Seguritecnia 340

Opinión 24 SEGURITECNIA Abril 2008 Decisión sobre el alcance Tal y como comentamos anteriormente, aunque el sis- tema de gestión de seguridad de la información se ha desarrollado para cubrir todos los procesos y todas las áreas de la compañía, entendimos que en el estadio en el que se encuentra actualmente es lo suficientemente robusto y maduro para todos los procesos relacionados con la gestión de nuestro centro de proceso de datos. Teniendo en cuenta que la mayor parte de los pro- cesos críticos de negocio dependen de este centro de proceso de datos, entendimos que se trataba de un al- cance que aporta valor tanto a la empresa como a nuestros clientes en general. La auditoría La auditoría fue llevada a cabo por Applus+, entidad de certificación acreditada por ENAC, finalizando con la recomendación por parte del equipo auditor de emi- tir el certificado tras lo cual la Comisión de certifica- ción de la entidad decidió otorgar este prestigioso cer- tificado. F actores de éxito Apoyo de la dirección Sin ningún género de dudas, el principal factor de éxito para el desarrollo del SGSI de Arsys Internet ha sido el apoyo de la Dirección General. Se trata de un proyecto que ha sido gestado y desarrollado desde esta Dirección General, y la Dirección de Seguridad siem- pre ha contado con el apoyo y la confianza necesaria para desarrollar sus trabajos. Tanto la dedicación en recursos humanos como fi- nancieros que fueron necesarios para desarrollar la to- talidad del sistema de gestión no han sido cuestiona- dos en ningún momento, más allá de una justificación razonable basada en los resultados del análisis de ries- gos. Empatía La Dirección de Seguridad ha tenido claro, desde el primer momento, que el camino para lograr un SGSI que realmente se utilice por todo el personal de la em- presa pasaba por lograr la complicidad y el apoyo de todos los departamentos implicados en la ejecución de los procesos de negocio. Se ha hecho un esfuerzo muy importante de integra- ción, consiguiendo así que los procesos relacionados con la seguridad estén presentes en el día a día de cada uno de los departamentos. dicación que está consumiendo, si disponemos de los re- gistros, indicadores, el impacto que está teniendo sobre los procesos de negocio y el impacto que está teniendo sobre clientes. Con toda esta información ajustamos tanto la política, como procedimiento, instrucciones técnicas, registros e indicadores. Corregir Con estos ajustes, corregimos toda la documentación y volvemos otra vez a la fase inicial. Repetimos este ciclo tantas veces como sea necesario, hasta que finalmente contamos con un proceso con el que tanto empresa como clientes se sienten cómodos. O, al menos, son capaces de sobrevivir a ellos. P roceso de certificación Selección de la entidad certificadora Cuando decidimos obtener una certificación para nuestro sistema de gestión de seguridad de la información como es lógico, la primera cuestión era con quien nos certificá- bamos. Arsys Internet dispone actualmente de unidades de ne- gocio en Francia y Portugal y prevemos una mayor ex- pansión internacional en los próximos años. En este sen- tido, optamos por seleccionar una entidad de certifica- ción que estuviera acreditada oficialmente para emitir este tipo de certificados, de manera que pudiéramos ale- gar en todos los países en los que operamos que dispone- mos de un SGSI certificado. La Dirección General debe lograr la complicidad y el apoyo de to- dos los departamentos implicados en la ejecución de los procesos de negocio.