El pasado mes de Marzo tuvo lugar el primer curso de formación "Lead Auditor ISO 20000" que se celebra en el mundo bajo supervisión directa del IRCA. La formación se celebró en Taiwán y tuve la gran suerte de poder impartirlo junto a Louis Lu de la entidad de certificación SGS de este país y quién, además de estar metido en asuntos de la ISO 20000, es también el primer formador certificado por el IRCA en Asía para impartir cursos de Lead Auditor en ISO 27001.

Entre otros, Louis tiene a sus espaldas auditorías realizadas en más de 750 organizaciones y más de 3200 horas impartidas en relación a los Sistemas de Gestión de Seguridad de la Información y desde mi llegada a Taiwán y a lo largo de todos los días que hemos estado trabajando juntos hemos podido comentar algunos de los siguientes temas que paso a resumir a continuación.

ASOCIACIONES
En Taiwán existe desde 2002 un capítulo local del ISMS IUG (Internacional User Group) pero los asociados a este capítulo no podían desarrollar adecuadamente sus actividades por no gozar de ningún tipo de reconocimiento formal y a nivel legal.

Esta misma situación sucede de forma similar en otros países, por tanto, la posibilidad de intercambio de información o la realización de actividades que puedan ser desarrolladas y compartidas entre los distintos capítulos nacionales era complicada y, por tanto, difícil de establecer.

Para evitar estos problemas, los asociados del capítulo local han decidido finalmente crear asociaciones constituidas legalmente y que les capacita, ahora sí, para realizar y potenciar sus actividades reconocidas tanto a nivel nacional como internacional.

Asociaciones como RAISS (Regional Asia Information Security Standards), CCISA (Chinese Cryptology and Information Security Association) o CISMA (Chinese Information Security Management Association) son, en este sentido, buenos puntos de referencia en estas latitudes dado el alto grado de experiencia que reúnen sus asociados.

CERTIFICACIONES
Actualmente, Taiwán es el cuarto país del mundo en el número de certificaciones en la norma ISO 27001.

Uno de los principales motivos que han impulsado a las organizaciones de este país a implantar la norma se debe a la situación de tensión que se vive con China. De hecho, desde el propio gobierno de Taiwán se promovió la adopción de los SGSI con objeto de elevar el nivel de seguridad nacional y, como resultado, más de la mitad de las organizaciones certificadas son departamentos o agencias gubernamentales.

Dentro del ámbito de las organizaciones privadas son las de mayor tamaño las más interesadas en implantar la norma. El motivo es, fundamentalmente, la escala de negocio en que se mueven y una mayor posibilidad de dedicar los recursos necesarios para su implantación y mantenimiento.

Por otro lado, las compañías pequeñas recurren a la certificación principalmente por las presiones de sus compradores, así como para mantener el nivel de su propia competitividad en el sector de mercado en el que actúan.

"Taiwán es un país reconocido por el diseño y producción masiva de distintos productos de consumo relacionados con la alta tecnología (semiconductores, ordenadores portátiles o pantallas planas) y resulta difícil mantener la ventaja competitiva en un mercado plagado de espías comerciales", me comentaba Louis. "En este sentido, los SGSI juegan un papel fundamental para evitar la difusión y fuga de información crítica de negocio".

LEGALIDAD
Actualmente, no existen requisitos legales que obliguen a la implantación de ISO 27001 a las compañías que quieren optar a la participación en contratos ofertados por parte del Gobierno de Taiwán. Sin embargo, sí que se pueden obtener puntos extras claves que permiten una clara ventaja a aquellas empresas certificadas en la norma. En relación a este punto, cabe destacar que tanto en España como en pliegos de otros países europeos y americanos empieza a reproducirse esta situación y cada más frecuencia.

EVOLUCIÓN DEL MERCADO
El 2001 fue el año del despegue en las certificaciones de la norma dentro del mercado asiático. La aparición de la revisión del 2002 de BS 7799-2 ha provocado que se haya duplicado prácticamente cada año el número de empresas certificadas hasta el pasado año 2006.

