La necesidad de la certificación ISO 27001 acaparó la atención de la I Jornada Internacional de ISMS Forum Spain

La Jornada, que se desarrolló el pasado 17 de mayo en el auditorio del Museo Reina Sofía de Madrid, sirvió para aportar una visión global de la situación actual, los retos futuros y las tendencias que seguirá el sector en los próximos años. “Se trata de la primera vez que los profesionales de este ramo en España nos reunimos para aunar nuestras voces”, comentó Gianluca D’Antonio, presidente y socio fundador de ISMS Forum Spain. “Era muy necesario crear un foro de debate para discutir nuestras inquietudes, elaborar estudios y empezar a plantear nuestras necesidades de forma conjunta”.

Artemi Rallo, nuevo director de la Agencia Española de Protección de Datos, fue el encargado de inaugurar el Congreso con una ponencia sobre “Los retos de la protección de datos en España”, en la que destacó el papel de la institución que dirige en vigilar que las empresas cumplen con las normas vigentes de gestión de la información. “Por desgracia en España todavía hay muchas empresas que creen que la seguridad de la información es competencia exclusiva de los departamentos de Informática, sin darse cuenta de las enormes implicaciones que tiene para el resto de la organización. Pero eso está cambiando poco a poco”, comentó, después de hacer un repaso a los retos que encara el organismo que encabeza.

Tras él, Fabrizio Cirilli, presidente de ISMS International User Group Italia, explicó sus experiencias al frente de la asociación que defiende los intereses del sector en Italia y destacó el todavía insuficiente posicionamiento de España con respecto a otros países en lo relativo a la implementación de sistemas de gestión de seguridad de la información y las enormes ventajas que supone obtener la certificación ISO 27001.

La sesión de la mañana continuó con un caso práctico, el de British Telecom y los retos, tanto tecnológicos y legales como de cambio de mentalidad interna, a los que se enfrentó la empresa a la hora de implementar un sistema integral de seguridad de la información en una compañía con actividades en todo el mundo. Elaine Farmer, gerente de Protección de Datos de la firma británica de telecomunicaciones, expuso las dificultades que encaró para establecer un sistema que sirviera de forma satisfactoria a una organización con más de 100.000 empleados, 20 millones de clientes y presencia en 170 países. “Eso significa enfrentarse a 170 marcos legales distintos”, comentó Farmer. Para ilustrarlo, habló de la solución que se implementó en un caso en el que la información, según el país de procedencia y la normativa vigente, se procesaba en Reino Unido, India, República Checa y Estados Unidos. “Hubo muchos conflictos para que todos los departamentos de la empresa involucrados entendieran la importancia de este sistema y lo respetaran. Les aseguro que durante un tiempo no fui la persona más popular en British Telecom”, dijo en tono de broma.

Luego llegó el turno del subdirector del International Register of Certificated Auditors (IRCA), el británico Vincent Desmond, quien aportó a los asistentes el punto de vista del auditor y explicó las funciones del organismo al que pertenece, la mayor agencia de certificación de auditores del mundo. En su intervención destacó cómo está cambiando su profesión: “Hasta hace poco la competencia de un auditor se medía por los títulos de formación que poseía y sus años de experiencia desarrollando la actividad. Pero en el futuro se medirá esencialmente por la forma en la que trabaja y demuestra sus habilidades reales con los resultados obtenidos. De esta forma el proceso de certificación es más caro, pero garantiza que se mantendrán unos estándares cada vez más estrictos y medibles”.

La ISO 27001, gran protagonista

La certificación en ISO 27001 fue el tema que acaparó la mayor parte de las ponencias de este primer encuentro. Con apenas una decena de empresas certificadas, España es por ahora uno de los países que menos se ajusta a ese estándar mundial de calidad. Según las cifras oficiales, en marzo de 2007 apenas había nueve empresas certificadas en nuestro país, cifra ínfima comparada con las 2.043 firmas japonesas o las 329 británicas que ya cumplen con esta norma básica. “Si consideramos que España es el octavo país del mundo en términos de Producto Interno Bruto y que estamos entre los cinco países con mayor número de certificaciones de calidad en lo que se refiere a la norma ISO 9000, no tiene ningún sentido el retraso que lleva España en la adopción del estándar mundial en la calidad de la gestión de la información”, comentó D’Antonio.

No obstante, muchos expertos presentes en el Congreso puntualizaron que la cifra de nueve empresas ha variado desde la última revisión oficial de marzo y el número de organizaciones en el país que se ajustan al estándar de calidad ISO 27001 es ahora más cercano a las 20, mientras existiría otra decena de compañías que se encuentra en proceso de obtenerlo.

