Los continuos ataques informáticos exitosos que están sufriendo entidades públicas y privadas que disponían de certificaciones en materia de seguridad para sus sistemas de información cuestionan la confianza en dichas certificaciones.
CONFIANZA EN LA SEGURIDAD
La “necesidad de confianza” en la seguridad de la información y los servicios ha conllevado la creación de normativas y estándares (p.e. ENS, ISO/IEC 27K) con el fin de ofrecer referenciales y certificaciones sobre una materia nuclear como ésta. Las certificaciones generan una alta expectativa – interna y externa – de seguridad, ya que suponen la construcción de un Sistema de Gestión de Seguridad de la Información (SGSI) que supera un proceso de auditoría reglado por un esquema de certificación formal. Todo ello aporta en principio la confianza en la seguridad que toda organización requiere.
En la realidad se producen brechas de seguridad, algunas de alto impacto, sobre organizaciones certificadas, algo que lleva invariablemente a cuestionar el valor de las certificaciones conseguidas al verse defraudadas las expectativas de seguridad generadas. En este contexto, seamos realistas.
DEBILIDADES DEL PROCESO DE CERTIFICACIÓN – FOTO vs PELÍCULA
Voy a centrarme sobre el ENS e ISO 27K y voy a expresar mi opinión como implantador y auditor de ambas.
En primer lugar quiero mencionar una obvia debilidad del proceso de certificación, ya que certifica una “foto” de la organización en una fecha determinada, cuando la seguridad de la información y los servicios es una película continua en la que una escena romántica puede convertirse en un drama posteriormente. Es cierto que todas las normas certificables requieren un proceso de mejora continua y monitorización permanente, pero la casuística de los ataques y las brechas de seguridad consecuentes pueden dejar obsoleto un “fotograma de conformidad” con el paso del tiempo.
La validez de una certificación ENS es de 2 años, mientras que, en el caso de ISO/IEC 27001 es de 3 años, si bien existen auditorías de seguimiento anuales que auditan una parte del SGSI. Estos periodos de tiempo entre auditorías de certificación tienen un efecto muy diferente en las organizaciones, y aquí es importante hablar muy claro.
Licenciado en Informática por la Universitat Politécnica de Catalunya. E.U. en Protección de Datos y Privacidad por la Facultad de Derecho de la Universidad de Murcia. CISA, CISM, CGEIT, COBIT 5 Implementer, Lead Auditor ISO 27001-TC y Auditor del Esquema Nacional de Seguridad. Carrera profesional desarrollada en Ingeniería de sistemas, DBA y, principalmente, consultoría y auditoría sobre marcos y normas asociadas a la seguridad de la información, tanto en sector público como privado. Colaborador de ISACA HQ desde 2004, autor de numerosas publicaciones, cursos y ponencias sobre estas materias, miembro del COIICV, ISACA, itSMF España, APEP e ISMS Forum.
Todo lo que un Directivo debe saber...
Ha llegado la hora de formar a la Alta Dirección
Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.
Debe estar conectado para enviar un comentario.