martes, 27 de enero de 2004
Gestión de la seguridad de la información

Navegando con Google, he encontrado en un blog vecino, un resumen de las Jornadas que el Ministerio de Ciencia y Tecnología dedicó en noviembre del 2003 a la Certificación de la Seguridad. A continuación, os posteo los comentarios que en este blog recogen lo hablado en las jornadas.

Otro día, dedicaré mas tiempo a hablar de la ISO 17799-1 y los sistemas de gestión de la seguridad de la información.


"Diario de Sesiones"

Hoy el MCYT nos ha convocado en las intalaciones del CSIC (los listos que cuidan de que el árbol de la ciencia crezca sano y frondoso en nuestro país) y nos ha convocado para una jornada divulgativa , planteada también como punto de encuentro de la industria relacionada con la certificación de la seguridad de la información. Se trata de una iniciativa que se enmarca dentro de la directriz de seguridad del plan para el desarrollo de la sociedad de la información (SI) Espańa.es. De modo que, con el habitual retraso de siempre, nuestro estimado colega, Jorge Pérez Martínez nos ha dirigido unas palabras, a modo de apertura, donde insistía en la importancia de la seguridad de la información que circula por las redes y del creciente grado de dependencia que vamos asumiendo a medida que avanzamos en el desarrollo de esa SI. Y hacía hincapié en dos cosas: la percepción de confianza, como factor indispensable para que la sociedad civil acepte la implantación efectiva de ese nuevo modelo de sociedad basada en el conocimiento y en una capacidad de interacción ilimitada; y la necesaria participación del tejido empresarial que definir los mecanismos y estándares (en el sentido de las buenas prácticas) que permitan esa percepción. Evidentemente, Jorge, como buen profesional, metido en su nuevo papel, no perdió la ocasión para vender el proyecto de Firma Digital, y el DNI Digital, que se espera entre en piloto pronto.

La mańana se organizaba en torno a dos mesas redondas: la primera, formada por las entidades de certificación, pretendía dar el enfoque normativo; mientras que la segunda, formada por representantes del mundo empresarial, pretendía mostrar la realidad de la certificación desde el mundo real, de la competencia empresarial.

Después de las dos mesas, se cerraba la programación con la visión de la Administración Pública, en base a las ponencias, por un lado del Ministerio, y por otra del CNI.

Antes de la primera mesa, vimos como las expectativas de cumplimiento con el horario previsto se diluían lentamente a lo largo de tres ponencias previas. En la primera, la entidad acreditadora a nivel nacional, ENAC, nos intentaba ilustrar el esquema que siguen los procesos de acreditación y certificación en Espańa y en Europa, y nos daba una idea del cuerpo normativo con el que se cuenta actualmente para abordar la certificación de los sistemas de gestión de los sistemas de información, situándonos en su contexto la norma estrella del día: la BS-7799, originaria de la BSI, acreditada por UKAS (el análogo de ENAC en el Reino Unido).

La siguiente ponencia, a cargo de un chaval de Marketing del BSI, ahondó más en la BS-7799, insistiendo más en la separación, ya introducida por la representante de ENAC, entre la parte 1 de la norma, convertida ya en 1999 en el estándar internacional ISO/IEC 17799-1, y que básicamente contiene un conjunto de buenas prácticas para la gestión de la seguridad de la información (127 criterios divididos en 10 temáticas), y la parte 2, que es donde realmente se certifican los procesos y la implantación de los mismos en la operación de la empresa. Es aquí donde comienza el discurso comercial vendiendo esta parte de la norma prácticamento como un estándar de facto y haciendo hincapié en el éxito que está teniendo en los paises asiáticos, aprovechando su enfoque de búsqueda de la integración con otras normas de certificación de sistemas de gestión, como la ISO 9000 y la ISO 14000.

A continuación, un representante de AENOR, detalló un poco más el cuerpo normativo existente en nuestro país... A destacar la UNE 71501, y lo que todavía es PNE 71502 (que se espera UNE a fin de ańo). Más de lo mismo, con la misma efectividad: ni siquiera estoy seguro de esos dos números.

Más interesante resultó la presentación de ASIMELEC, con los resultados más relevantes de su informe sobre la adopción de sistemas de seguridad en la empresa espańola: sobre la base de una encuesta de 140 preguntas, realizada sobre un universo de 52 empresas, se vertía una visión francamente pesimista () donde se destacaba la baja adopción de tecnologías de seguridad que se consideraban ampliamente difundidas y, sobre todo, la falta de una cultura orientaba a la actuación proactiva, que nos llevaba a bajos niveles de adopción incluso en temas de conformidad legal, como la LOPD.