Según D’Antonio, este retraso se debe a que en los últimos años las empresas españolas han dedicado la mayor parte de sus esfuerzos a crecer y consolidar sus negocios. “Generalmente una compañía presta más atención a la seguridad de la información en la etapa siguiente, después de haber logrado un negocio estable y un mercado maduro”, comentó. “Es entonces cuando se dedican a implantar las medidas complementarias de seguridad que mejoran el nivel de servicio. Las empresas tienen ahora que darse cuenta de que obtener el estándar de calidad ISO 27001 es una oportunidad de negocio. Cuando, por ejemplo, un banco está certificado, está garantizando a los clientes que su negocio cumple con las mejores normas de seguridad establecidas a escala mundial”.

Casos práticos

Y precisamente la sesión de tarde estuvo en gran parte dedicada a explicar las ventajas que han experimentado las empresas tras adoptar este estándar de calidad. Después de una interesante intervención de Luis Jiménez, subdirector general adjunto del Centro Criptológico Nacional (CCN), quien habló de “El factor tecnológico de la seguridad de la información”, llegó el turno de un panel de expertos españoles, responsables de la seguridad de la información de tres grandes empresas: Gas Natural, Bankinter e Iberdrola. Los tres comentaron las experiencias y los retos a los que se enfrentaron a la hora de implementar sistemas de seguridad de la información y adoptar la norma ISO 27001.

“La certificación no era un objetivo en sí mismo. Lo importante era recorrer el camino a que eso nos obligaba”, comentó Javier Valdés, director de Seguridad de Sistemas de Bankinter, el primer banco español que ha obtenido la certificación ISO 27001. Al principio, comentó, en su entidad no sabían cómo enfrentarse a los auditores, por lo que la empresa estableció un plan en tres fases: en la primera, que empezó en marzo de 2006, se llevó a cabo un análisis interno para establecer un proceso de mejora permanente. Tras ello, en junio de ese año se elaboró una preauditoría para preparar y entrenar a las personas y, finalmente, en octubre inició el proceso de certificación que obtuvieron al cabo de cinco meses.

Una vez lograda la certificación, había que darlo a conocer. Se planteó un plan de comunicación, involucrando a todas las áreas de negocio, para difundir a los clientes, tanto internos como externos, el valor que representaba haber obtenido este estándar de calidad mundial. “No fue fácil entendernos con el departamento de Marketing, que elaboró una campaña para los clientes en la que al principio nos parecía que trivializaba todos nuestros esfuerzos... pero al final nos dimos cuenta de que era una forma de que llegara el mensaje al gran público”.

Valdés respondió a una pregunta que muchos se hacían: ¿Lograr el ISO 27001 ha influido en el negocio? “La certificación es un intangible. Por eso sería ilusorio pretender que gracias a ella una empresa obtendrá una aportación de dinero contante y sonante. Contribuye a mejorar la imagen y sobre todo, es una herramienta muy útil”, dijo.

Tras él, José Luis Checa, responsable de Seguridad de la Información de Gas Natural, destacó las dificultades a las que se enfrentó su departamento para obtener el apoyo y el compromiso de la dirección, que muchas veces no alcanza a comprender la importancia de esta actividad. “Hay que articular un mensaje en el que no se empleen términos que no se entienden entre las altas esferas”, comentó. “Sólo así se logra que la dirección se involucre”.

“Hablemos lenguaje de empresa y dejemos de un lado el tecnológico: es la única manera de comunicar nuestras necesidades al director general y que las comprenda”, dijo por su parte Francisco Javier García Carmona, director de la Seguridad de la Información y Comunicaciones de Iberdrola. En su exposición, repasó la forma en la que una organización llega a tomar conciencia de cómo implementar una política de gestión de riesgo efectiva. “La tecnología no representa más del 20 por ciento de todo el proceso”, agregó, para luego destacar lo “útil y necesario” que ha sido para su empresa obtener la certificación ISO 27001.

El Congreso fue clausurado por el subdirector general de Servicios de la Sociedad de la Información, Salvador Soriano, quien expuso las políticas europeas sobre seguridad de la información y las actuaciones del Ministerio de Industria, Turismo y Comercio en el marco del Plan Avanza. Soriano destacó los planes del gobierno de crear un Observatorio de Seguridad, al igual que un centro para PYMES en el que se demuestre de forma práctica la enorme importancia que tiene la seguridad de la información y cómo mejorar los procesos para garantizarla. “Apenas estamos empezando en España. Queda un largo camino por recorrer, pero todos tenemos mucho que ganar”, comentó.

La organización de esta primera jornada internacional fue posible gracias al patrocinio de seis empresas muy vinculadas al sector de la seguridad de la información: Écija, Ernst & Young, Hewlett-Packard, S21sec, Steria y Symantec, así como la colaboración de otras muchas entidades.