jueves, 28 de enero de 2016

Procesos Certificados, Empresa Segura


“A pocos kilómetros de aquí, por ejemplo, hay un edificio que maneja gran parte del tráfico transpacífico de Internet. Solo haría falta que alguien fuera al sótano de ese edificio…Es decir hay puntos vulnerables y un ataque es posible”, Leonard Kleinrock, entrevista de  XL Semanal, ABC, Nª 1463, semana del 8 al 14 de Noviembre.
 
Hay una ola creciente de necesidades de procesos seguros para hacer frente a los fallos accidentales y a los ataques intencionados a los que se somete a nuestros sistemas de información. En este sentido, se hace más necesario que nunca procesos claros y objetivos, conocidos por toda la organización que permitan tanto la prevención como la reacción frente a un incidente de Seguridad.
Hasta ahora, el peso de la protección de las Compañías frente a ataques recaía sobre todo en los fabricantes, que mueven, según los expertos, en torno a 50 Billones de Dólares.
En esta situación la certificación,  entendida como adopción de modelos probados que obligan a una serie de controles determinados, se ha convertido en un elemento clave para garantizar la seguridad  de IT.
Tanto las legislaciones europeas, tales como la ley eiDAS, orientada a la identificación digital y de obligado cumplimiento para los prestadores de servicios de confianza a partir del 1 de Julio de 2016, como normativas y leyes nacionales, tales como el Esquema Nacional de Seguridad, la Ley de Protección de Infraestructuras Críticas, que identifica aquellos sectores esenciales para el funcionamiento del Estado o de la sociedad, como la Estrategia de Ciberseguridad Nacional, reconoce la necesidad de que los elementos y procesos que intervienen en un Sistema de Información estén validados y certificados conforme a un estándar ampliamente aceptado.
¿Qué beneficios puede ofrecer la certificación de los procesos y componentes tecnológicos? A mi modo de ver hay varios beneficios evidentes más allá del cumplimiento más o menos obligatorio:
1.       La identificación y validación de procesos esenciales para la operativa de IT y por lo tanto para la operativa del negocio, desde la forma de desarrollar software, a cómo proteger los activos tecnológicos.
2.       El juicio de un tercero imparcial, especializado en el tema a certificar lo que aporta la visión del experto auditor no solo en el propio entorno del cliente si no en relación con organizaciones parecidas.
3.       La capacidad de comparar, dentro del mismo sector, con otros sectores pero con características más o menos comunes de tamaño, número de clientes, etc.
Detrás de esta falta de procesos, está la propia inmadurez del sector de IT, que se encuentra, "en plena pubertad",  según la expresión del Sr. Leonard Kleinkrock, uno de los fundadores de Internet. Hay que ver si se acaba convirtiendo en un adulto responsable...
 
 
 
 
 
 
 
 
En esta situación la certificación,  entendida como adopción de modelos probados que obligan a una serie de controles determinados, se ha convertido en un elemento clave para garantizar la seguridad  de IT.