Resultó bastante clarificadora la exposición de un chaval, con acento canario y apellido nórdico, que en representación de Applus+ nos contó la situación en que se encontraba el desarrollo de lo que será, algún día, el ISO/IEC 17799-2, a partir de los trabajos del SC27. Lejos de confirmar los deseos del BSI, dando por hecho el que era sólo cuestión de tiempo el que se lanzara un Fast Track para la adopción directa de la BS 7799 parte 2, se ha decidido hacerlo por la vía del Normal Track (5 ańos) y sobre la base de un estudio preliminar de varias de las normas existentes, una de las cuales es la BS 7799-parte-2, siendo otra de las destacadas una norma del NIST norteamericano que presenta la peculiaridad de no ser compatible con ISO 9000 o ISO 14000.

Esta presentación ya resaltaba el tema de la tendencia integradora de los sistemas de certificación; muy deseable a priori desde el punto de vista de las empresas, que deben afrontar las auditorías correspondientes a diferentes certificaciones de sistemas de gestión, con lo que ello comporta en cuanto a la asignación de recursos y su productividad.

La mesa se cerraba con la intervención de un representante del INTA, que hizo un intento de exposición de lo que significa el CommonCriteria y sus orígenes; y digo intento, porque lo que casi consiguió es dormirnos a todos leyendo una serie de transparencias en un fondo azul soporífero... Sin embargo seńaló una cuestión que se había obviado, y que sin embargo es fundamental: Toda la normativa sobre la que giraban las jornadas estaba destinada a la certificación de sistemas de gestión en general, y de sistemas y seguridad de la información en particular; y no a la certificación de la implantación de esos sistemas...

Un breve receso para el café dio paso a la segunda mesa, donde un chaval de EADS-CASA exponía más o menos claramente el proceso que se sigue en la evaluación, certificación y acreditación de la seguridad de los sistemas de información en la industria. Más enriquecedora, y esperada, fue la exposición del representante de Ericsson Espańa, puesto que presentaba el único caso de una empresa en este país en posesión de la certificación BS 7799-2:2002 (La última Revición del BSI). Un caso práctico que se reveló como una respuesta a una necesidad del mercado. En este caso Ericsson quería certificar la seguridad de los algoritmos que las operadoras les confiaban bajo la custodia de su oficina del AUC de su centro de I+D de Madrid. Un caso que destacaba dos puntos: la importancia de la definición del alcance en un proyecto de certificación, y el valor de la certificación como ventaja competitiva, y por tanto su utilización como argumento de venta.

Cerrando la segunda mesa, la directora general de Finmatica Espańa, daba la visión desde el Management moderno relacionando la certificación con la cobertura de la necesidad de cuantificación que surge al integrar la seguridad al mismo nivel que la calidad dentro de los sistemas de gestión de la empresa... Insistía esta mujer en una idea que casí todos los ponentes habían dejado sobre la mesa: LA SEGURIDAD NO ES UN PRODUCTO, SINO UN PROCESO, con todo lo que eso implica al considerarla dentro del sistema de gestión. Me refiero a la necesidad de un esfuerzo de comunicación a todos los niveles, el compromiso explícito de la Dirección, la necesidad de mejora contínua.

Al final, el autor de estas líneas, indignado ante la falta de seriedad en la programación del tiempo (un fallo recurrente, inaceptable de todo punto) optó por desaparecer e irse a compartir mesa y mantel con otro segmento del tejido empresarial del país... La visión del Ministerio de Administraciones Públicas y del CNI habrá que deducirla del material presentado.

Punto de reflexión: La tendencia a la integración de los estándares de certificación de sistemas de gestión y su relación con el valor como ventaja competitiva de los certificados, así como su efecto en el mercado de confianza (impacto en los distintos actores: auditores, consultores, certificadores, acreditadores, y comercializadores de las normas como BSI).

Enlaces que hay que visitar:
1.- El sitio de ASIMELEC
2.- El portal del BSI sobre la BS-7799-2:2002
3.- El portal de AENOR y buscar la norma UNE 71502:2004
4.- La Web del MCYT, donde se podrán descargar en las presentaciones del evento

La noticia original proviende de Antoine's Blog on Business and Technology.
 
;