viernes, 23 de junio de 2006

Telefónica Empresas, predicando con el ejemplo, ya tiene su SGSI-ISO 27001

Aunque la noticia no es de hoy, la tenía pendiente para comentar. En la Revista SIC de este mes aparece un folleto interno en donde se indica que Telefónica Empresas ha adaptado y certificado el "Sistema de gestión de seguridad de la información de aplicación en sus centros de datos gestionados (CDG) y servicios) contra la norma ISO 27001.

Aunque de estos sistemas lo más importante es ver en concreto el alcance de la certificación, me parece digno de destacar que efectivamente Telefónica predica con el ejemplo, dado que ha decidido certificar el centro de datos que da servicios a empresas. Como proveedor ha querido acreditar con este sello que dispone de un sistema de gestión orientado a proporcionar la máxima seguridad de la información a sus clientes.

Ello, no debemos confundirnos, no significa que nunca vaya a pasarles nada. Simplemente han apostado por un marco de gestión para abordar la seguridad y por tanto, el primer paso ha sido identificar los mayores riesgos potenciales para ahora y poco a poco ir reduciendolos, evitarlos o transferirlos a terceros.

Aunque no he encontrado una nota de prensa en el portal español, si aparece en el siguiente enlace.

¿Qué gana con esto Telefónica Empresas?
Yo creo que mucho por dos motivos:
- En primer lugar, se autoimpone una filosofía de gestión para la parte de servicios quizás más delicada, que es la de servicios de proceso de datos a terceros cuyo objetivo es ganarse la confianza de los clientes en base a pruebas y registros de las actividades de seguridad que desarrollan a diario.

- Por otro, puede permitir que cualquier empresa que albergue sus sistemas de información dentro de sus centros, se beneficien de este sistema de gestión, dado que si el outsourcer te garantiza seguridad, el esfuerzo para la empresa propietaria de los datos para implantar el SGSI se reduce a cubrir todos los procesos que no están subcontratados.

El pensar que algo es más seguro porque tenga el sello ISO 27001 es ya otro debate en el que por ahora prefiero no entrar. Para alguien como yo que lleva creyendo en que la "GESTIÓN" de la seguridad iba a llegar a donde está llegando, es muy importante ver como las empresas de mayor prestigio creen en que la seguridad se gestiona, al igual que la satisfacción del cliente.

Como la seguridad al 100% no existe, al menos empezar a andar por un camino que busca llegar a conseguirlo es mejor que pensar que como nada se puede hacer, mejor esperar a tener suerte y que nunca pase nada.

Los primeros, en caso de incidente, podrán saber que ha podido fallar, que elementos no se contemplaron y aprenderán de ello. Los segundos no podrán aprender nada del incidente porque nada hicieron para evitarlo. Como mucho pondrán solución a la amenaza ya materializada sin saber si es lo único que pudiera pasarles y se quedarán simplemente esperando a no tener tan mala suerte.
 
;