Buen Gobierno, Seguridad de la Información, Gestión del Riesgo y Cumplimiento Normativo son las claves de las empresas del siglo XXI

Según los expertos que participaron en la III Jornada Internacional de ISMS Forum Spain el pasado 29 de mayo en Madrid

Casi una veintena de ponentes de media docena de países se dieron cita el pasado 29 de mayo en el céntrico hotel Husa-Princesa de Madrid, que albergó la III Jornada Internacional de ISMS Forum Spain. Scott L. Mitchell, Pierre Noel, Hervé Gabadou o Samantha Bruyn fueron algunos de los prestigiosos ponentes que construyeron una densa jornada de información ante 250 asistentes del ámbito de los Sistemas de Gestión de la Seguridad de la Información (SGSI) y del área de Compliance.

Con puntualidad británica, el presidente de ISMS Forum Spain, Gianluca D'Antonio, introdujo la jornada, destacando que “estamos inmersos en una proliferación de normas que impulsan la seguridad de la información” debido a su importancia estratégica para empresas y países. “No tiene sentido enfocar la seguridad de la información desde ámbitos nacionales -dijo- cuando el crimen y las amenazas son globales, y por eso necesitamos acometer las acciones sin fronteras”. Estas palabras precedieron la intervención del ingeniero colombiano experto en Auditoría de Sistemas Lucio Augusto Molina, ex vicepresidente de ISACA, quien, en la misma línea, señaló que “la importancia del cumplimiento de las normativas internas y externas en Seguridad de la Información es fundamental en pleno auge del cibercrimen, un problema cada vez más frecuente cuyos efectos y consecuencias hay que mitigar”. Colombia se ha convertido en uno de los referentes en materia de SGSI debido a su compleja situación política con la amenaza de las FARC. Molina denunció que los problemas se derivan de la falta de controles y de colaboración de algunas entidades, sobre todo financieras, y del incumplimiento de las normativas como Basilea II. “El riesgo existe. Lo hemos visto en la tragedia del World Trade Center y en otras catástrofes. La informática no es inmune y hay que mitigar los daños”. Añadió, además, que ahora es más fácil delinquir “virtualmente”, ya que “en los años 80 los hackers necesitaban experiencia y pericia; a día de hoy cada vez se requieren menos conocimientos para crear virus y se puede descargar el software necesario para ello de Internet”. El asesor externo de la Bolsa bogoteña apuntó también que se trata de un fenómeno social: “los niños -dijo- aprenden en su casa, de sus padres, que la piratería no es mala” y hay que educarles. En otro orden de cosas señaló que “todavía la mayoría de usuarios de una blackberry o un pendrive no usa claves, ignoran su debilidad”. Y advirtió que “el riesgo es evidente y, aunque hay niveles, la III Guerra Mundial probablemente será informática, basada en ataques informáticos, en aislar los sistemas de comunicaciones… ¿Qué tenemos que proteger? La información, su confidencialidad, su sensibilidad. La mayor parte de la población confía en que las empresas que guardan sus datos los custodian, pero pueden caer en malas manos”.

Sobre la legalidad del software en las empresas y las sanciones señaló que para el cumplimiento normativo es fundamental tener apoyo interno y externo, “de forma que el cliente pueda depositar en nosotros su confianza y estar tranquilo”. Departió también Molina sobre la oportunidad del uso de herramientas de prevención y detección, y destacó finalmente que las leyes y reglamentaciones deben acompañarse de “la educación al usuario en estas prácticas, la implementación de políticas de seguridad y gestión de riesgos, llevadas a cabo por personal cualificado para ello en las empresas, y la capacitación al security officer para ejercer el poder con autoridad”. Otras alternativas a la hora de gestionar la seguridad para el colombiano pasan por la externalización de estos trabajos, de forma que puedan desarrollarse con independencia y objetividad. Tras repasar los procesos de auditoría interna, los planes de control y recuperación y la necesidad de documentar los procesos, Molina señaló que es fundamental compartir las experiencias, porque “la seguridad es del mundo, no de las personas. Y tenemos que cumplir y ampliar la normativa para luchar contra el cibercrimen”.

