Seguritecnia 372

38 SEGURITECNIA Febrero 2011 además están implicadas al cien por cien las demás Direcciones de esta casa, que trasladan la estrategia cada una a su ámbito. En este sentido, el principal valor del que podemos pre- sumir es el de un nivel de interrela- ción y colaboración muy alto, que es el que ha permitido este grado de evolución. - ¿Cuál es la estrategia que está si- guiendo su departamento? ¿La vir- tual ización y la nube están cam- biando su modo de actuar, sin un perímetro def inido, como conse- cuencia más directa? Todo lo que significa desaparición de barreras supone riesgos. A finales de 2008 y principios de 2009, pusimos en marcha un Plan Director de Segu- ridad para realizar una revisión com- pleta de todos los servicios de ICM e implementar acciones de mejora si fuese necesario. A partir de un mo- delo clásico de definición, y basán- donos en metodologías como ISO 27000 o Magerit, se desplegaron un total de 47 proyectos técnicos y or- ganizativos. La responsabilidad y el liderazgo estaba en manos del Co- mité de Seguridad y el plan se fue ejecutando paulatinamente en cada una de las direcciones con un nivel satisfactorio, aunque con más retraso del que pensábamos en un inicio. - ¿Qué proyectos tecnológicos, toda- vía en marcha o concluidos reciente- mente, destacaría como principales logros de Seguridad Corporativa? Uno de los más ambiciosos es la au- ditoría de datos de carácter personal de la Comunidad de Madrid. Este pro- yecto es de alto riesgo porque afecta a todos los ficheros de la región y su ejecución recae de manera exclusiva en ICM, así como la dirección de esta auditoría. Abordamos un total de 199 ficheros, 96 de nivel medio y 103 de nivel alto, alcanzando 49 centros di- rectivos. Todo ello ha supuesto la op- timización de los 264 Sistemas de In- formación que se han revisado, de los aproximadamente 1.600 que depen- den de la Comunidad. Este trabajo ha supuesto un esfuerzo de interlocución durante cinco meses con 79 responsa- bles o interlocutores de referencia. Hemos procurado mecanizar, y lo he- mos conseguido, todos los elementos de gestión de un responsable de Segu- ridad, y uno de ellos es la auditoría. Las Direcciones Generales están obl igadas con sus f icheros y cada una tiene su responsable de Seguri- dad. ICM se comporta como encar- gado del tratamiento para cada uno de ellos. Además, el responsable del fichero participa en la auditoría, que al estar central izada en ICM, hace que el resultado sea muy eficaz. Como resultado de esta labor, con- tamos con el Sistema Responsable de Protección de Datos (SRPD), que automatiza todos los procesos del responsable del fichero. Es un ejem- plo muy claro de la conf luencia entre experiencia, tecnología y personas. El impacto por consejerías es variable, pero sí podemos decir que el factor humano es decisivo. Sin conciencia- ción, de nada vale la tecnología; de la misma manera que un equipo hu- mano altamente cualificado tampoco puede avanzar sin las TI. Nuestro objet ivo úl t imo es que esta estructura de responsables de Seguridad perdure en el tiempo, in- dependientemente de que se mo- difiquen los ficheros o cambien los gobiernos, porque es un ejemplo de éxito en la protección de datos. Si la Seguridad es tratada como un fundamento corporativo, su enfoque debe ser glo- bal. En ICM, Fernando Ledrado vela por la protección de las TI y del 'espacio' físico que las contiene. “Un mando único es el ejemplo de que ambos mundos viven uno del otro. Pero no debo esconder que la convergencia tiene sus complicaciones” Seguridad de la Información