Seguritecnia 372

SEGURITECNIA Febrero 2011 39 herramientas que nos ofrece el Cen- tro Criptológico Nacional (CCN), por- que la Seguridad requiere estándares para poder mejorar. En cuanto a infraestructura crítica, ICM podría serlo, pero todavía es un tema rodeado de controversia, aun- que es un planteamiento que com- partimos. - En su caso concreto, ¿le pre - ocupa la fuga de información a ma- nos de los empleados o directivos? ¿Qué políticas de control de acce- sos y gestión de identidades está si- guiendo ICM? Básicamente, estamos acometiendo dos líneas: la tecnológica, en el con- trol de autorizaciones y privilegios; y el elemento formativo o contrac- tual . Cualquier proveedor de servi- cios debe conocer las condiciones y las consecuencias de la pérdida de in- formación. Asimismo, los empleados deben ser muy conscientes. Si las per- sonas fallan, la organización va tener fugas de información aunque los sis- temas sean seguros. - ¿Con qué certif icaciones cuenta esta organización y por qué buenas prácticas están apostando? Tenemos adaptado el proceso a ISO 27000, aunque aún no hemos con- seguido la certificación. Nos plantea- mos la estrategia de orientarnos a ser- vicios concretos que nos permitan crecer en esta certificación, como los que dan soporte a la mecanización de procesos. El objetivo final sería certifi- car la Seguridad a nivel global de ICM, aunque es un proyecto de largo reco- rrido. - Le propongo hacer de futurólogo por un momento: ¿Cómo ve la Se- guridad de la Información dentro de cinco años? Difícil pregunta. Las amenazas van a crecer exponencialmente y tenemos que llegar a concienciarnos de que la seguridad es algo útil y valioso. Las organizaciones tendrán mucho que ver en esto. S - Usted encarna lo que los anglo- sajones denominan Chief Security Officer (CSO), el mando único en Se- guridad Corporativa. ¿Cuándo se plantearon la coordinación conjunta de seguridad física y lógica? El planteamiento surgió desde que se plantea la Seguridad con vocación corporativa. Se articuló a través de di- ferentes proyectos dentro del Plan Di- rector porque su intención iba más allá de analizar la vertiente lógica de los sistemas pues también era necesa- rio proteger el contorno que los con- tiene, donde entran en juego tornos, videovigilancia, etc., como ocurre en un centro de datos. Éste es el ejem- plo de que ambos mundos viven uno del otro. Pero no debo esconder que la convergencia tiene sus complica- ciones, porque tradicionalmente han sido mundos separados. Intentando no solapar competencias, la solución es el mando único, independiente- mente de que cada dirección tenga su responsabilidad. Otro elemento crítico es que la alta dirección lo respalde. - Como alumnos aventajados en este ámbito, ¿cómo valora el Esquema Nacional de Seguridad (ENS) y el bo- rrador del RD sobre Protección de Infraestructuras Críticas? Es un elemento que nos preocupa, y nos ocupa, porque compar timos el interés por proteger los sistemas de Administración electrónica. Además, haber creado un estándar que sirva de referente es un elemento funda- mental. En nuestro caso estamos eva- luando la implementación del ENS en los 650 Sistemas de la Comunidad que dan soporte a los servicios al ciuda- dano, según la Ley 11/2007. Estamos trabajando en él con la ayuda de las - Muy interesante, pero, ¿cómo ha avanzado el control de riesgos a la par de un proyecto tan ambicioso? Aumentar en control y disponibili - dad de los sistemas significa afrontar también más riesgos. Por esto, otro proyecto muy importante ha sido el de gestión de identidades, con un marco de definición para los próximos años. Arrancaremos en breve la se- gunda fase del mismo, que implicará un mapa detallado de la situación de identidad de los usuarios de todos los entornos TI de la Comunidad de Ma- drid. De esta forma, el marco estraté- gico determinará repositorios, fijará estrategias para abordar datos maes- tros y definir con exactitud modelos de identificación de los usuarios. Su impacto va a ser muy alto y queremos medir la viabilidad de la implantación, teniendo presente todos los riesgos como los que se pueden derivar de la virtualización o cloud . Queremos que esté operativo dentro de cinco o seis meses. Una buena coordinación or- ganizativa es el elemento más impor- tante, aunque es cierto que el freno económico crea dificultades. - En un organismo público es esen- cial la auditoría de Sistemas de la In- formación, como señalaba. ¿Es una labor interna o la dejan en manos de auditores externos? En general, tenemos nuestro sistema interno para evaluar la eficacia de los controles, pero en algunas circunstan- cias sí contamos con la ayuda externa, sobre todo para examinar entornos críticos y evaluar la criticidad de los servicios más importantes. El criterio de un tercero es necesario, bien por requisito legal o como oportunidad de contrastar conclusiones. “Hemos conseguido automatizar todos los elementos de gestión de un responsable de Seguridad” Seguridad de la Información