Las palabras de Molina dieron paso al debate abierto entre los abogados Álvaro Écija (Écija Abogados), especialista en Derecho y TIC; Hervé Gabadou, director de TI y Telecomunicaciones en el bufete francés Courtois Lebel; y Antonio Alcolea, Jefe del Área de seguridad de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información. Moderados por Eduardo Ruiz de HP Ibérica, recibieron la pregunta clave del debate: “¿Hacia dónde va el desarrollo normativo y de cumplimiento en materia de Seguridad de la Información?” Écija fue el primero en señalar que “todos sabemos que las normas están para cumplirlas, pero la norma de cumplimiento se caracteriza por imponer obligaciones técnicas además de las jurídicas”; en Francia, sin embargo, según explicó Gabadou, “la normativa se impone mientras que los estándares son apoyos. La Agencia de Protección de Datos transpone las directivas europeas en la materia, pero en Gran Bretaña y España es diferente, lo que complica en alto grado la actividad de las multinacionales”. Para Écija “estas diferencias en Europa traerán problemas, por ello se intenta que haya unos estándares mínimos comunes. El control de la información es una preocupación global y el conflicto entre Seguridad Pública y Privacidad requiere coordinación entre los países”, dijo. Así pues, todos estuvieron de acuerdo en la necesidad de imponer estándares y en la esperanza depositada en el Grupo del Artículo 29 de la Comisión Europea que próximamente será presidido por el actual Presidente de la Agencia francesa de Protección de Datos.

La próxima revisión de la Directiva europea sobre protección de datos y confidencialidad fue otro de los temas “calientes” del debate por las posibles contradicciones entre Seguridad Pública y Derecho a la intimidad y la Privacidad. Desde EE.UU. quieren una normativa excesivamente estricta, “quieren saberlo todo -dijo Gabadou-  y en Francia queremos un sistema proporcional. Y, además, hay otro problema: la tecnología avanza mucho más rápido que las autoridades”. Écija señaló también que “en España, por ejemplo, la videovigilancia está incluida en la Ley de Protección de Datos, mientras que en Francia no. La proporcionalidad es la clave en esta carrera que no podemos perder contra la ciber delincuencia organizada. Se necesita energía, sostenibilidad y confianza”. Lo más destacable del modelo, a juicio de estos expertos, es “buscar normas compartidas y que se pretendan cumplir por empresas y ciudadanos. Compartir y ser compatibles para evolucionar”.

A la pregunta del moderador sobre el exceso normativo, el representante de la Administración señaló que “analizamos los sectores que más afectan al ciudadano y de ahí ha surgido la Ley para la Sociedad de la Información, LISI, que se supervisa desde la Secretaría de Estado, ya sea por demandas o de oficio”. Écija, por su parte, apuntó que “hay muchas leyes pero pocas herramientas para hacer que se cumplan”, mientras el francés indicó que “el problema es que hay que educar a la ciudadanía en el cumplimiento de estas leyes y en sus derechos”. Sobre otras iniciativas como el DNI o la firma electrónicos, Alcolea señaló que “intentamos favorecer y promover que los empresarios se comprometan con estos temas para impulsar la eSociedad en España”. Muchas eran las manos alzadas para hacer preguntas, pero el tiempo apremiaba y Samantha Bruyn, responsable de Compliance de ING Real Estate comenzó con ímpetu su ponencia explicando la ventaja competitiva que supone integrar esta área en el plan estratégico y en el día a día de las compañías. Inició con dos palabras “Honestidad” y “Transparencia”. Según Bruyn “hay que ser sincero a la hora de gestionar y mitigar el riesgo, los encargados de seguridad y compliance no son agentes, son consultores que tratan no sólo de que se cumpla la ley sino también los compromisos”. Bruyn dedicó su presentación a demostrar que el cumplimiento es un coste necesario pero también, y más importante, constituye una ventaja competitiva ya que “la crisis de las subprime ha demostrado la importancia de ser transparente ante el riesgo de perder una reputación granjeada durante años. Mantener la confianza de todos los agentes implicados (accionistas, inversores, proveedores, clientes, empleados…) es fundamental y no puede hacerse sin compliance”. Según señaló, es un departamento que debe ser firme y debe depender del área de riesgo y no del Departamento Legal, porque hay que valorar y cuantificar el riesgo de cumplimiento, que “supone riesgo reputacional, financiero, de seguridad…” La responsable ING Real Estate apuntó algunas claves para asegurar la eficacia de estos departamentos, como aumentar los recursos dedicados a compliance, marcar objetivos y tener reglas claras (con políticas globales y locales). Para ella, “en España hay pocos empleados formados en estas materias y no hay apenas cursos de formación específicos en Europa; pese a que los directivos son conscientes de la importancia de cumplir las normativas de sistemas, no las implementan con tiempo suficiente”; a su juicio, “el mercado va a demandar cada vez más este tipo de profesionales, capaces de cuantificar los riesgos, hacer que se cumplan normas y compromisos y saber explicarlo” auguró. “El responsable de compliance se ve en la obligación de multiplicarse porque tendrá que estar en varios sitios a la vez y no es fácil encontrar personal para asumir el cumplimiento basado en el riesgo” reconoció para finalizar.     
  
