De la última encuesta 2006 publicada por el Information Security Forum (ISF), en la que se recoge la opinión de sus miembros con relación a las principales amenazas que se ciernen sobre el recurso “información” en las organizaciones, se desprenden los siguientes resultados:

- Se asume que las violaciones no-intencionadas de información serán las que sigan causando mayor impacto en los negocios. En encuestas anteriores ya se constató que así estaba ocurriendo en el pasado.
- Se espera que se incremente el número de ataques intencionados. Habrá que incrementar la defensa contra amenazas tales como el SPAM y los virus
- El crecimiento más significativo de ataques intencionados en los próximos 24 meses estará probablemente asociado a la evolución del grado de sofisticación de los ataques externos, promovidos por el crimen organizado y enfocados al robo no-detectado de información en organizaciones relevantes
- Será imprescindible redoblar los esfuerzos de sensibilización y mentalización del personal de las organizaciones para que el uso de dispositivos móviles empleados en la actividad profesional no suponga una amenaza adicional originada desde dentro
- Se establece como futuro inmediato un horizonte de 24 meses; más allá surgirán nuevos tipos de amenazas importantes asociadas a los avances en las plataformas tecnológicas, tales como: Web 2.0, IPv6 y el “grid computing” (red de plataformas heterogéneas).

Con estas expectativas y con el crecimiento de los recursos tecnológicos de información como base en la actividad y en el negocio, es indudable que la función “seguridad” aplicada a un recurso tan importante como es la información jugará un papel cada vez más relevante en las organizaciones. Al igual que en el caso de la función “calidad”, es necesario que las organizaciones incluyan la gestión del riesgo frente a las amenazas como un proceso de mejora continua, en un entorno tecnológico en constante evolución.

La presencia expandida de las organizaciones (globalización) añade un factor de riesgo en la gestión de la seguridad de la información y de las comunicaciones, pero proporciona al mismo tiempo una oportunidad de compartir recursos y experiencias con otras organizaciones. De esta colaboración surgen soluciones comunes a necesidades comunes que fortalecen la confianza de la sociedad. Las consecuencias que produce en la sociedad las violaciones de la seguridad de la información tienen un efecto negativo en toda la comunidad, independientemente de la organización en la que se produzcan.

Ante la oportunidad de compartir experiencias para adquirir conocimiento y evitar el desarrollo de estudios o proyectos costosos para resolver necesidades comunes ante amenazas comunes, surgió la idea de crear un foro específico para tratar todo lo relativo a la seguridad de la información.

Fundado en 1989, el Information Security Forum (ISF) es una organización internacional sin ánimo de lucro, que agrupa a más de 300 organizaciones presentes en 25 países. Se considera una autoridad líder e independiente en todo lo que concierne a la seguridad de la información. El ISF está gobernado por sus miembros y está gestionado por una organización gerencial profesional. Toda la actividad que realiza a través de sus grupos de trabajo se dirige a satisfacer las necesidades que establecen sus miembros para asegurar la información base de sus negocios.

Desde su fundación, el ISF ha invertido más de 100 millones de US $ que se han materializado en productos útiles, tales como:
- Una biblioteca de más de 200 soluciones basadas en el “mundo real” y en el uso de las “mejores prácticas”, en la que los miembros del ISF encuentran resúmenes ejecutivos, guías de implementación, “cheklists”, informes monográficos y metodologías
- Un portafolio de herramientas para la gestión automatizada del riesgo, que permite a los miembros del ISF recabar información útil para el análisis del riesgo, evaluar su situación frente al riesgo, efectuar “benchmarking” de su exposición al riesgo en comparación con otros miembros del foro, determinar el grado de cumplimiento con los estándares internacionales y calcular el retorno de la inversión en seguridad
- Una inmejorable plataforma de intercambio de conocimiento entre los miembros, a través de la participación en grupos de trabajo y en “workshops” en los que se abordan temas específicos relativos a la seguridad de la información, reuniones de los capítulos regionales del ISF,; acceso a la extranet del ISF (MX2) y participación en el Congreso Anual del ISF.

Por tanto, los beneficios que una organización obtiene como miembro del ISF se concretan en:
- Acceso al conocimiento y la experiencia de organizaciones de todo el mundo
- Obtención de soluciones prácticas para problemas de seguridad de la información de alta prioridad para el negocio
- Capacidad para analizar la vulnerabilidad propia, con la posibilidad de compararla con la de otras organizaciones del mismo o diferente sector de actividad
- Acceso a las mejores prácticas y a valorar el grado de cumplimiento con respecto a los estándares internacionales
- Rentabilidad y retorno de la inversión, evitando acometer estudios y soluciones con recursos propios o encargados a consultores externos.

El pasado día 7 de noviembre, formando parte del evento que el ISF organizó en Madrid (Executive Briefing 2007), se constituyó el Capitulo Español del ISF. En la actualidad dicho capítulo está constituido por las siguientes organizaciones: BBVA (que amablemente alojó el evento), Caja Madrid, La Caixa, Repsol YPF y Telefónica. A la sesión constitutiva asistieron además personas pertenecientes a otras corporaciones de ámbito internacional con presencia en España. Con esta acción, el ISF pretende potenciar la incorporación de nuevos miembros en España e impulsar la presencia del foro en Latinoamérica.

Para contribuir a la consecución de este objetivo jugará un papel importante la empresa española CALS (Computer Aided Logistics), como Agente del ISF para España, Portugal, Latinoamérica y China. Como resultado del evento, CALS ha recibido peticiones de información sobre el ISF por parte de importantes organizaciones nacionales. De interés especial cabe destacar el contacto inicial surgido entre el ISMS Forum Spain, que asistió al evento, y CALS para explorar vías de colaboración y de intercambio de experiencias y conocimiento desde los ámbitos nacional e internacional en los que se posicionan ambas organizaciones. Como primera acción, CALS agradece sinceramente al ISMS la gentileza de poder publicar este artículo y su invitación a asistir a la “II Jornada Internacional de ISMS Forum Spain” que tuvo lugar el pasado 20 de noviembre.

Por último, es nuestro deseo desde estas líneas animar a las empresas y a los organismos públicos españoles a participar activamente en estos foros para contribuir a la mejora continua de la seguridad de la información. El beneficio obtenido se manifestará en nuestras organizaciones y se proyectará en toda la sociedad.

Para más información sobre el ISF, ponerse en contacto con Jesús Serrano: jserrano(arroba)calogistics.com