Aunque este espectacular crecimiento es difícil de mantener y se estima que decrezca en cierta medida a partir del actual 2007 se espera, de todos modos, que en los próximos dos años Taiwán alcance cerca de las 400 certificaciones superando incluso a la India (tercer país en número global de certificaciones en la actualidad).

En términos regionales, Asia mantendrá posiblemente la posición predominante en el número global de certificaciones de cara a los próximos tres años con Japón como cabeza destacada.

Japón seguirá siendo la número uno en el número de certificaciones debido a su interés en los sistemas de gestión, que se remonta a la década de los años 60 pero, en particular, por un par de sucesos que ya les han servido como ejemplo claro para la toma de conciencia sobre la necesidad de implantar SGSIs con objeto de mantener su tejido y desarrollo empresarial.

En primer suceso a mencionar tuvo lugar en los años 80 y en relación a la fabricación de módulos de memoria por parte de Toshiba en Japón. En aquel entonces y desde otro país asiático se logró convencer, por medio de un cazatalentos, a varios ingenieros expertos de Toshiba para que trabajasen los fines de semana en otra empresa en la mejora de sus procesos de fabricación de estos componentes. Tras dos años de fines de semana de trabajo esta empresa alcanzó los ratios de calidad necesarios como para que Toshiba sufriera entonces la competencia directa en el mercado de este otro fabricante.

El segundo suceso tuvo lugar en la siguiente década de los 90 en el sector de automoción y con la entrada de Corea en el panorama internacional de producción de automóviles. Con objeto de mejorar las calidades, la industria coreana se dedicó a traer, analizar y descubrir los materiales y compuestos utilizados en piezas y componentes procedentes de los fabricantes japoneses con el objeto de alcanzar cotas de calidad competitivas para el desarrollo de su propia industria en los mercados internacionales.

Ambos incidentes sirvieron en Japón como un claro exponente a su industria sobre la necesidad de mantener la seguridad de la información en sus empresas y explica por qué este país ha tomado conciencia y partido desde los inicios de la norma BS 7799 y su primera posición destacada en el número de certificados.

CONCLUSIONES
La aceptación en la implantación de los sistemas de gestión de la seguridad de la información en esta región tiene una clara asociación local con el desarrollo de negocio de las empresas.

En contraste, España existen únicamente nueve empresas certificadas en la norma ISO 27001 y no se ha creado aún un nivel cultural suficiente y propicio en relación a la seguridad de la información que permita ver con tanta claridad como en Asia o, incluso, en países vecinos europeos como Reino Unido, Alemania o incluso Hungría que la falta de seguridad en las empresas es un freno para incrementar la capacidad de desarrollo y competitividad.

Supone, por otra parte, un indicador de que muchas compañías no han tomado aún clara conciencia de la realidad que implica el cambio tecnológico, así como las nuevas ventajas pero también amenazas que imprimen las denominadas ¿nuevas tecnologías¿ y cómo afectan a la productividad y evolución del propio negocio.

Con una mirada positiva, cabe destacar, que algunas de las dificultades más importantes que han evitado una mayor aceptación e implantación de los SGSI en las empresas (sobre todo las más pequeñas y con menos recursos) tienen a disminuir.

Se empieza ya a disponer de un mayor conocimiento sobre los beneficios de las normas ISO 27001:2005 e ISO 17799:2005 para el negocio, la aplicación de herramientas adecuadas, la disponibilidad de guías apropiadas, la aparición de los primeros auditores españoles reconocidos internacionalmente y que reducen los costes de certificación a niveles aceptables, la aparición de las primeras empresas consultoras con experiencia práctica en implantación y, por último, la posibilidad de acceder a ayudas por parte de las administraciones públicas y que pueden llegar a cubrir hasta el 50% de los costes involucrados en la implantación de un SGSI.

A partir de ahora, también disponemos de una nueva asociación abierta a todos los profesionales interesados y desde la que poder difundir y fomentar la seguridad de la información en España en beneficio de toda la comunidad implicada en un sector claramente estratégico para desarrollo de las empresas y puestos de trabajo pero, también, para alcanzar un nivel adecuado de protección de la sociedad en la que vivimos y de la información de los ciudadanos.