Tras un café llegó la presentación, bien enlazada por los organizadores, de Pierre Noel, Worldwide Information Security & Risk Management Evangelist de IBM Corp, sobre la Seguridad y la Gestión del Riesgo. “Pensar que no tendrás incidencias es una ridiculez, cada vez más la seguridad es la gestión del riesgo”, comenzó el francés animado y convincente. “La formación y la educación son lo más importante y sin embargo es a lo que dedicamos menos dinero; de la misma forma, tenemos que evitar ser conocidos como “la gente de los antivirus”, tenemos que elevar el discurso para dar a la seguridad la importancia que tiene”. En una escalada desde la inexistencia de seguridad a la división del departamento en Sistemas, por un lado, y Gestión del Riesgo, por otro, sólo hay tres pasos: blindarse, prevenir y consolidar.

Con profusión de ejemplos, datos (como que el 43,5% de los incidentes proviene del interior de las corporaciones y, la mayor parte de ellos de empleados varones) y metáforas, Noel señaló que los buenos SGSI se basan en una matriz de riesgos, una base de datos de pérdidas, controles mitigadores, mediciones constantes que demuestren los hechos y la elaboración de informes “legibles”, “comunicables”. Coincidió, pues con Bruyn en señalar que tanto la gestión del riesgo como la capacidad de comunicación son claves a la hora de posicionar a los departamentos de Seguridad y Compliance en el lugar que les corresponde.

Scott L. Mitchell tomó el relevo ante una audiencia que todavía asumía las indicaciones del francés, y comenzó su intervención presentando el think thank norteamericano que preside, el Open Compliance & Ethics Group, OCEG, que cuenta con más de 13.000 miembros de muy diversos sectores, ya que, según explicó “la Seguridad de la Información y Compliance no es una labor aislada”, lejos de las afirmaciones de Bruyn, señaló que “muchos profesionales miden riesgos en su trabajo ¿Qué tienen en común? ¿Por qué no se trata como algo que afecta a todos los departamentos de la empresa?” se preguntaba; y la respuesta es clara para el norteamericano “nosotros hablamos de resultados orientados al riesgo, trabajando sobre objetivos y auditando los resultados, como el resto de trabajadores. Cualquier labor tiene riesgos, límites y restricciones y ya ha llegado el tiempo en que todo eso se va sabiendo e incluso Standard&Poors  está “quitando el velo” de la “caja negra” que era hasta ahora la Gestión de Riesgos”, afirmó. Explicó Mitchell que hasta ahora la RSC no se ocupaba de la Seguridad de la Información y, dada su importancia actual para el desarrollo empresarial, ha surgido una nueva forma de entender la empresa, la GRC, que basa la estrategia en el Buen Gobierno, la Gestión del Riesgo y el Cumplimiento Normativo (GRC). Coincidiendo con Noel señaló que se trata de un concepto en el que el análisis de riesgos es la base de la actividad profesional de cualquier entidad y en el que los objetivos se estructuran en función de los límites externos (normativas) e internos (principios); y donde la base de todo es la información, el elemento más sensible y, por tanto, el que se debe controlar con mayor celo.

