“A pocos
kilómetros de aquí, por ejemplo, hay un edificio que maneja gran parte del
tráfico transpacífico de Internet. Solo haría falta que alguien fuera al sótano
de ese edificio…Es decir hay puntos vulnerables y un ataque es posible”, Leonard
Kleinrock, entrevista de XL Semanal,
ABC, Nª 1463, semana del 8 al 14 de Noviembre.
Hay una ola creciente de necesidades de procesos seguros para hacer frente a los fallos accidentales y a los ataques intencionados a los que se somete a nuestros sistemas de información. En este sentido, se hace más necesario que nunca procesos claros y objetivos, conocidos por toda la organización que permitan tanto la prevención como la reacción frente a un incidente de Seguridad.
Hasta ahora, el peso de la protección de las Compañías frente a ataques recaía sobre todo en los fabricantes, que mueven, según los expertos, en torno a 50 Billones de Dólares.
En esta situación la certificación, entendida como adopción de modelos probados
que obligan a una serie de controles determinados, se ha convertido en un
elemento clave para garantizar la seguridad
de IT.
Tanto las legislaciones europeas, tales como la ley eiDAS,
orientada a la identificación digital y de obligado cumplimiento para los
prestadores de servicios de confianza a partir del 1 de Julio de 2016, como
normativas y leyes nacionales, tales como el Esquema Nacional de Seguridad, la
Ley de Protección de Infraestructuras Críticas, que identifica aquellos
sectores esenciales para el funcionamiento del Estado o de la sociedad, como la
Estrategia de Ciberseguridad Nacional, reconoce la necesidad de que los
elementos y procesos que intervienen en un Sistema de Información estén validados
y certificados conforme a un estándar ampliamente aceptado.
¿Qué beneficios puede ofrecer la certificación de los
procesos y componentes tecnológicos? A mi modo de ver hay varios beneficios
evidentes más allá del cumplimiento más o menos obligatorio:
1.
La
identificación y validación de procesos esenciales para la operativa de IT
y por lo tanto para la operativa del negocio, desde la forma de desarrollar
software, a cómo proteger los activos tecnológicos.
2.
El juicio
de un tercero imparcial, especializado en el tema a certificar lo que
aporta la visión del experto auditor no solo en el propio entorno del cliente
si no en relación con organizaciones parecidas.
3.
La capacidad
de comparar, dentro del mismo sector, con otros sectores pero con
características más o menos comunes de tamaño, número de clientes, etc.
Detrás de esta falta de procesos, está la propia inmadurez del sector de IT, que se encuentra, "en plena pubertad", según la expresión del Sr. Leonard Kleinkrock, uno de los fundadores de Internet. Hay que ver si se acaba convirtiendo en un adulto responsable...
En esta situación la certificación, entendida como adopción de modelos probados
que obligan a una serie de controles determinados, se ha convertido en un
elemento clave para garantizar la seguridad
de IT.