, y con mucho respeto, con las otras direcciones que habían de- sarrollado los otros sistemas de gestión. Aprovechamos el esfuerzo que ya se había realizado para desarrollar un marco general de sistemas de gestión, y aportamos nues- tra experiencia y las ventajas que se incluyen dentro del modelo ISO 27001 para reforzar los sistemas de gestión existentes. De esta forma, tenemos ahora sistemas más maduros y mejor integrados lo que simplifica tremendamente el trabajo de todos, además de relajar muchas tensiones internas. A nálisis de riesgos Análisis de herramientas existentes Para realizar nuestro análisis de riesgos estuvimos valo- rando las herramientas existentes en el mercado. Quería- mos que el análisis de riesgos pudiera ser llevado interna- mente, sin necesidad de dedicar un número de recursos demasiado elevado, al tiempo que pudiéramos mantenerlo actualizado, al menos mes a mes. En un entorno con más de 180.000 clientes, entendimos que debíamos analizar con mucho cuidado la metodolo- gía que íbamos a utilizar para desarrollar nuestro análi- sis de riesgos. Al final, llegamos a la conclusión de que el esfuerzo que dedicaríamos a desarrollar una metodología que se adap- tara a la realidad de nuestra empresa iba a ser mucho me- nor al que tendríamos que dedicar los siguientes tres o cuatro años a mantener un análisis de riesgos actualizado, siguiendo algunas de las metodologías que ya existían en el mercado. Por lo tanto, acabamos por desarrollar una metodología propia. ‘Business Impact Analysis’ (BIA) El punto de partida de todo el proceso de análisis de ries- gos, como no puede ser de otra forma, iba a ser el negocio. De esta forma, íbamos a valorar los distintos sistemas, en- tornos, aplicaciones, etc. en función de su aportación al negocio de la empresa. Decidimos analizar primero los procesos de negocio, haciendo un análisis de su repercusión en el negocio de los mismos, para posteriormente determinar cuáles eran los activos que intervenían en cada uno de los procesos. En cierto sentido, hicimos el camino al revés de cómo se suele hacer. En lugar de buscar primero activos para luego ver a quién afecta, buscamos primero qué era importante para la empresa para analizar posteriormente cuáles eran los activos que permitían que los procesos se llevaran a cabo.