“Hay que dejar de ser el departamento del “No”, pero una organización sin límites puede hacer verdaderas barbaridades”, apuntó, “somos los frenos que te permiten correr tranquilo y seguro, un mecanismo que permite ralentizar o frenar en caso necesario”, precisó. La clave del nuevo concepto es su valor añadido ante las exigencias crecientes de los accionistas, el aumento de la volatilidad y la complejidad y el coste cada vez mayor de las equivocaciones. Criticando la multiplicación de normativas en EEUU, marcó como grandes retos de la GRC “tener una única versión de la verdad, saber si realmente cumples todas las normativas e integrar la gestión para que la empresa sea un todo cohesionado” y concluyó que la única forma de hacerlo es “asociando el programa de control de riesgos al de gestión de clientes y a los procesos de negocio, de forma que el cumplimiento se convierta en un propulsor del negocio.” Así, según el norteamericano, se mejoran los resultados reduciendo los costes y la GRC es un paso más allá de los SGSI y Compliance. El OCEG que preside ha elaborado un “Red book” de reglas y técnicas novedosas -que se puede descargar de su web- donde se describe la GRC como la columna que vertebra toda la actividad empresarial, ya que, para él “existe solapamiento en el 75% de los procesos” al hablar de gestión de clientes, protección de datos, seguridad de la información de empleados y clientes, privacidad, etc. Para Mitchell, la importancia del control de la información es la oportunidad para que los SGSI y Compliance den el salto definitivo para aumentar su influencia en las corporaciones.

Pero, una vez convencida la alta Dirección de la importancia de la Seguridad de la información, “hay que pensar cómo integrarnos en la estrategia y en la marca” señaló Ramiro Mirones, de Ernst&Young, para comenzar el segundo debate. Según Floris Van den Dool, EALA Security Lead de Accenture, “hay que conseguir que se entienda que es holístico e importante aliar las iniciativas entre informático y Gobierno corporativo, por medio de la transparencia de la información” que debe fluir entre el Chief Information Officer (CIO) y el Chief Information Security Officer (CISO).

El debate se quedó corto debido a lo apretado de una agenda que obligó a Teresa Serrano, de Citibank España, a sintetizar las claves de la función del compliance officer en la protección de datos, una labor especialmente delicada en una entidad financiera. Especialmente interesante fue su exposición de los “especiales riesgos” como las listas Robinson, los ficheros de solvencia patrimonial o la gestión y protección de datos de clientes nacionales e internacionales y, en su caso las transferencias de datos internacionalmente en cumplimiento de todas las normativas de los países en liza. Abierta a la posibilidad de que compliance sea una labor de control externa, concluyó que, en cualquier caso, “debe ser independiente, aunque en colaboración con otras áreas” e indudablemente “exige permanente vigilancia dado el riesgo legal y regulatorio, así como los daños a la reputación de la entidad”.

En línea similar al resto de los expertos, el analista de Forrester Thomas Raschke, apuntó que la promesa del incremento de la productividad y la reducción de costes y riesgos han obligado a los SGSI y compliance a trabajar juntos para entender y mitigar los riesgos, tras un largo camino plagado de equivocaciones en el que cada uno trabajaba por su lado sin cooperar. Para el danés GRC es el engranaje perfecto al incluir la cultura corporativa, políticas de empresa, legislación, normativas, relaciones institucionales y procesos con la valoración del riesgo, basado en una gestión bidireccional de la información. También dedicó tiempo a la importancia de la gestión basada en el riesgo, añadiendo el enfoque de los nuevos canales y servicios que ofrece la Web 2.0, la movilidad y, en definitiva, las nuevas herramientas que conforman la Sociedad de la Información en la que estamos inmersos. Aunque con cierta prisa, explicó el camino recorrido entre los SGSI y la Gestión centrada en el Riesgo para derivar en el “ecosistema GRC” y en la importancia de los flujos de información en la empresa, que señaló como tendencia evidente en el mundo empresarial de los próximos años. Describió para terminar “un modelo de empresa en el que GRC estará alineando estrategias y objetivos, con métricas bien definidas e informes bien comunicados, en un ambiente de cooperación y mejora constante basado en el análisis de los datos” afirmó.

