AENOR en pro de la seguridad
En fechas recientes los titulares de los medios noticiosos de todo el país estuvieron dedicados a la venta de bases de datos oficiales en calles del Distrito Federal. Esto no sólo ha generado gran desconfianza en la manera en que son manejados sus datos por las dependencias responsables de resguardarlos, también ha alertado a muchas empresas sobre posibles fugas de información que de de ocurrir podrían ocasionar severos daños económicos o de imagen.
Por ello Exalli.com platicó con Victor Fernández, director general de AENOR
México empresa de origen español dedicada a certificar empresas bajo normas internacionales, así como de capacitarlas para lograr dichas certificaciones.
Durante la charla que sostuvimos con el directivo, nos explicó cómo es posible apuntalar la seguridad de una empresa mediante una norma internacional: la ISO 27001 Certificación de los Sistemas de Gestión de Seguridad de la Información.
A este respecto Fernández comentó “La seguridad de la información es de vital importancia sin embargo el panorama de la gobernabilidad es mucho más extenso y se traduce al final en lo que se conoce como Continuidad en el Negocio, que debería ser la meta de todas las empresas, de cualquier ramo”. El entrevistado agregó que para lograr el Business Continuity hay que pasar oir varias etapas, una de ellos es la ISO 27001, pero también se evalúa el software y, por otro lado la ISO 2000 asegura que las áreas de informática que son donde se maneja toda la información de las empresas estén bien reguladas.
De acuerdo con lo expresado por Fernández, el contar con una certificación ISO 27001, puede ayudar a las empresas a encontrar los puntos donde son vulnerables, incluso en activos como el mismo nombre de la empresa, sus activos documentales y, el que causa mayor riesgo de daño, el activo de recursos humanos.
Una vez que una empresa decide iniciar el proceso de certificación en ISO 270001, AENOR se encarga de realizar un análisis de la seguridad en la empresa, el cual incluye una prueba de penetración para verificar qué tan posible sería para un atacante tener acceso a los recursos informáticos de la empresa, incluyendo las bases de datos que maneja, datos financieros, etcéterea. De este modo se conocen las vulnerabilidades de alto, mediano y bajo riesgo.
“Una vez que se conocen las vulnerabilidades, la norme prevé 133 controles que se pueden aplicar a dichos puntos de riesgo, así como métricas para determinar qué tan bien se están controlando estos riesgos. Del mismo modo en caso de que alguna de estas condiciones de riesgo no sea contemplada dentro de los controles de seguridad, quizás por tener una probabilidad muy lejana de ocurrir, se le crea un plan de contingencia en caso de presentarse”, explicó.
El directivo habló de la importancia de que en las empresas existan controles de seguridad que contemplen castigos o penalizaciones para quienes las incumplan y destacó que muchas empresas no ponen límites los visitantes que llegan a sus instalaciones o a la manera en que sus empleados utilizan el equipo de cómputo portátil que les ha sido entregado por la empresa. Nos relató cómo es que muchas compañías subcontratan servicios de mantenimiento para sus instalaciones y dicho personal tiene acceso a partes vitales de la empresa sin que le sea retirado el teléfono celular, lo cual pone en riesgo secretos industriales que pueden poner en serios problemas a cualquier empresa. Lo mismo ocurre cuando a un visitante se le permite ingresar a las instalaciones con una computadora portátol y/o memorias USB donde con gran facilidad pueden ser sacados datos vitales.
Fernandez, aclaró que a diferencia de la certificación ISO 9000 que es la más conocida y la cual como parte importante requiere que muchas labores o gestiones dentro de la compañía sean delegadas para poder tener un control sobre los procesos de la empresa, la ISO 27001 se asegura de que absolutamente nadie, excepto el dueño de la empresa sea el único con acceso a toda la información, en tanto que los mandos inferiores van teniendo acceso únicamente a partes de ésta haciendo imposible que alguien externo o de nivel bajo dentro de la organización pueda resolver el crucigrama de la seguridad de los activos.
Al preguntarle acerca de los tiempos que requiere esta certificación, aseguró que una empresa de tamaño mediano puede lograr su certificación y que debido a que los costos van en función de cuántos empleados hay en cada negocio, las empresas pequeñas o medianas pueden acceder a esta certificación.
Finalmente, el directivo explicó que muchas empresas deciden implantar los controles que manda la norma aún cuando no decidan certificarse de inmediato por motivos económicos. Otra de las ventajas de la ISO 27000 es que se puede ir implantando por áreas.
Para mayor información visita: www.aenormexico.com