Tras una mañana extenuante, los asistentes pudieron almorzar y compartir sus impresiones en un cóctel. Una breve presentación del vicepresidente de ISMS Forum Spain, Carlos Alberto Sáiz, dio paso a las ponencias de la tarde. Comenzando por un salto en el programa, el coordinador del área de estudios de la Agencia Española de Protección de Datos, Ricard Martinez, explicó los objetivos de la nueva estrategia de la Agencia, que “no pretender actuar contra los responsables de la custodia de datos sino a su lado, ayudándoles a cumplir la Ley”, en parte como resultado del encuentro internacional sobre Protección de Datos celebrado en Londres en 2006. Para Martínez, “la Agencia no busca sancionar y de hecho en 2007 se han producido menos sanciones y más procesos tutelares; hemos editado en cambio más guías y hemos modernizado la información on line para facilitar la tarea a la empresas y ciudadanos”. Esta nueva estrategia se basa en que “nuestra labor es garantizar los derechos, el derecho fundamental a la protección de datos. Es una labor preventiva en un 20%”, aunque no restó importancia a las inspecciones. Indicó, además, que la Agencia está realizando un notable esfuerzo para hacerse más visible en positivo con apariciones en la prensa no sólo por las sanciones impuestas. Y, finalmente hizo un llamamiento a la “precisión en las consultas, cuestiones, dudas y preguntas que se envían a la Audiencia para poder recomendar con mayor conocimiento de cada caso”.

Rápida fue también la intervención de Enrique Martínez, director del Instituto Nacional de Tecnologías de la Comunicación, INTECO, en una jornada que se estiraba en tiempo y temática. Su presentación reivindicó la importancia necesaria de los estándares para crear un mercado sólido. “La industria de la informática se ha desarrollado basándose en estándares. Esta condición le ha permitido alcanzar el grado de adelanto experimentado a la fecha. Diferentes fabricantes de hardware y software se adhieren a estándares definidos por diferentes organizaciones para lograr la interoperabilidad de diferentes componentes y partes”, afirmó rotundo para explicar que “al aplicar los estándares, los proveedores ayudan y aseguran que sus productos y servicios sean consistentes, compatibles y efectivos”, dijo, mencionando a continuación algunos de los errores garrafales del pasado como la proliferación momentánea del sistema BETA de video o la más reciente batalla BlueRay Vs. HD DVD, así como algunos aciertos que pusieron a Europa en la vanguardia como el estándar GSM de la telefonía móvil. Para Martinez, “si el sector de la Seguridad de la Información quiere realmente prosperar y ganar la importancia que merece tiene que fijarse en la demanda del mercado, muy segmentada y desinformada (siguen hablando de los virus, que son sólo el 8% de las amenazas), y adecuar su oferta a esa demanda con unos estándares que impulsen esta industria”, según se deduce de algunos de los últimos informes elaborados por INTECO. Repasó Martínez otras intervenciones recientes del Instituto en procesos como el DNI electrónico o la seguridad de la información en los ayuntamientos para finalmente volver a su idea inicial: “los mercados se crean con regulación y estándares y hay que prever lo que van a necesitar los usuarios”.

Pasaban veinte minutos de las seis cuando Fernando Hervada comenzó su intervención sobre la auditoría interna de los Sistemas de Información implementada en Endesa desde 1998, obligados por la Ley  Sarbanes-Oxley, que más tarde les ha facilitado el cumplimiento de la normativa italiana tras la compra por Enel y que afirmó “ha dado muy buenos resultados en un proceso que comienza por la planificación y promoción entre la alta Dirección y finaliza con la revisión de resultados (Plan-Do-Check-Act). La jornada tocó a su fin con la intervención del comunicador y experto en coaching, Santiago Álvarez de Mon, autor de diversos libros sobre liderazgo y comunicación empresarial quien comenzó su alocución, amena y distendida, poniendo en duda que nos encontremos en la Sociedad del Conocimiento, “conozco gente sabia que no sabe escribir y gente discapacitada que recibe 500 mails al día”. Enlazó Álvarez de Mon con el liderazgo y las capacidades que debe ostentar un buen directivo, empezando por aprender a jerarquizar y priorizar, así como identificar carencias y dar importancia a la comunicación e interacción entre empleados y directivos; y es que, todos los ponentes destacaron la importancia de las habilidades de comunicación para integrar la gestión de la Seguridad de la Información y Compliance en la alta Dirección, una de las grandes lecciones de esta jornada.